Gli attori malevoli sono conosciuti per essere restii al cambiamento, tant’è che esistono grandi banche dati (knowledge base) dedicate solo alla raccolta delle tattiche e delle procedute degli attaccanti, come la Mitre Att&ck.

I motori antivirus usano di base una ricerca basata su un database di firme Hash; l’hash è una funzione matematica che restituisce una stringa univoca di caratteri a partire da un determinato oggetto di un file, per determinare se un programma è già stato identificato come malevolo ma, come sappiamo bene, le firme sono facili da cambiare. Viene quindi in soccorso il Fuzzy Hash (che consiste nel rigenerare l’hash cambiando quando qualche cosa in modo da avere molti Hash di file simili). Ma, se cambiassimo completamente il programma mantenendo lo stesso comportamento?

Squadra che vince non si cambia

Secondo Blackberry sta andando di moda la traduzione di vecchi malware in linguaggi poco conosciuti, questo oltre a variare completamente la firma, rende l’analisi del malware difficoltosa da un punto di vista statico.

La semplice traduzione di un malware rende pericolose nuovamente le vecchie conoscenze, questo perché passerebbero inosservati a un semplice controllo della

Abbiamo parlato la volta scorsa dello skill shortage, oggi vi presentiamo un po' di dati grezzi per farvi capire l’entità della problematica, non solo italiana ma mondiale.

I CISO italiani hanno riconosciuto una difficoltà nel trovare risorse per il settore della Cyber Security; i dati dicono che nel 75% dei casi le aziende riscontrano difficoltà nell’assumere in questo settore, e che nel 50% si presenta un solo candidato per la posizione richiesta. Alle offerte molto spesso rispondono candidati con scarsa esperienza operativa questo è direttamente collegato al fatto che le lauree in ingegneria e informatica forniscono conoscenze in ambito Cybersec ma solo teoriche, quindi non consentono un immediato inserimento nel mondo del lavoro.

Questo costringe le aziende a spendere tempo e denaro nella formazione di nuove risorse; in alcuni casi addirittura si assumono neodiplomati da formare nonostante 1-3 anni di esperienza, sia la soglia minima per accedere (dato che le posizioni spesso rimangono aperte più di 61 giorni, alcune fino a 3 mesi).

Anche secondo LinkedIn Emerging Jobs Italia 2020, tra le professioni 'emergenti' più ricercate c'è quella del Cyber Security Specialist che sarà una delle professioni più richieste del 2021.

Lo Skill-Shortage nel campo della cybersecurity si fa sentire… orde di aziende cercano sempre più persone per proteggere i dati. 

Ma vi siete mai posti la domanda: come faccio ad entrare in questo mondo?

Avere solide basi e una mente allenata, all’acquisire informazioni che mutano rapidamente, aiuta, una laurea in informatica, ingegneria informatica o campi STEM farà sicuramente al caso vostro.

Sfortunatamente lo skillset fornito da questi percorsi non risulta essere sufficiente e andrà condito con qualche master oppure altri cammini che rispondono alla domanda: Che ruolo voglio coprire?

Beh... le strade sono tante, ma una panoramica di queste può essere riassunta in tre vie fondamentali; queste riunite, permettono di formare un team idoneo ad una difesa a tutto tondo delle organizzazioni:

La difesa - L’attacco - L’analisi

 Le prime due sono strade puramente tecniche in cui si svolge un ruolo attivo di prevenzione contro le minacce cyber, in particolare per difesa si parla degli operatori S.O.C. (Security Operation Center) che costituiscono il cosiddetto Blue-Team.

Facciamo una checklist: il phon l‘hai preso? Gli asciugamani? Bene allora prima di salire in macchina chiudi il gas e aggiorna il N.A.S.!

Fa caldo, c'è un bel sole, qualcuno già è sdraiato sul lettino sotto l’ombrellone, mentre qualcun altro è seduto su una sedia con l'intenzione di andare a pesca ma non al mare e non il pesce, ma le vostre password.

Ma come gli hacker non vanno in vacanza?

No mai, la maggior parte degli attacchi avviene proprio d'estate; la gente è più distratta, ci sono più scuse per inviare mail di phishing credibili, dispositivi esposti in rete come server casalinghi mancheranno di manutenzione per un lungo periodo.

Allora è giunto il momento di aggiungere un po' di robustezza alla nostra infrastruttura, ossia osservare alcuni comportamenti:

•    Instrumentare una buona politica di backup. 

•    Scansionare tutte le macchine con un buon antivirus.

•    Disconnettere dalla rete tutti i dispositivi non necessari.

Bene, la situazione a casa adesso è sistemata ora bisogna pensare a quando si è in viaggio

È il caso di nuova campagna multi-malware che ha come mezzo di diffusione dei comunissimi file excel diffusi tramite mail che una volta aperti vi infetteranno con i malware: Agent Tesla, Lokibot e Formbook.

Fino a qui è notizia vecchia! Cosa cambia questa volta?

Cambia che i file infetti diffusi tramite le e-mail di phishing spesso sono crittati e protetti da password come forma di “AntiVirus Evasion” non vengono quindi rilevati e richiedono una password per essere aperti.

