Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet


Come possiamo generare fiducia nelle tecnologie che offriamo in qualità di produttore? Questa domanda è indubbiamente una delle preoccupazioni chiave che meritano attenzione e tuttavia se ne discute ben poco tra le aziende che sviluppano e producono soluzioni per la cybersecurity. E’ necesario analizzare in dettaglio l’argomento per comprenderne le sue implicazioni strategiche.

Comprendere il contesto generale

Gli eventi recenti hanno mostrato che non appena sorge il minimo dubbio sull’efficacia e l’affidabilità delle soluzioni di sicurezza queste vengono messe immediatamente in discussione. Ad esempio, il caso Snowden ha rivelato al mondo l’esistenza del catalogo ANT della NSA e quindi l’utilizzo di backdoor o altri strumenti inseriti nelle soluzioni per la sicurezza perimetrale al fine di proteggere e tutelare gli interessi degli Stati Uniti. Pur non sorprendendo nessuno, questa informazione è stata resa di pubblico dominio.

Matthieu Bonenfant, Chief Marketing Officer – ‎Stormshield

Ovviamente queste backdoor potrebbero essere state implementate goffamente per ragioni tecniche o in relazione a vulnerabilità 0-day. Molti dei produttori coinvolti hanno più volte ribadito che non hanno indebolito le proprie soluzioni deliberatamente. “Non mi permetto di giudicare questa affermazione, non è il mio lavoro”, commenta Matthieu BONENFANT, Chief Marketing Officer di Stormshield, “tuttavia, al di là del potenziale impatto sulla sovranità dei Paesi terzi che adottano queste soluzioni, le backdoor possono avere altre conseguenze drammatiche”. Basti pensare agli effetti disastrosi del leak svelato da Shadow Brokers, che segnalava numerose vulnerabilità di MS Windows utilizzate dalla NSA come backdoor. Wannacry, NotPetya, e – più recentemente – il ransomware Bad Rabbit si sono diffusi con estrema rapidità proprio grazie a questo tipo di falle.

“A mio avviso questa situazione mette in luce una delle maggiori sfide con cui i vendor di sicurezza devono confrontarsi”, chiosa Bonenfant. “Le nostre tecnologie manipolano e ispezionano file riservati, processano e archiviano dati personali, cifrano informazioni sensibili, accedono a risorse il cui uso è regolato, gestiscono identità digitali, analizzano il traffico ed il suo comportamento e molto altro”. Come garantire quindi ai clienti e all’ecosistema che queste attività sono affidabili? Come rispettare la sovranità sul dato alla luce di tutte le tensioni geopolitiche? Il fatto che la digital economy fiorisca esclusivamente in un clima di fiducia è risaputo, ma molte di queste domande ad oggi non trovano risposta.

Per i produttori di soluzioni per la sicurezza perimetrale, questa domanda è vitale considerando che la cifratura del traffico è una delle colonne portanti di un account digitale affidabile. Secondo Gartner, entro il 2019 l’80% del traffico generato dalle aziende sul web sarà cifrato, una buona notizia. Questo significa però che un numero crescente di attacchi e applicazioni malevole (ransomware incluso) si celeranno dietro al traffico HTTPS per nascondere l’infezione iniziale e prendere il controllo delle comunicazioni. Alla luce di ciò, Gartner raccomanda che le aziende e le organizzazioni formalizzino un piano pluriennale per l’implementazione di soluzioni e programmi per la decodifica e l’ispezione del flusso di dati HTTPS. La tecnica di ispezione di SSL si basa per lo più sul metodo “man-in-the-middle”, che inevitabilmente crea una falla nello scambio di comunicazioni cifrate. Una debolezza nel prodotto che conduce la decodifica e l’ispezione del traffico SSL può quindi far collassare l’intera catena di fiducia.

Potenziali soluzioni

Prima di tutto, possiamo fare affidamento sui test condotti da aziende esterne specializzate nella valutazione delle tecnologie di sicurezza, decisamente in grado di giudicare l’efficacia dei meccanismi di protezione. Tuttavia questi test, che tra l’altro non sono particolarmente a buon mercato, non si focalizzano in realtà sul design della soluzione di sicurezza in sè.

