NetWalker è chiuso ma i ransomware rimangono un trend in crescita
Il 27 gennaio 2021 il Dipartimento di Giustizia degli Stati Uniti ha comunicato con un avviso pubblico, l’arresto di un cittadino canadese legato a NetWalker, ransomware di cui avevamo parlato in una news lo scorso novembre 2020. NetWalker, inteso come gruppo criminale, avrebbe raccolto, a seguito di tre distinti attacchi, 454.530 dollari dalle vittime, tra [...]
by CERT-AgID - https://cert-agid.gov.it/news/netwalker-e-chiuso-ma-i-ransomware-rimangono-un-trend-in-crescita/
Il 27 gennaio 2021 il Dipartimento di Giustizia degli Stati Uniti ha comunicato con un avviso pubblico, l’arresto di un cittadino canadese legato a NetWalker, ransomware di cui avevamo parlato in una news lo scorso novembre 2020. NetWalker, inteso come gruppo criminale, avrebbe raccolto, a seguito di tre distinti attacchi, 454.530 dollari dalle vittime, tra [...]
by CERT-AgID - https://cert-agid.gov.it/news/netwalker-e-chiuso-ma-i-ransomware-rimangono-un-trend-in-crescita/
CERT-AGID
NetWalker è chiuso ma i ransomware rimangono un trend in crescita
Roma ha speso 6.300.000€ + IVA per le licenze Microsoft
“Il fine può giustificare i mezzi purché ci sia qualcosa che giustifichi il fine.”Lev Trotsky L’Amministrazione Capitolina ha…
by Zerozone.it - https://www.zerozone.it/politica-societa/roma-ha-speso-6-300-000e-iva-per-le-licenze-microsoft/18823
“Il fine può giustificare i mezzi purché ci sia qualcosa che giustifichi il fine.”Lev Trotsky L’Amministrazione Capitolina ha…
by Zerozone.it - https://www.zerozone.it/politica-societa/roma-ha-speso-6-300-000e-iva-per-le-licenze-microsoft/18823
Il blog di Michele Pinassi
Roma ha speso 6.300.000€ + IVA per le licenze Microsoft
“Il fine può giustificare i mezzi purché ci sia qualcosa che giustifichi il fine.”Lev Trotsky L’Amministrazione Capitolina ha…
YAU – Parte 8 – Il secondo stadio, configurazione e download
Nell’ultimo articolo avevamo iniziato a vedere il secondo stadio.Abbiamo visto le funzionalità più accessorie, adesso è il momento di iniziare a fare sul serio e analizzare il codice più interessante. In questo articolo vedremo come Ursnif interagisca con il C2 e come decifrare in modo automatico i moduli scaricati. YET ANOTHER URSNIF Questo è l’ottavo [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-8-il-secondo-stadio-configurazione-e-download/
Nell’ultimo articolo avevamo iniziato a vedere il secondo stadio.Abbiamo visto le funzionalità più accessorie, adesso è il momento di iniziare a fare sul serio e analizzare il codice più interessante. In questo articolo vedremo come Ursnif interagisca con il C2 e come decifrare in modo automatico i moduli scaricati. YET ANOTHER URSNIF Questo è l’ottavo [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-8-il-secondo-stadio-configurazione-e-download/
CERT-AGID
YAU – Parte 8 – Il secondo stadio, configurazione e download
Sintesi riepilogativa delle campagne malevole della settimana 05/02/2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 33 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 449 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-05-02-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 33 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 449 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-05-02-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole della settimana 05/02/2021
Tech workers, diritti e sindacati
“Il sindacato col passare del tempo ha finito per somigliare troppo alla politica, o meglio, ai partiti politici,…
by Zerozone.it - https://www.zerozone.it/politica-societa/tech-workers-diritti-e-sindacati/18830
“Il sindacato col passare del tempo ha finito per somigliare troppo alla politica, o meglio, ai partiti politici,…
by Zerozone.it - https://www.zerozone.it/politica-societa/tech-workers-diritti-e-sindacati/18830
Il blog di Michele Pinassi
Tech workers, diritti e sindacati
“Il sindacato col passare del tempo ha finito per somigliare troppo alla politica, o meglio, ai partiti politici,…
Malware sLoad sfrutta PEC con allegato malevolo annidato in doppio ZIP.