Allora non c’è nessun problema vero? Io dimentico anche le mie di password figuriamoci se conosco quella del malware!

Questa volta non è necessario conoscere la password (anche se è sicuramente contenuta nel corpo della mail), poiché è quella di default ed è inserita direttamente nel codice di excel! In breve, se la password è “VelvetSweatshop” il documento viene decrittato in automatico.

Una delle mie frasi preferite in ambito di sicurezza informatica è “mi sono comprato il Mac perché non ha virus”, questa purtroppo è un’idea fin troppo diffusa.

Ma da cosa nasce?

La user base dei sistemi Macintosh è stata da sempre molto ridotta se la paragoniamo a quella del gigante di Redmond (Microsoft), questo faceva rivolgere l’attenzione degli hacker da un'altra parte e non implica di per sé che il sistema Apple sia più sicuro o meno.

Una dura realtà

Oggi, infatti, ci troviamo a parlare di una triste tendenza l’aumento esponenziale di malware in grado di essere eseguiti su sistemi operativi diversi, grazie anche alla diffusione di linguaggi di programmazione Cross-Platform (multipiattaforma) e al passaggio da parte di Apple dall’architettura PowerPC al più comune x86.

Venerdì scorso (2/7/2021) il ransomware REvil ha colpito diversi provider di servizi di management (MSP). Il gruppo che diffonde REvil, dichiara di aver infettato più di un milione di sistemi. Fra le vittime del gruppo possiamo citare: Coop, che ha chiuso più di 500 punti vendita a causa dell’attacco, Sol Orient, un’industria coinvolta nel commercio di armi nucleari e JBS (già nota per aver pagato un riscatto di 11 milioni di dollari. il più grande produttore di carni al mondo, ma queste sono solo 3 delle migliaia di aziende colpite.

Il gruppo oggi torna a farsi sentire proponendo la soluzione a tutti i problemi creati dal malware, un decrypter universale in grado di rendere di nuovo disponibili tutti i file crittati, beh, ovviamente dietro il pagamento della modica cifra di 44.999$ per i file con una determinata estensione, cifra che può raggiungere i 500 mila dollari per sbloccare ogni tipo di file, per un totale che ammonterebbe a 70 milioni di dollari.

I servizi cloud offrono la possibilità di collaborare on-line in maniera rapida e conveniente, offendo soluzioni di qualsivoglia genere. Nei servizi commerciali però, “la nuvola” richiede che il cliente si fidi ciecamente dell’azienda che fornisce il servizio. 

Poco male quando si tratta di cose facilmente ripetibili, molto peggio quando viene chiesto di tornare ai caraibi per scattare di nuovo quella foto su una spiaggia dalla sabbia bianchissima. Dura è stata la lezione impartita agli utenti del servizio “my cloud live” di Western Digital (uno dei colossi della produzione di hard disk), trattasi di un cloud personale che permette di avere una soluzione di backup a casa propria accessibile da internet lasciando all’azienda l’onere di occuparsi del controllo degli accessi. 

Si è scoperto che ben otto applicazioni Android sul Google Play Store contengono il malware Joker, che da più di tre anni continua a fare danni. Le applicazioni, individuate da Quick Heal Security Labs, possono raccogliere e rubare i dati agli utenti Android e creare molti altri problemi.

Per fortuna, la società di ricerca ha portato il problema all'attenzione di Google e pare che le otto applicazioni infette sono state da allora rimosse dal Play Store. Non sono quindi più disponibili per il download, ma le applicazioni stesse rappresentano ancora una minaccia se installate prima della rimozione.

Il malware Joker ruba i dati degli utenti e può anche segretamente iscriverli a costosi abbonamenti a pagamento senza il loro permesso. Il malware inoltre ha la capacità di rubare liste di contatti, informazioni sul dispositivo, messaggi e tanto altro.

Secondo il rapporto di Quick Heal, gli step che queste app utilizzano sono i seguenti: al momento del lancio richiedono l’accesso di notifica per poi rubare i dati degli SMS;

Beh, sicuramente questa è nuova. In genere, quando un malware entra all’interno di un sistema, i suoi scopi sono tutt’altro che leciti.  Infatti, solitamente cerca di rubare informazioni, danneggiare file o sistemi. Eppure, nel caso di cui parleremo oggi, un interessante ceppo di malware scoperto da Sophos non fa nulla di tutto ciò.

Fa sempre danni, certo, però è particolarmente selettivo per quanto riguarda le vittime dei suoi attacchi. In questo caso si tratta degli individui che scaricano applicazioni o giochi sui siti pirata.

Il malware finge di essere un videogioco o un’applicazione normale e quando l’utente interessato lo scarica, modifica il file Hosts locale. Spesso non ha al suo interno nemmeno il gioco o l’applicazione (insomma, si perde su tutti i fronti).

Una volta aperto il file/programma infetto, sullo schermo appare l’errore che all’utente manca il file “MSVCR100.dll” necessario per eseguire l’applicazione. Ovviamente si tratta di un errore falso che serve solamente a confondere la vittima, infatti in quel