E’ altrettanto possibile fare affidamento sulle linee guida dettate dai Common Criteria, adottate da 26 Paesi. In questo caso però il produttore di soluzioni di sicurezza è colui che definisce lo spettro di valutazione, chiamato “obiettivo di sicurezza”, che può quindi essere limitato ad una piccola parte del software analizzato. Sfortunatamente solo in alcuni Paesi si misura l’importanza e si valuta la rilevanza dell’obiettivo prefissato. Per farla breve, i clienti fanno fatica a seguire il numero crescente di livelli certificazione (EAL) di Common Criteria.

Ci sono anche numerosi programmi che incentivano la ricerca di “bug”, software di analisi del codice statico o audit indipendenti volti a rilevare e correggere eventuali vulnerabilità. Queste iniziative migliorano effettivamente la sicurezza della tecnologia, a volte anche già in fase di design, tuttavia è difficile presentarle agli utenti come garanzia di affidabilità.

Infine, le certificazioni ufficiali svolgono un ruolo importante. Ad esempio in Francia, la ANSSI (l’agenzia nazionale per la sicurezza informatica) valuta il livello di affidabilità dei prodotti di sicurezza utilizzando un framework di qualificazione specifico, che è un’estensione dei principi Common Criteria. Questo framework definisce tre livelli di qualificazione basati su obiettivi di sicurezza predefiniti. Di conseguenza sono più facili da comprendere. A seconda del livello di qualificazione, si conduce una revisione indipendente del codice sulle componenti ritenute essenziali per la sicurezza, come la cifratura. Vengono analizzate anche le potenziali vulnerabilità, insieme all’ambiente fisico di sviluppo. Questo metodo fornisce la prova che i prodotti siano robusti e che non vi siano vulnerabilità sfruttabili come backdoor.

E’ necessario un framework ominivalente

Il fatto che questo framework di qualificazione sia riconosciuto esclusivamente in Francia rappresenta un problema. Ad esempio Germania e Regno Unito dispongono di un proprio framework, creato rispettivamente dal BSI (ufficio federale per la sicurezza informatica) e dal NCSC (centro nazionale per la cybersicurezza). La situazione attuale, sic stantibus, non è nè scalabile né economicamente accettabile per la maggior parte dei produttori, dato che dovrebbero far certificare i prodotti in ogni Paese. Per poter dar vita ad un unico mercato digitale in Europa, che alimenti la fiducia e assicuri la sovranità dei Paesi europei, è necessario implementare certificazioni riconosciute in tutti gli Stati membri. La commissione europea sembra aver compreso il messaggio, ha difatti lanciato di recente un’iniziativa atta a creare un framework europeo di certificazione. Questa misura costituirà un enorme passo avanti, sempre che il nuovo framework si basi sull’esperienza e sui criteri di valutazione dei Paesi che già sanno esattamente cosa fare e non indebolisca i criteri di qualificazione per far posto a chi è rimasto indietro.

La luce alla fine del tunnel

Alla fine un framework che instilli fiducia nelle tecnologie di sicurezza si svilupperà inevitabilmente attraverso una miglior collaborazione e cooperazione di tutti gli interessati nell’ecosistema cyber. Uno scambio costante tra il settore pubblico e privato, la costituzione di alleanze tra i produttori di soluzioni di cybersecurity, il coinvolgimento dei clienti nel processo di sviluppo (p.es. design collaborativo) aumenteranno senza dubbio l’affidabilità e l’efficacia dei dispositivi di sicurezza.

Continua a leggere

G DATA estende le funzioni di sicurezza ai portafogli Bitcoin


Tecnologie di protezione proattive disponibili da ora in tutte le soluzioni di sicurezza G DATA Business e Consumer.