Gli autori di sLoad hanno sfruttato la PEC, per la seconda volta nel 2021, come mezzo per veicolare la campagna malevola che ha avuto inizio domenica 07-02-2021 intorno le ore 23:00 ed è terminata oggi alle ore 09:00. Esattamente come già osservato nella campagna di giorno 11 gennaio 2021, l’e-mail con oggetto “Comunicazione [RAGIONE_SOCIALE]” allega [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware-sload-sfrutta-pec-con-allegato-malevolo-annidato-in-doppio-zip/
Gli autori di sLoad hanno sfruttato la PEC, per la seconda volta nel 2021, come mezzo per veicolare la campagna malevola che ha avuto inizio domenica 07-02-2021 intorno le ore 23:00 ed è terminata oggi alle ore 09:00. Esattamente come già osservato nella campagna di giorno 11 gennaio 2021, l’e-mail con oggetto “Comunicazione [RAGIONE_SOCIALE]” allega [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware-sload-sfrutta-pec-con-allegato-malevolo-annidato-in-doppio-zip/
CERT-AGID
Malware sLoad sfrutta PEC con allegato malevolo annidato in doppio ZIP.
YAU – Parte 9 – Il secondo stadio, salvataggio dei moduli e persistenza
Questo articolo termina l’analisi del secondo stadio.Nel precedente ci eravamo fermati alla decifratura dei moduli.Ursnif contatta ogni C2 della sua configurazione fino ad ottenere un esito positivo, esito che si materializza con il download di tre moduli. Una volta scaricati e decifrati, questi moduli sono ri-codificati prima di essere salvati nel registro di sistema.Lo noscript [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/yau-parte-9-il-secondo-stadio-salvataggio-dei-moduli-e-persistenza/
Questo articolo termina l’analisi del secondo stadio.Nel precedente ci eravamo fermati alla decifratura dei moduli.Ursnif contatta ogni C2 della sua configurazione fino ad ottenere un esito positivo, esito che si materializza con il download di tre moduli. Una volta scaricati e decifrati, questi moduli sono ri-codificati prima di essere salvati nel registro di sistema.Lo noscript [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/yau-parte-9-il-secondo-stadio-salvataggio-dei-moduli-e-persistenza/
CERT-AGID
YAU – Parte 9 – Il secondo stadio, salvataggio dei moduli e persistenza
Perché il Safer Internet Day?
“La società è organizzata non tanto dalla legge quanto dalla tendenza all’imitazione.”Carl Gustav Jung Internet è una straordinaria…
by Zerozone.it - https://www.zerozone.it/politica-societa/perche-il-safer-internet-day/18842
“La società è organizzata non tanto dalla legge quanto dalla tendenza all’imitazione.”Carl Gustav Jung Internet è una straordinaria…
by Zerozone.it - https://www.zerozone.it/politica-societa/perche-il-safer-internet-day/18842
Il blog di Michele Pinassi
Perché il Safer Internet Day?
