RIPORTIAMO IN QUESTO ARTICOLO QUATTRO ARTICOLI IMPORTANTI:
IL PRIMO TRATTO DA TOMSHW.IT PARLA DELL’ANALISI DI TRENDMICRO
IL SECONDO TRATTO DA ICTBUSINESS.IT TRATTA DELLA PERDITA DI CREDENZIALI DELLA PIATTAFORMA DI VIDEOCONFERENZE ZOOM: 500MILA ACCOUNT
IL TERZO SEMPRE TRATTO DA ICTBUSINESS.IT TRATTA DEL BOTTINO DI UN DATA BREACH ENORME
IL QUARTO SEMPRE TRATTO DA ICTBUSINESS.IT RIVELA CHE GLI HACHER CINESI SFONDANO L’AUTENTICAZIONE A DUE FATTORI
Trend Micro, l’Italia è tra i più colpiti al mondo da malware e ransomware
I malware e i ransomware continuano a prendere di mira l’Italia, dove nel 2019 si sono contati numeri tali da porre il paese al secondo posto dei più colpiti in Europa dalla tipologia di attacco.
Nelle classifiche mondiali invece, l’Italia è settima per attacchi malware subiti e quarta per macromalware. Questi dati emergono da “The Sprawling Reach of Complex Threats” il report di Trend Micro Research sulle minacce informatiche riguardanti il 2019.
La società di sicurezza evidenzia come, in tutto il mondo, tornino a crescere i ransomware, che in Italia non si erano mai fermati. Nel 2018 il nostro paese era infatti primo per attacchi in Europa.
A livello generale Trend Micro ha rilevato nel 2019 un aumento del 10% di questo genere di attacco, nonostante una decrescita delle nuove famiglie del 57%, bloccando un totale di oltre 61 milioni di ransomware.
Il settore più colpito rimane quello della sanità, con oltre 700 organizzazioni attaccate in tutto il mondo. Un altro trend che si mantiene in costante crescita è quello delle vulnerabilità: nel 2019 la Zero Day Initiative Trend Micro ha scoperto il 171% di vulnerabilità critiche in più rispetto all’anno precedente.
Andando più a fondo, nel 2019 l’Italia è stato il secondo Paese più colpito in Europa, con il 12,68% dei ransomware di tutto il continente e una percentuale uguale a quella del 2018. Al primo posto l’Italia è preceduta dalla Germania mentre segue la Francia.
Il numero totale di malware intercettati in Italia nel 2019 è stato di 17.120.526. con questo dato siamo settimi a livello globale. In generale, nel 2019 le visite ai siti maligni sono state 7.915.566; 851.725 i portali ospitati in Italia e già bloccati.
Le minacce arrivate via mail sono state 384.376.157 mentre i malware di online banking intercettati sono stati 4.326. Il numero di app maligne scaricate nel 2019 è stato di 185.747 e gli attacchi Exploit Kit ben 4.222. In tutto, Trend Micro ha bloccato nel 2019 un totale di 52 miliardi di minacce (52.265.509.014).
Zoom ha subito il furto di 500mila account, in vendita sul dark web
Più di mezzo milione di indirizzi mail e password associati alla nota app di videoconferenza può essere acquistato per un penny. Lo ha scoperto la società di sicurezza Cyble.
Non c’è pace per Zoom che si ritrova nuovamente alla ribalta per un problema di sicurezza. Infatti, i ricercatori di Cyble hanno scoperto per primi che sul dark web sono stati messi in vendita oltre 500mila account della famosa app di videoconferenza. A meno di un centesimo di dollaro si comperano le credenziali di accesso, che includono indirizzi mail e password, ma in alcuni casi sono state regalate per consentire le “Zoombombing”, intrusioni che si verificano durante le videoconferenze.
Nonostante Zoom sia da qualche settimana al centro di molte polemiche sulla vulnerabilità, sembrerebbe che gli account non siano stati trafugati hackerando i server della società, ma utilizzando credenziali provenienti da violazioni dei dati di altre piattaforme. È stata utilizza una tecnica nota come “credential stuffing”, letteralmente ripieno di credenziali: gli hacker sono in grado di collegare i dettagli di accesso utilizzati per più di un account online al fine di comprometterne un altro.
Questo accade perché spesso gli utenti usano la stessa combinazione su più siti Web e app. Pratica comune, ma secondo gli esperti di sicurezza è necessario diversificare le password, e i portavoce di Zoom asseriscono addirittura che ne andrebbe creata una specifica da usare solo per la loro piattaforma.
ZOOM VIOLATO ARTICOLO
Online il “bottino” di migliaia di violazioni, password incluse
Data breach di dimensioni mastodontiche scoperto dal ricercatore di Have I been pwned: quasi 773 milioni di indirizzi email univoci e 22 milioni di password.
Un mastodontico “bottino” di data breach è stato trovato online, sul servizio di hosting Mega, e sarebbe l’ennesima notizia del suo genere se non fosse per le dimensioni: in un archivio nominato Collection #1 erano contenuti quasi 2,7 miliardi di righe, corrispondenti a 87 GB di dati, raccolti da migliaia di fonti differenti. Il risultato di diversi hackeraggi compiuti in passato e poi raccolti in un’unica gigantesca lista. Eliminando i doppioni, il database conteneva quasi 773 milioni di indirizzi email univoci e poco meno di 22 milioni di password uniche.