Bochum – Le criptovalute sono uno dei temi caldi del momento. Bitcoin, Ethereum e similari hanno infranto record su record. In due anni le transazioni in Bitcoin sono esplose su scala mondiale attestandosi a circa 370.000 al giorno (fonte: Blockchain – settimana dal 27.11. al 4.12.2017) grazie ad un numero di fruitori in rapidissima ascesa. I cybercriminali vogliono sfruttarne la popolarità e trovare nuovi metodi per raggirare gli utenti. Per mettere al sicuro anche i portafogli digitali, i cosiddetti “wallet”, G DATA ha perfezionato le proprie tecnologie di difesa proattive al fine di garantire ai propri utenti, privati come aziende, una protezione completa. Le funzioni di protezione estese sono disponibili da subito con tutte le soluzioni di sicurezza G DATA.

Sono oltre 19 milioni i wallet di criptovalute sulla sola piattaforma Blockchain a livello mondiale (dati del 30 novembre 2017). Ovunque ci sia una forte richiesta e la prospettiva di ricchi guadagni, i criminali non sono lontani. Negli ultimi mesi gli esperti di sicurezza G DATA hanno rilevato un numero crescente di malware che non mirano esclusivamente ai tradizionali servizi bancari online ma integrano anche funzioni atte a carpire i dati di accesso al wallet di criptovaluta. Contrariamente al classico online-banking infatti, per accedere al portafoglio digitale in molti casi è sufficiente procurarsi la password. G DATA reagisce a questa minaccia ai danni di chi utilizza Bitcoin ed estende la propria protezione anche ai più comuni portafogli di criptovaluta PC-based, tutelandoli contro l’accesso non autorizzato attraverso malware e contro transazioni indesiderate.

Aggiornamento gratuito per i clienti G DATA

I clienti G DATA con una licenza in corso di validità beneficeranno automaticamente delle funzioni aggiuntive attraverso il regolare aggiornamento delle signature.

Continua a leggere

Può essere che gli hacker vadano in ferie a luglio?


Dopo aver rilevato forti ondate di cybercriminalità a giugno abbiamo riscontrato una certa quiete fino alla fine di luglio – forse gli hacker vanno in ferie a luglio? Con lo strumento Breach Fighter, il team di Security Intelligence di Stormshield rileva e analizza i malware esaminando milioni di spam e attacchi mirati. Dagli stabilimenti balneari al ritorno di Locky – da un tipo di onda all’altra.

In vacanza a luglio e rientro in agosto?

Breach Fighter è uno strumento integrato in centinaia di migliaia di firewall di Stormshield Network Security distribuiti in tutto il mondo allo scopo di raccogliere quanti più campioni o modelli di attacco possibili. Utilizzando questo strumento, il team di Security Intelligence di Stormshield è riuscito a identificare una concreta variazione nel volume di attacchi cybernetici. Dopo i picchi verificatisi quasi quotidianamente nel mese di giugno, i volumi sono diminuiti drasticamente nel corso di luglio, con una modesta ripresa negli ultimi giorni del mese.

 

clicca qui per ingrandire

 

Non foss’altro che per il curioso periodo di calma, questa considerevole diminuzione di attacchi potrebbe suggerire che gli hacker e i loro committenti vadano in vacanza. Forse hanno dovuto scegliere tra investire fondi nelle vacanze o in nuovi attacchi malware? E hanno ripreso le proprie attività tra la fine di luglio e l’inizio di agosto per l’irrefrenabile desiderio di scoprire se e quando tra Daenerys e Jon Snow in Game of Thrones sboccerà qualcosa di più che una semplice amicizia? Oppure non volevano perdere l’occasione di influenzare gli acquisti del FC Barcelona dopo la partenza di Neymar? Fortunatamente anche attività apparentemente aride come l’analisi acribica delle minacce danno adito a ipotesi che strappano un sorriso.

Stormshield Security intelligence: prevenzione e reazione

La squadra di Security Intelligence di Stormshield ha due missioni principali: studiare e capire le minacce al fine di migliorare i prodotti Stormshield da un lato e di fornire il proprio contributo alla cybersecurity condividendo le proprie analisi e collaborando strettamente con organizzazioni professionali (CERT, istituti di ricerca, specialisti della sicurezza e altri).