“La società è organizzata non tanto dalla legge quanto dalla tendenza all’imitazione.”Carl Gustav Jung Internet è una straordinaria…
YAU – Parte 10 – Rimozione di Ursnif
In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima. L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo. YET ANOTHER URSNIF Questo è il decimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-10-rimozione-di-ursnif/
In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima. L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo. YET ANOTHER URSNIF Questo è il decimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-10-rimozione-di-ursnif/
CERT-AGID
YAU – Parte 10 – Rimozione di Ursnif
Sintesi riepilogativa delle campagne malevole nella settimana 6-12 febbraio 2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 3 generiche veicolate anche in Italia e 32 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 774 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-6-12-febbraio-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 3 generiche veicolate anche in Italia e 32 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 774 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-6-12-febbraio-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana 6-12 febbraio 2021
Hacker Israeliani VS Suprematisti bianchi
“Ho sempre trovato strano che una nazione la cui prosperità è basata sul lavoro a basso costo degli…
by Zerozone.it - https://www.zerozone.it/politica-societa/hacker-israeliani-vs-suprematisti-bianchi/18837
“Ho sempre trovato strano che una nazione la cui prosperità è basata sul lavoro a basso costo degli…
by Zerozone.it - https://www.zerozone.it/politica-societa/hacker-israeliani-vs-suprematisti-bianchi/18837
Il blog di Michele Pinassi
Hacker Israeliani VS Suprematisti bianchi
“Ho sempre trovato strano che una nazione la cui prosperità è basata sul lavoro a basso costo degli…
Ransomware: proviamo a fare corretta informazione
“Se la libertà di stampa significa qualcosa, significa il diritto di dire alla gente ciò che non vuol…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/ransomware-proviamo-a-fare-corretta-informazione/18854
“Se la libertà di stampa significa qualcosa, significa il diritto di dire alla gente ciò che non vuol…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/ransomware-proviamo-a-fare-corretta-informazione/18854
Il blog di Michele Pinassi
Ransomware: proviamo a fare corretta informazione
“Se la libertà di stampa significa qualcosa, significa il diritto di dire alla gente ciò che non vuol…
Ransomware: chiesto riscatto di 2mln di € a Trigano
Secondo quanto riportato sul profilo Linkedin di TGSoft, l’attacco che ha bloccato parte della rete informatica della multinazionale…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/ransomware-chiesto-riscatto-di-2mln-di-e-a-trigano/18863
Secondo quanto riportato sul profilo Linkedin di TGSoft, l’attacco che ha bloccato parte della rete informatica della multinazionale…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/ransomware-chiesto-riscatto-di-2mln-di-e-a-trigano/18863
Il blog di Michele Pinassi
Ransomware: chiesto riscatto di 2mln di $ a Trigano
Secondo quanto riportato sul profilo Linkedin di TGSoft, l’attacco che ha bloccato parte della rete informatica della multinazionale…
YAU – Parte 11 – Il client, inizializzazione e configurazione
Il Client è il cuore di Ursnif.Viene avviato tramite MSHTA e PowerShell ma da questi è in grado di diffondersi in altri processi, primi tra tutti explorer.exe ed i browser Firefox, Edge, Internet Explorer, Opera e Safari. Il client è in grado di eseguire una serie di comandi, ottenuti dalla sua configurazione (contenuta in un [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/yau-parte-11-il-client-inizializzazione-e-configurazione/
Il Client è il cuore di Ursnif.Viene avviato tramite MSHTA e PowerShell ma da questi è in grado di diffondersi in altri processi, primi tra tutti explorer.exe ed i browser Firefox, Edge, Internet Explorer, Opera e Safari. Il client è in grado di eseguire una serie di comandi, ottenuti dalla sua configurazione (contenuta in un [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/yau-parte-11-il-client-inizializzazione-e-configurazione/
CERT-AGID
YAU – Parte 11 – Il client, inizializzazione e configurazione
SELinux ed i meccanismi di isolamento delle app in Android
Un breve PDF tecnico che analizza il codice di Android alla scoperta di come SELinux e altre funzionalità Linux siano usate per isolare le app e contenere le conseguenze di vulnerabilità Local Privilege Escalation. Scarica il PDF.
by CERT-AgID - https://cert-agid.gov.it/whatisit/selinux-ed-i-meccanismi-di-isolamento-delle-app-in-android/
Un breve PDF tecnico che analizza il codice di Android alla scoperta di come SELinux e altre funzionalità Linux siano usate per isolare le app e contenere le conseguenze di vulnerabilità Local Privilege Escalation. Scarica il PDF.
by CERT-AgID - https://cert-agid.gov.it/whatisit/selinux-ed-i-meccanismi-di-isolamento-delle-app-in-android/
CERT-AGID
SELinux ed i meccanismi di isolamento delle app in Android
Il Ransomware razzista
Si è autobattezzato Ransomware2.0 (versione 1.0.0) ma a parte il fatto di essere razzista contro i napoletani, di nuovo ha ben poco. Il CERT-AGID ne è venuto a conoscenza grazie al contributo dei ricercatori di Malware Hunter Team che hanno rilevato il sample in data odierna. Il malware è scritto in .NET e il codice [...]