La scoperta è stata segnalata dal noto ricercatore di sicurezza Troy Hunt, l’autore di Have I been pwned. Per chi non lo conoscesse, si tratta di un servizio che permette di verificare in poche mosse se la propria casella di posta sia finita nel “bottino” di qualche operazione di furto dati, anche risalente ad anni addietro: digitando un indirizzo all’interno della maschera di ricerca si visualizzano i riferimenti della violazione o delle violazioni informatiche che hanno permesso a soggetti ignoti di ottenere quella email. Gli utenti registrati possono anche verificare se la propria email sia stata oggetto di data breach che hanno ottenuto dati “sensibili”, quali password o numeri di carta di credito. In alternativa, anche chi non è registrato può fare una simile verifica con il motore di ricerca Password pwned.
E il problema di Collection #1 sono proprio le password. Alcune, tra cui quella dello stesso Hunt, erano chiaramente leggibili cioè non più crittografate tramite hashing. “Posso dire che i miei dati personali sono presenti e accurati e che indirizzi email e password da me usate molti anni fa sono corretti”, ha scritto il ricercatore, a conferma della validità dei contenuti del database.
La parzialissima buona notizia è che l’archivio è stato ora rimosso da Mega, a seguito di alcune segnalazioni di utenti sul forum del servizio di hosting. La cattiva è che “se siete all’interno di questo breach”, ammonisce Hunt, “una o più password che abbiate usato in passato stanno circolando, esposte agli occhi altrui”. Insomma, a distanza di anni persistono ancora le conseguenze di passate violazioni informatiche di massa, come quelle ai danni di Dropbox nel 2014, di Yahoo (attaccata a più riprese) e di Tumblr nel 2016.
Hacker cinesi sfondano anche l’autenticazione a due fattori
La società di cybersicurezza Fox-IT ha scoperto che Apt20, gruppo legato al governo di Pechino, è riuscito a superare i controlli a doppio fattore di una rete Vpn, grazie al preventivo furto del software generatore di token.
gruppo di abili hacker cinesi ha dimostrato che nemmeno le connessioni Vpn (Virtual Private Network) protette da autenticazione a due fattori sono inviolabili. Traballa un pilastro della cybersicurezza, dal momento che il login a due fattori, o 2FA (two-factor authentication), è comunemente considerato un metodo di difesa più efficace delle sole combinazioni di username e password. Oltre a inserire le proprie credenziali, per accedere a un account l’utente deve successivamente fornire un elemento aggiuntivo, per esempio un codice numerico o alfanumerico ricevuto via Sms o generato da un dispositivo come i mobile token degli istituti bancari.
Fox-IT, una società di sicurezza informatica olandese, in un report ha documentato gli ultimi due anni di attività di Apt20, un collettivo cybercriminale i cui primi attacchi risalgono al 2011 e di cui poi si erano perse le tracce fra il 2016 e il 2017. I principali bersagli di questo gruppo sono entità governative di vario tipo e fornitori di servizi Mps, attivi in settori disparati fra cui aviazione, sanità, finanza, assicurazioni, energia e altro ancora. I ricercatori di sicurezza sospettano legami con il governo cinese.
Negli ultimi due anni Apt20 ha impiegato dei Web server come punto di ingresso sui sistemi bersaglio, focalizzandosi in particolare su JBoss, un application server di tipo open source molto usato (attraverso varie distribuzioni enterprise) nelle reti di grandi aziende ed enti governativi. Gli hacker hanno sfruttato delle vulnerabilità esistenti per accedere a questi server, installare delle Web shell e poi propagare l’attacco attraverso le reti interne dell’organizzazione colpita. Una volta entrati, hanno potuto di volta in volta trafugare password di vario tipo, concentrandosi soprattutto sulle credenziali degli account admin e sulle credenziali delle Vpn.
Una volta ottenuti questi dati, è possibile ottenere un accesso illimitato o quasi alle risorse collegate ai rete, oppure usare la Vpn come una backdoor utile per spiare. Le Virtual Private Network, tuttavia, spesso verificano l’identità dell’utente con un doppio passaggio, il 2FA, dunque il furto di username e password non è sufficiente per poter fare danni. Eppure i ricercatori di Fox-IT dicono di avere le prove del fatto che gli hacker di Apt20 si siano connessi a reti Vpn protette da autenticazione a due fattori.
Come hanno fatto? L’ipotesi, per cui tuttavia Fox-IT non fornisce prove, è che gli autori dell’attacco abbiano in qualche modo rubato da un sistema hackerato un software generatore di token, nella fattispecie Rsa SecurID. Insomma, per entrare i criminali non hanno sfondato la “porta blindata” bensì sono riusciti a rubare la chiave.
BASTA CON LE FAVOLETTE RACCONTATE DAI VENDITORI: LEGGI SU FORMAZIONE GRATUITA COME ROBIONICA HA IL PRODOTTO CRIPTEOS 3001 CON UNA CRITTOGRAFIA INVIOLABILE, NON E’ UNA BACATA CRITTOGRAFIA HASH, E’ UN SISTEMA CON ALGORITMI BREVETTATI E MOLTO VELOCI NELLA CONVERSIONE. DIFENDITI!