Una chiara identificazione delle minacce è infatti il primo passo per affrontarle in maniera risolutiva. Come azienda votata all’innovazione, Stormshield valuta modi per combattere le minacce in modo proattivo, attraverso prodotti come Stormshield Endpoint Security, la cui capacità di bloccare minacce day zero sul nascere, senza richiedere alcun aggiornamento, è il carattere distintivo di una soluzione frutto del lavoro incessante del team di Security Intelligence.

Tramite Breach Fighter, integrato nei firewall perimetrali di Stormshield, i clienti Stormshield caricano su una sand-box nel cloud un gran numero di file da suddividere tra applicazioni legittime (goodware) e fraudolente (malware). Questo sistema di intelligence contro le minacce si avvale di strumenti proprietari, tra cui un honeypot (dati che fungono da “esca” per eventuali attacchi), un laboratorio d’analisi del malware, un linguaggio di classificazione personalizzato e algoritmi di apprendimento automatico.

Insieme a informazioni provenienti da fonti esterne, i prodotti Stormshield producono enormi quantità di informazioni e file, costantemente eviscerati dal team di Security Intelligence con l’obiettivo di disporre di un bacino di dati quanto più ampio possibile e di assicurare il miglior tasso di identificazione dei malware sul mercato.

Continua a leggere

G DATA mette a nudo ZeuS Panda


Gli analisti G DATA hanno curiosato nella struttura di questo ospite fisso tra i trojan che mirano al mondo bancario. Ora disponibile l’analisi completa di un malware particolarmente articolato.

Bochum – Il banking trojan ZeuS e la sua variante chiamata “Panda” hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. L’analisi G DATA rivela un trojan assolutamente fuori dal comune.

Come sapere se i sistemi sono infetti

Partiamo con una cattiva notizia: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quanto visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un particolare sito bancario o di sito per i pagamenti online. Gli utenti vengono indotti ad eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente, altri aggressori addirittura alzano la posta adducendo indagini sul riciclaggio di denaro condotte dalla “polizia finanziaria tedesca” (non esiste una simile istituzione in Germania, almeno non sotto questo nome). Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l’utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all’interno del browser, che altrimenti potrebbero rivelarne la presenza.

Ed ora la buona notizia: esistono tecnologie in grado di rilevare un’infezione anche in assenza di una firma per questo malware, come ad esempio G DATA BankGuard.

Perchè Panda è speciale

Sono numerosissime le applicazioni dannose che cercano di eludere la rilevazione e di precludere l’analisi. ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali – tra cui VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Molti analisti testano campioni di malware in ambienti virtuali, il malware tenta quindi di compromettere l’analisi. Inoltre, Panda verifica la presenza di molti strumenti utilizzati dagli analisti tra cui ProcMon, Regshot, Sandboxie, Wireshark, IDA e il debugger SoftICE. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, funzioni spesso copiate e incollate da codice di terzi. Nel caso di Panda, non solo la verifica è approfondita ma sono stati utilizzati diversi “packer” per creare il file dannoso, cosa che obbliga gli analisti a spacchettizzare il file manualmente. Insomma i creatori di ZeuS Panda hanno creato un malware che dà parecchio filo da torcere agli analisti.

Online circolano anche altri tipi di malware che utilizzano tecniche simili, ma in molti casi l’implementazione è scadente o il trojan stesso contiene errori, limitandone l’efficacia. Tra i numerosi esempi figurano anche casi in cui, dopo aver condotto le attività di deoffuscamento del codice, è risultato che l’URL che doveva essere contattato dal malware conteneva un errore di battitura, azzoppando l’intero costrutto.

Non è questo il caso di ZeuS Panda il cui compito è di continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server.

Un “coltellino svizzero” fabbricato nell’Europa orientale

Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene ZeuS Panda sia innanzitutto un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti (ossia quello che viene copiato in un file per incollarlo altrove  – le applicazioni che gestiscono le password utilizzano spesso la clipboard per trasferire le credenziali dal gestore delle password ad un’altra applicazione o sito web) e eventuali screenshot. Inoltre può implementare una backdoor completa sul sistema infetto tramite VNC. Una situazione equiparabile all’avere qualcuno che siede alle nostre spalle e ci spia quotidianamente 24 ore su 24.