by CERT-AgID - https://cert-agid.gov.it/news/il-ransomware-razzista/
Si è autobattezzato Ransomware2.0 (versione 1.0.0) ma a parte il fatto di essere razzista contro i napoletani, di nuovo ha ben poco. Il CERT-AGID ne è venuto a conoscenza grazie al contributo dei ricercatori di Malware Hunter Team che hanno rilevato il sample in data odierna. Il malware è scritto in .NET e il codice [...]
by CERT-AgID - https://cert-agid.gov.it/news/il-ransomware-razzista/
CERT-AGID
Il Ransomware razzista
App-proposito delle App…
“In questa vita imperfetta abbiamo bisogno anche di una certa quantità di cose inutili. Se tutte le cose…
by Zerozone.it - https://www.zerozone.it/politica-societa/app-proposito-delle-app/18861
“In questa vita imperfetta abbiamo bisogno anche di una certa quantità di cose inutili. Se tutte le cose…
by Zerozone.it - https://www.zerozone.it/politica-societa/app-proposito-delle-app/18861
Il blog di Michele Pinassi
App-proposito delle App…
“In questa vita imperfetta abbiamo bisogno anche di una certa quantità di cose inutili. Se tutte le cose…
YAU – Parte 12 – Il client, da powershell ad explorer.exe e ai browser
Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-12-il-client-da-powershell-ad-explorer-exe-e-ai-browser/
Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-12-il-client-da-powershell-ad-explorer-exe-e-ai-browser/
CERT-AGID
YAU – Parte 12 – Il client, da powershell ad explorer.exe e ai browser
Sintesi riepilogativa delle campagne malevole nella settimana 13-19 febbraio 2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 5 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 288 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-13-19-febbraio-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 5 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 288 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-13-19-febbraio-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana 13-19 febbraio 2021
YAU – Parte 13 – Il client, comandi e trasmissione al C2
Nell’articolo precedente abbiamo visto la struttura del client Ursnif. La quantità di codice di Ursnif è piuttosto ingente ed un’analisi dettagliata richiederebbe non solo molto tempo ma anche molta forza di volontà di eventuali lettori. Ci limitiamo quindi a mostrare le parti più interessanti: i comandi che il client può eseguire (dalla configurazione o dal [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-13-il-client-comandi-e-trasmissione-al-c2/
Nell’articolo precedente abbiamo visto la struttura del client Ursnif. La quantità di codice di Ursnif è piuttosto ingente ed un’analisi dettagliata richiederebbe non solo molto tempo ma anche molta forza di volontà di eventuali lettori. Ci limitiamo quindi a mostrare le parti più interessanti: i comandi che il client può eseguire (dalla configurazione o dal [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-13-il-client-comandi-e-trasmissione-al-c2/
CERT-AGID
YAU – Parte 13 – Il client, comandi e trasmissione al C2
YAU – Parte 14 – Il C2, panoramica
Negli articoli precedenti abbiamo analizzato le componenti di Ursnif che sono eseguite sulla macchina della vittima. Per questo malware è possibile fare altrettanto facilmente un’analisi del C2, vedremo infatti come alcune vulnerabilità dell’infrastruttura e software del server ci permettano di ottenere varie informazioni. In questo articolo vedremo la console di amministrazione che gli autori di [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-14-il-c2-panoramica/
Negli articoli precedenti abbiamo analizzato le componenti di Ursnif che sono eseguite sulla macchina della vittima. Per questo malware è possibile fare altrettanto facilmente un’analisi del C2, vedremo infatti come alcune vulnerabilità dell’infrastruttura e software del server ci permettano di ottenere varie informazioni. In questo articolo vedremo la console di amministrazione che gli autori di [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-14-il-c2-panoramica/
CERT-AGID
YAU – Parte 14 – Il C2, panoramica