Le Cronache di Spectre, aggiornamento sui Nork hackers, dischi WD scadenti e altro ancora

Gli errori dei chip CPU infestano il panorama antivirus

In primo luogo, a Febbraio, i difetti di sicurezza del processore denominati Meltdown e Spectre hanno continuano a tormentare il mondo dell’IT.

Fortinet ha emesso un avviso di Martedì, anticipando le 119 combinazioni di codice che sfruttano i problemi di sicurezza delle CPU, rilevati durante i round del mese scorso

I campioni sono stati prelevati dal laboratorio di sicurezza AV-Test. Fortinet è stato così in grado di confermare che l’83 per cento dei codici segnalati sono effettivamente a rischio mentre non ha potuto individuare il restante 17 per cento.

La scoperta ha scatenato alcuni titoli interessanti, ma la questione chiave è: questi sono dei codici di prova che testano quanto sia possibile sfruttare Meltdown o Spectre su di una macchina. Non sono quindi 119 nuovi malware che sfruttano i difetti dell’hardware per rubare password e altre informazioni sensibili dalle applicazioni e dal sistema operativo.

Naturalmente, il codice di prova può essere utilizzato in applicazioni software una volta che hanno infettato i sistemi. Finora, tuttavia, nessun malware noto sta abusando di Meltdown o Spectre, e almeno i pacchetti antivirus sono sempre in vantaggio sul problema, identificando il codice che tenta di sfruttare i guasti del processore prima ancora che arrivi sulla macchina.

“I campioni controlleranno solo per vedere se i difetti possono essere sfruttati. I suddetti codici di prova non generano alcun danno se non quello di essere in grado di catturare i dati in tempo reale attraverso l’attacco laterale di un canale di accesso”, ha dichiarato John Welton, direttore di Fortinet, a The Register.

“Tutti i codici campioni che abbiamo visto erano benigni e basati su prova del codice concettuale”.

Il processo di patch per Spectre su hardware Intel e AMD è stato ricco di passi falsi e, data la vastità del problema, la maggior parte dei processori rimarrà vulnerabile per parecchio tempo. C’ è inoltre il problema delle patch che causano un impatto sulle performance, a gradi molto variabili, il che sta dissuadendo alcuni da applicare queste patch, quando invece non dovrebbe essere così.

Fortunatamente, ci sono state alcune buone notizie su questo fronte. Greg Kroah-Hartman, manutentore del kernel Linux per il canale stabile, ha fatto un po’ di benchmarking e ha scoperto che l’aggiornamento all’ ultima versione del kernel – 4.15 – attenua quasi tutti gli aspetti negativi della patch del difetto di Spectre.

La versione 4.15 è tra il sette e il nove per cento più veloce della build 4.11, ha detto. L’ aggiunta di una patch Spectre rallenterà la nuova build down, ma a causa dell’aumento di velocità gli utenti dovrebbero vedere solo una piccolissima performance colpita, circa l’uno o il due per cento. Il numero potrebbe variare.

“Anche se quegli sviluppatori che hanno lavorato così duramente per ottenere che l’aumento del 7-9 per cento nel corso dell’anno scorso potrebbe non essere del tutto buono, questo dovrebbe riuscire a metterli in pace”, ha commentato Kroah-Hartman.

“Ma se si è bloccati su una vecchia versione del kernel (cioè 3.10. y, 4.4.4. y o 4.9. y, o su qualsiasi altra distro in cui si è deciso di accampare per il prossimo decennio), questa è una storia completamente diversa”.

I sistemi che eseguono kernel Linux più vecchi con patch back-portad subiranno un rallentamento, a seconda dell’hardware sottostante e dei carichi di lavoro in esecuzione.

La Miglior parte della Corea è appena migliorata

Giovedì scorso Adobe ha confermato i rapporti della Corea del Sud secondo cui un brutto bug in Flash è stato attivamente sfruttato per dirottare i PC Windows delle vittime.

Si credeva che gli hacker nordcoreani sfruttassero il difetto per spiare coloro che indagavano sulla loro ombrosa dittatura, in particolare la popolazione del sud. Ora il team di sicurezza di Cisco Talos ha rilevato ulteriori prove per poter eseguire il backup di tali dati.

Il team Talos ha collegato il codice di exploit al Gruppo 123, una banda hacking gang sponsorizzata dal governo coreano. Il gruppo è noto per l’utilizzo di uno strumento di amministrazione remota chiamato ROKRAT, impiegato per controllare i sistemi infiltrati, ed è stato proprio questo software ad esser stato catturato sfruttando il suddetto difetto Adobe in the wild.

A quanto sembra, questo promuove i Norks dalla loro piccola reputazione.

“Il gruppo 123 ora si è unito ad alcune delle élite criminali, con questo ultimo carico utile di ROKRAT”, ha detto il team Talos venerdì.

“Hanno sfruttato un espediente Adobe Flash zero-day che era al di fuori delle loro capacità precedenti – avevano già utilizzato exploit in campagne precedenti, ma mai come hanno fatto ora. Questo cambiamento rappresenta un cambiamento importante nel livello di maturità del Gruppo 123, ora possiamo valutare in modo confidenziale che il Gruppo 123 ha un team altamente qualificato, altamente motivato e all’avanguardia”.