Quale funzione di ZeuS Panda è effettivamente attiva sul sistema dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell’aggressore.

In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.

Analisi dettagliata

Il rapporto contenente l’analisi tecnica dettagliata di ZeuS Panda è scaricabile dal sito G DATA Advanced Analytics ed è integrato in due articoli postati dal team sul sito (Parte 1 e Parte 2 ).

Continua a leggere

Tutti pronti per il GDPR


Eliminare le vulnerabilità dei sistemi informatici e gestire gli aggiornamenti facilmente con G DATA Patch Management.

Bochum (Germania)

Il 25 maggio 2018 entra in vigore il regolamento generale sulla protezione dei dati (GDPR) dell’UE per rafforzare e unificare le modalità con cui vengono trattati i dati in Europa. Anche la protezione dell’infrastruttura IT contro attacchi informatici al fine di prevenire il furto di dati fa parte delle misure di tutela previste.  Come evidenziato dagli ultimi episodi di infezione su larga scala, l‘installazione degli aggiornamenti dei software è un tassello essenziale per mitigare i rischi dovuti allo sfruttamento di vulnerabilità di sistemi operativi e delle applicazioni potenzialmente accessibili agli aggressori. G DATA Patch Management aiuta gli amministratori di sistema ad adempiere a tali compiti e consente di installare eventuali patch immediatamente o in modo progressivo sulla rete.  In combinazione con le potenti soluzioni antivirus business di G DATA, la gestione semplificata degli aggiornamenti porta la tutela contro il furto di dati ad un livello superiore, fornendo alle società un valido aiuto in termini di compliance con il GDPR. 


Il regolamento generale sulla protezione dei dati dell’UE: Le aziende non possono farsi cogliere impreparate

Le nuove normative riguardano tutte le aziende che raccolgono e trattano dati personali, ad esempio attraverso il proprio database clienti.Queste aziende, indipendentemente dalla dimensione, devono garantire una protezione completa di tutte le informazioni sensibili attraverso tecnologie “allo stato dell’arte”, pena il dover far fronte a rigide sanzioni economiche. Chi impiega software obsoleti o non aggiorna i sistemi si pone in una situazione che può potenzialmente favorire gli attacchi informatici e corre il rischio di essere multato nel caso di una violazione dei dati. L’elaborazione di regole di conformità obbligatorie in merito al trattamento dei dati sensibili è uno dei passi necessari per garantirne la tutela. Un’altra componente importante è assicurarsi che l’infrastruttura IT sia dotata di una protezione completa contro la perdita dei dati e attacchi cyber. Proprio in questo contesto si collocano le soluzioni per la gestione del processo di patching dei sistemi. Queste consentono di installare repentinamente sulla rete gli aggiornamenti forniti dai produttori del software in uso.

La soluzione: G DATA Patch Management

Attraverso una soluzione per la gestione delle patch si affronta in modo efficace la pletora di aggiornamenti dei sistemi operativi o delle applicazioni forniti dai vendor. G DATA Patch Management è un modulo aggiuntivo che si integra nativamente nelle soluzioni di rete dello specialista della sicurezza IT e  che supporta gli amministratori nella distribuzione efficiente delle patch.

 


Vantaggi di G DATA Patch Management:
 

  • Gestione centralizzata delle patch: gli aggiornamenti vengono distribuiti ai singoli client in modalità centralizzata tramite il server di gestione è inoltre possibile eseguire un roll-out progressivo.
  • Minimizzazione dei rischi: le patch possono essere “eseguite” in un ambiente di prova per escludere eventuali problemi di compatibilità specifici sui client.
  • Sempre aggiornati: Con G DATA Patch Management, i responsabili IT si assicurano che i client utilizzino sempre le versioni più recenti del software in uso che, di conseguenza, risulterà meno vulnerabile.
  • Panoramica intuitiva: Il modulo fornisce agli amministratori una panoramica delle applicazioni e dei sistemi operativi utilizzati nella rete e l’elenco delle patch disponibili.

Per saperne di più su consultare:

https://www.gdata.it/aziende/patch-management

Continua a leggere

Petya redivivo – di nuovo


Di Petya G DATA ha già parlato nel 2016. Il ransomware si ripresenta occasionalmente con nuove vesti, l’ultima volta come “GoldenEye”. Questa nuova ondata di infezioni presenta una sola differenza: è la prima volta che Petya sfrutta un exploit proveniente dall’arsenale di un’agenzia di intelligence, portato tristemente alla ribalta con WannaCry.

Bochum – Secondo le ultime notizie diffuse dalle regioni inizialmente interessate dall’attacco e dai media, l’ondata di infezioni con il ransomware di Petya ha colpito numerosissime organizzazioni governative e private in Europa come negli Stati Uniti, tra cui una grande compagnia petrolifera, costretta – secondo indiscrezioni – a passare ai server di backup per garantire la continuità della produzione, aziende per la fornitura di energia elettrica, società di logistica e l’aeroporto di Kiev, chiuso nel tardo pomeriggio di ieri per le conseguenze dell’infezione, oltre a sistemi di pagamento elettronico in uso presso supermercati.

Nel frattempo, primi pagamenti del riscatto richiesto sono già stati versati su quello che – al momento – risulta essere l’unico portafoglio bitcoin per il quale si riconosca una relazione diretta con l’attuale campagna. G DATA sconsiglia fortemente di pagare qualsiasi riscatto! Non necessariamente il pagamento assicura che si possa di nuovo disporre dei file cifrati.  Tra l’altro, una volta scoperto che cybercriminali si stavano avvalendo di una casella di posta elettronica Posteo per lanciare l’attacco su larga scala, il provider tedesco ha bloccato l’accesso alla casella e ha informato l’Ufficio Federale per la Sicurezza Informatica. I cybercriminali non hanno più accesso alle mail ivi inviate.

Dettagli tecnici

Dalle analisi condotte dai G DATA Security Lab e da risultanze condivise dalla community infosec, l’origine dell’ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l’aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di  Wannacry il “nuovo” Petya non si propaga tramite Internet. Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l’esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash. Al contrario di quanto presentato da alcuni rapporti comparsi su piattaforme di social media, in questo ransomware non è presente alcun “killswitch”.

All’attuale stato delle cose, la componente che dà luogo alla diffusione dell’ultima variante di Petya pare funzionare meglio di WannaCry su Windows XP. Oltre a ciò, la versione corrente cancella il registro degli eventi di Windows durante il processo di infezione.

Il ransomware prende di mira file con le seguenti estensioni:

.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk

.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt

.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.

xlsx .xvd .zip

Un’infinità di nomi per il Petya redivivo

G DATA ha riscontrato una generalizzata confusione nell’assegnare un nome all’attuale variante del ransomware “Petya”. La base di codice è indubbiamente quella di Petya / Misha / GoldenEye, per questo motivo inizialmente intendevamo procedere usando il nome “Petya”. Altri lo hanno chiamato NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr e altri. Pur avendo deciso di fare riferimento a questa particolare nuova variante con il nome Petna, la denominazione con cui il ransomware è identificato resta invariata.

Clienti G DATA protetti

La variante corrente è rilevata da tutte le soluzioni G DATA come Win32.Trojan-Ransom.Petya.V e Trojan.Ransom.GoldenEye.B. Altri moduli proattivi quali l’ExploitProtection e la protezione comportamentale AntiRansomware offrono un ulteriore livello di protezione.

Countromisure e mitigazione

Ci sono diverse misure efficaci per prevenire infezioni o quanto meno mitigare i rischi:

  • Installare l’ultimo aggiornamento di Windows se possibile. Questo aggiornamento (disponibile dal mese di marzo – come già indicato nel caso di WannaCry) chiude le falle di cui si avvale l’exploit Eternalblue.
  • Per prevenire infezioni attraverso l’interfaccia di gestione di Windows (WMI), gli amministratori di sistema dovrebbero prendere alcune precauzioni, come raccomandato da Microsoft
  • L’esecuzione di un codice da remoto attraveso PSExec o WMI richiede privilegi di amministratore: si sconsiglia di garantire tali privilegi ai normali utenti.
  • Se si nota un’infezione prima che appaia la richiesta di riscatto, spegnere immediatamente il sistema. Non riavviare la macchina in nessun caso – c’è la possibilità che non tutto sia stato cifrato prima dello spegnimento forzato.

Di nuovo: raccomandiamo di non effettuare alcun pagamento di riscatto, soprattutto visto che il provider ha chiuso la casella di posta elettronica dei criminali.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://www.gdatasoftware.com/blog/2017/06/29840-petya-is-back-again

Continua a leggere

Panda Security e Stormshield siglano un’alleanza tecnologia europea contro le minacce informatiche


  • Due aziende leader nel settore della sicurezza informatica sottoscrivono un’alleanza tecnologica europea che assicurerà ai rispettivi clienti una protezione completa e globale contro il cybercrime.
  • L’accordo offre agli utenti il meglio delle soluzioni Stormshield e Panda Security per proteggere workstation e infrastrutture IT.
  • Fornisce tutti gli strumenti di gestione della sicurezza necessari per proteggere le aziende contro la violazione dei dati che cagionano in media danni per 3,7 milioni di euro.

Secondo un recente studio (1), le violazioni dei dati sono aumentate del 29% dal 2013 e in media cagionano danni per 3,7 milioni di euro alle imprese.

Panda Security, multinazionale spagnola leader in soluzioni di sicurezza endpoint, e Stormshield, azienda francese leader nella protezione delle reti aziendali, annunciano di aver siglato un’alleanza strategica europea che unisce le rispettive competenze a garanzia di una protezione ancora più efficiente delle infrastrutture e degli ambienti IT delle aziende, al fine di fornire loro un aiuto concreto nel percorso verso la trasformazione digitale. Attraverso questa alleanza strategica, i clienti avranno accesso a soluzioni uniche, progettate per rilevare e contrastare le minacce note e non note ai danni di reti, workstation e server. L’offerta congiunta darà ai clienti una visibilità completa e unificata delle minacce.

Una soluzione di sicurezza innovativa

Oltre a fornire ai clienti una soluzione unificata ed europea al 100%, che integra il meglio delle tecnologie per la sicurezza di perimetro e endpoint, questa collaborazione permetterà ai due partner di condividere esperienze e competenze in merito alle differenti minacce, al fine di aumentare significativamente il livello di protezione dei propri clienti. Nello specifico Stormshield condividerà la propria esperienza nella tutela di reti industriali e tecnologie operative. Più in generale, Panda Security e Stormshield collaboreranno a stretto contatto per fornire una protezione efficace contro minacce note e sconosciute. Questa collaborazione unica in Europa è indice del ruolo centrale che le due società informatiche europee intendono svolgere nel mercato della cybersecurity e in particolare nel campo della protezione dell’infrastruttura digitale.

Juan Santamaria, Direttore Generale di Panda Security commenta: “I firewall di nuova generazione e le funzionalità UTM perno delle soluzioni Stormshield Network Security proteggono efficacemente le reti dei nostri clienti, assicurando loro il miglior rapporto prezzo / prestazioni sul mercato. Queste soluzioni offrono una risposta completa e quanto mai necessaria all’esigenza di tutelare infrastrutture tradizionali, industriali e cloud “. Matthieu Bonenfant, Direttore Marketing di Stormshield, dichiara: “Panda Security gode di un posizionamento unico sul mercato della protezione delle workstation e delle soluzioni avanzate per la sicurezza informatica. Con Adaptive Defense, tutti i nostri clienti, indipendentemente dalla loro dimensione, beneficeranno di una sicurezza next-gen, facile da implementare e gestire. Questa soluzione si combina perfettamente con l’offerta Stormshield Endpoint Security dedicata principalmente a ambienti operativi sensibili e industriali. Siamo lieti di questa nuova alleanza e di come essa sottolinei il nostro impegno nel proporre una soluzione europea su larga scala per la sicurezza end-to-end delle infrastrutture dei nostri clienti”.

(1) 2016 Ponemon Institute Cost of a Data Breach Study

Continua a leggere