Secondo i ricercatori di sicurezza di FireEye, la scelta dei bersagli punta anche gli aggressori provenienti dalla Corea del Nord. Il codice è infatti stato utilizzato contro gli obiettivi industriali di governo, militari e della difesa, nonché contro gli sforzi di unificazione e i disordini.

“Questo è uno dei soggetti nordcoreani di cui ci siamo occupati riguardo alle Olimpiadi. Essi avrebbero potuto sfruttare queste falle per raccogliere informazioni e possibilmente effettuare attacchi”, ha affermato John Hultquist, direttore dell’analisi di intelligence di FireEye.

“Abbiamo collegato gli attacchi anche ad altri soggetti nordcoreani, ma non abbiamo visto questi ultimi impegnarsi in attività distruttive o distruttive. Anche se non li abbiamo visti all’opera, abbiamo già visto questi protagonisti dispiegare malware di tipo wiper”.

Picco di danni nelle Cyber-assicurazioni

Secondo l’assicuratore specializzato Beazley, la crescente marea dei cosiddetti compromessi di business email ha determinato un forte aumento dei danni assicurativi in ambito informatico.

Queste truffe tipicamente funzionano in questo modo: un malintenzionato, mascherato come un dirigente aziendale invia un messaggio di posta elettronica a un dipendente chiedendo lui informazioni, quali i dati fiscali o bancari della propria forza lavoro. Quel dipendente cade per lo stratagemma e risponde con un archivio di informazioni sensibili. Succede molto spesso.

Gli incidenti di truffa alle istituzioni di istruzione segnalati a Beazley sono quadruplicati nel 2017, ci è stato detto, con gli assicurati che hanno subito perdite che vanno da poche migliaia di dollari fino a $3m. Secondo i dati raccolti dall’ assicuratore con sede negli Stati Uniti, tanto per fare un paragone, l’anno scorso la media delle perdite è stata di 352.000 dollari.

I primi tre settori industriali interessati dalla truffa lo scorso anno sono stati i servizi professionali (22 per cento del totale segnalato a Beazley), i servizi finanziari (21 per cento) e la vendita al dettaglio (12 per cento), ma gli incidenti sono in crescita in tutti i settori, in particolare quando si tratta di singole grandi transazioni, come gli acquisti immobiliari.

Katherine Keefe, responsabile globale di Beazley Breach Response Services, ha commentato: “I cyber-criminali stanno trovando nuovi modi per far sì che le organizzazioni partecipino alle loro trappole, pagando con il loro denaro duramente guadagnato. Nel 2017 abbiamo visto l’istruzione fraudolenta emergere come una nuova tendenza che offre una ricompensa significativa per gli autori in cambio di poco sforzo, ma che porta a conseguenze finanziarie potenzialmente devastanti per la vittima”.

Blocca i tuoi server e unità

C’ è una nuova e particolarmente sgradevole forma di ransomware in circolazione che colpirà gli amministratori IT meno attenti. In genere, i ransomware si diffondono attraverso lo spamming degli allegati contenenti un software di estorsione, nella speranza che alcuni utenti non troppo esperti facciano clic su di esso. Ma con l’ultima variante di Scarab, soprannominato Scarabey, i suoi capisaldi stanno prendendo un approccio diverso.

“Invece di essere distribuito via malspam Necurs come lo Scarabab originale, Scarabey è stato creato inizialmente per gli utenti russi e distribuito tramite RDP / drop manuale su server e sistemi,” ha sottolineato bene Malwarebytes Lab reverse-engineer Vhioureas mercoledì.

“Ci sono stati un certo numero di articoli che abbiamo incontrato online che affermano che Scarabey è in grado di agire come backdoor, consentendo l’accesso remoto, e che può anche raccogliere dati sensibili. Dalla nostra analisi, crediamo che questo sia falso”.

Scarabey è un codice decisamente scomodo. Una volta installato e dopo aver eseguito la scansione dei documenti, il software ransomware aumenta la sua tariffa di decrittografia nel tempo e inizia poi ad eliminare alcuni file. Ricordatevi di tenere i backup sempre pronti, verificati e a portata di mano offline, se volete battere questo tipetto qui.

Western Digi-ahia!

I backup potrebbero tuttavia rappresentare un problema, qualora si utilizzino per essi delle unità di archiviazione di rete Western Digital. I ricercatori di Trustwave hanno infatti trovato due gravi vulnerabilità nei dispositivi MyCloud venduti da WD.

Il primo problema riscontrato riguardava le credenziali di amministratore con codice hardware che si trovavano nell’ interfaccia web di MyCloud e che erano accessibili a chiunque sulla rete, o tramite un accesso esterno – utilizzando il nome utente mydlinkBRionyg. Il secondo problema è che un utente normale collegato alla rete poteva iniettare comandi arbitrari dal pannello di controllo web e ottenere così l’accesso root al dispositivo stesso.

Nonostante la pratica di divulgazione responsabile, per WD è stato un colpo doloroso da affrontare questa settimana, secondo Trustwave. I ricercatori hanno dato notizia dei problemi al produttore di unità, risolto uno di essi e poi sono stati tagliati fuori. Hanno scoperto che i difetti erano stati corretti solo quando hanno controllato l’ultimo firmware WD. Assicurati quindi di avere almeno la versione 2.30.172 installata.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *