C’è sempre più la necessità di implementare una condizione di sicurezza all’interno di realtà in cui non c’è l’effettiva conoscenza dell’importanza di mantenere sicuri i propri dati, questo spesso avviene mettendo in secondo piano la rilevanza di una metodologia di sicurezza efficiente. Infatti, questa breve guida, serve a poter mettere in atto tutte quelle strategie in grado di limitare il possibile attacco. Mario Mancini.
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
La crittografia è un metodo utilizzato per proteggere i file, in modo da evitare che chiunque possa accedervi, anche senza una chiave di
accesso o password.
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
C’è sempre più la necessità di implementare una condizione di sicurezza all’interno di realtà in cui non c’è l’effettiva conoscenza dell’importanza di mantenere sicuri i propri dati, questo spesso avviene mettendo in secondo piano la rilevanza di una metodologia di sicurezza efficiente. Infatti, questa breve guida, serve a poter mettere in atto tutte quelle strategie in grado di limitare il possibile attacco. Mario Mancini.
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
La crittografia è un metodo utilizzato per proteggere i file, in modo da evitare che chiunque possa accedervi, anche senza una chiave di
accesso o password.
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
Cliccare è Sicuro: come Menlo Security Isolation Platform risolve i problemi di Navigazione Sicura e minacce Ransomware per le Grandi Aziende. I maggiori siti e portali sono Mashup che purtroppo nascondono molte vulnerabilità. L'approccio tradizionale "sito sicuro vs sito pericoloso" ha fallito e serve un nuovo paradigma.
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
La crittografia è un metodo utilizzato per proteggere i file, in modo da evitare che chiunque possa accedervi, anche senza una chiave di
accesso o password.
Questi file possono essere attaccati da diversi tipi di virus, che ne
mettono a rischio le informazioni, come avviene con il temutissimo
ransomware.
LinuxDay 2009
Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...Francesco Faenzi
L’avvento dell’era digitale ha portato le imprese a fronteggiare
una crescita esponenziale sia delle opportunità di sviluppo che
dei rischi e dei pericoli connessi con l’impiego delle reti.
Oggi sono pochissime le realtà industriali che conoscono bene
i diversi tipi di minaccia da cui difendersi e sono consapevoli dei rischi a cui sono esposte. Non solo: spesso le imprese produttive ritengono che la Cyber Security sia un argomento che riguarda solo altre realtà.
La crescita vertiginosa dei fenomeni di hacking registrati nell’ultimo
periodo nel mondo industriale conferma tuttavia la notevole
vulnerabilità delle aziende e i rischi per la loro produzione.
Gli obiettivi Il convegno offre alle aziende e agli operatori un’occasione di confronto sul tema “Industrial Cyber Security”, per aumentare la consapevolezza relativa ai rischi e orientarli nel percorso di implementazione delle misure necessarie a prevenire i pericoli insiti nella rete e ad ostacolare gli attacchi informatici.
Durante l’incontro saranno descritte le diverse minacce esistenti in ambito industriale, presentati gli aspetti fondamentali del Cyber Crime e proposte misure efficaci per proteggere la produttività degli impianti e la riservatezza dei dati.
Cryptolocker, ransomware e ricatti digitali dalchecco
A partire dal settembre 2013 si diffondono via email diverse versioni di malware definiti ransomware che infettano computer sui quali è installato Windows e chiedono un riscatto in bitcoin per riavere i propri documenti. Hanno nomi diversi - CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt - ma comportamento simile. Con il tempo è stata ridotta la possibilità di ottenere i propri file senza pagare il riscatto in bitcoin ed è stato migliorato il metodo di pagamento che diventa più agevole ma anche meno tracciabile. Nelle slide viene presentata la storia di Cryptolocker, fornite informazioni sul contagio, prevenzione, rimozione del trojan e informazioni su cui si ritiene sia alla base di queste vere e proprie macchine per fare soldi.
Malware: the great menaces. Classification and hints for (auto)protection.
http://www.archive.org/details/SicurezzaInformaticaDiBase-Parte2-A.Tringali.OGG
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdfHelpRansomware
Decriptare file ransomware significa decodificare un file attaccato e reso inaccessibile da un malware.
Il termine ransomware, infatti, indica una classe di malware che, una volta infettato il computer, rende inaccessibili i dati e richiede il pagamento di un riscatto per ripristinarli.
Cliccare è Sicuro: come Menlo Security Isolation Platform risolve i problemi di Navigazione Sicura e minacce Ransomware per le Grandi Aziende. I maggiori siti e portali sono Mashup che purtroppo nascondono molte vulnerabilità. L'approccio tradizionale "sito sicuro vs sito pericoloso" ha fallito e serve un nuovo paradigma.
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
La crittografia è un metodo utilizzato per proteggere i file, in modo da evitare che chiunque possa accedervi, anche senza una chiave di
accesso o password.
Questi file possono essere attaccati da diversi tipi di virus, che ne
mettono a rischio le informazioni, come avviene con il temutissimo
ransomware.
LinuxDay 2009
Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...Francesco Faenzi
L’avvento dell’era digitale ha portato le imprese a fronteggiare
una crescita esponenziale sia delle opportunità di sviluppo che
dei rischi e dei pericoli connessi con l’impiego delle reti.
Oggi sono pochissime le realtà industriali che conoscono bene
i diversi tipi di minaccia da cui difendersi e sono consapevoli dei rischi a cui sono esposte. Non solo: spesso le imprese produttive ritengono che la Cyber Security sia un argomento che riguarda solo altre realtà.
La crescita vertiginosa dei fenomeni di hacking registrati nell’ultimo
periodo nel mondo industriale conferma tuttavia la notevole
vulnerabilità delle aziende e i rischi per la loro produzione.
Gli obiettivi Il convegno offre alle aziende e agli operatori un’occasione di confronto sul tema “Industrial Cyber Security”, per aumentare la consapevolezza relativa ai rischi e orientarli nel percorso di implementazione delle misure necessarie a prevenire i pericoli insiti nella rete e ad ostacolare gli attacchi informatici.
Durante l’incontro saranno descritte le diverse minacce esistenti in ambito industriale, presentati gli aspetti fondamentali del Cyber Crime e proposte misure efficaci per proteggere la produttività degli impianti e la riservatezza dei dati.
Cryptolocker, ransomware e ricatti digitali dalchecco
A partire dal settembre 2013 si diffondono via email diverse versioni di malware definiti ransomware che infettano computer sui quali è installato Windows e chiedono un riscatto in bitcoin per riavere i propri documenti. Hanno nomi diversi - CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt - ma comportamento simile. Con il tempo è stata ridotta la possibilità di ottenere i propri file senza pagare il riscatto in bitcoin ed è stato migliorato il metodo di pagamento che diventa più agevole ma anche meno tracciabile. Nelle slide viene presentata la storia di Cryptolocker, fornite informazioni sul contagio, prevenzione, rimozione del trojan e informazioni su cui si ritiene sia alla base di queste vere e proprie macchine per fare soldi.
Malware: the great menaces. Classification and hints for (auto)protection.
http://www.archive.org/details/SicurezzaInformaticaDiBase-Parte2-A.Tringali.OGG
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdfHelpRansomware
Decriptare file ransomware significa decodificare un file attaccato e reso inaccessibile da un malware.
Il termine ransomware, infatti, indica una classe di malware che, una volta infettato il computer, rende inaccessibili i dati e richiede il pagamento di un riscatto per ripristinarli.
Qual È La Migliore Protezione Ransomware E Come Attivarla Su Windows.pdfHelpRansomware
Il ransomware è una forma di software dannoso che blocca l'accesso ai dati.
Gli hacker chiedono il pagamento di un riscatto per la decrittazione ransomware.
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdfHelpRansomware
Leggi la guida e scopri la definizione ransomware in tutte le sue sfaccettature: che cos'è, perché è un metodo di attacco così efficace e come puoi proteggere la tua organizzazione da questo pericolo.
Gli attacchi alla supply chain open source di nuova generazione sono aumentati del 400% nei primi mesi del 2021.
Gli hackers sono sempre più creativi e stanno ricorrendo ad attacchi alla supply-chain di nuova generazione per trasformare i progetti open source in canali di distribuzione di malware.
Perché invadere l'ecosistema open source? La ragione è che i componenti compromessi possono essere immediatamente sfruttati una volta scaricati.
Adottare un approccio secure by design è al momento l'unica arma di difesa. Ne parliamo in questo webinar, in compagnia di Riccardo Bernasconi e Gabriele Gianoglio
Il 2016, in Italia, è partito veramente male per le aziende che vengono continuamente bersagliate dai cosiddetti “Criminali del web”. Solo in provincia di Vicenza le aziende che sono state vittima di ransomware sono circa 250. I danni per molte aziende sono stati ingenti, quelle non organizzate e strutturate con sistemi di protezione, sistemi di backup e/o disaster recovery hanno avuto la peggio perdendo i dati, mentre le organizzazioni che avevano già da tempo dato importanza alla “Sicurezza Informatica” si sono limitate a qualche ora di fermo per poter avviare e portare a termine i vari piani di Disaster Recovery.
Purtroppo questi fenomeni e queste tipologie di attacchi stanno diventando sempre più numerosi e potenti, grazie al fatto che, nel mondo del “Dark Web”, si trovano spesso i cosiddetti “Distributori di ransomware”, che arruolano nelle proprie organizzazioni criminali chiunque sia in cerca di soldi facili: vendono dei kit a pochi soldi, naturalmente si fanno pagare in Bitcoin (moneta virtuale) aumentando così la rete e l'area di distribuzione. Le soluzioni “fai da te” non hanno portato buoni risultati; ho visto negli ultimi mesi aziende che avevano sistemi di backup e soluzioni antivirus che comunque sono state attaccate da queste tipologie di virus perdendo dati e backup. Alcuni, ad esempio, avevano i dispositivi su cui venivano depositati i backup connessi ai computer e/o server e privi di sistemi di protezione adeguati. Voglio ricordare che i ransomware si espandono sul PC infettato e su tutti i dispositivi collegati (Dischi USB, Pen Drive, sistemi di Storage, NAS, e quant’altro), ripeto, privi di sistemi di protezione adeguati.
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli enti e i professionisti
Macerata, 22 Giugno 2013
Storia dei computer virus: dalle origini dei virus per Ms-Dos ai malware in ambiente Windows.
Analisi di malware moderni: Trojan Banker, FraudTool, Ransomware, malware dei social network, virus dell'email.
Analisi delle Vulnerabilità e tecniche utilizzate per la diffusione.
In questo documento si vuole illustrare in maniera sintetica ma allo stesso tempo esaustiva le tecniche di attacco ad un sistema informatico e i metodi di difesa.
Per tecniche di Attacco si intende un insieme di metodi che sfruttano vulnerabilità dei sistemi che consentono ad un attaccante (Hacker / Cracker) di introdursi illecitamente in essi praticandone del dolo.
Per metodi di difesa invece si intende un insieme di tool tramite i quali è possibile una Riduzione del rischio di intrusione sui sistemi.
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Come Recuperare File Crittografati Da Diversi Dispositivi [2022].pdfHelpRansomware
Leggi la guida di HelpRansomware e scopri come aprire file criptati e accedere ai tuoi dati. Scoprirai le varie tecniche per aprire unità crittografate.
Similar to Ransomware Attack nel 2019 Dal file system ai database e non solo... (20)
Social Engineering and other Foes in the GDPR YearMassimo Chirivì
Il workshop è dedicato all'approfondimento di una serie di attacchi e minacce da tener sotto controllo per ottemperare al pieno rispetto del GDPR.
Si approfondiranno temi legati a crittografia, data loss prevention, sicurezza fisica, social engineering attack e Open Source Intelligence.
Una veloce full immersion utile per sintetizzare e costruire il nuovo modus operandi ICT aziendale.
Target:
Lato domanda ICT: CIO, CISO, tecnici dei sistemi informatici e della loro sicurezza, responsabili delle diverse direzioni utenti dei sistemi informatici, responsabili del personale e dell’organizzazione, responsabili degli acquisti, CEO, COO e decisori sull’ICT
Lato offerta ICT: personale commerciale e marketing, tecnici, responsabili del personale e dell’organizzazione, CEO e COO, oltre a CIO, CSO, CISO e personale delle loro strutture.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Affrontare la sicurezza di una web application è uno dei compiti più difficili che uno sviluppatore deve considerare durante le fasi di sviluppo ed integrazione di un software o di un semplice sito web.
Le minacce presenti sul web sono sempre più numerose e ricercare vulnerabilità e metodi di attacco diventa sempre più semplice, anche per i meno esperti.
Il talk mira a fornire indicazioni utili per cercare di evitare al massimo attacchi sulle proprie applicazioni, analizzando le principali vulnerabilità dei più famosi progetti Open Source.
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
2. 2
Condividere è un dovere etico… La condivisione è conoscenza.
➢ CEO & Founder Innovamind srls
➢ 25 anni di esperienza nel settore
➢ Ethical Hacker
➢ DPO
➢ Membro del CD di AIPSI (Associazione Italiana Professionisti della Sicurezza Informatica)
➢ Membro dell’americana ISSA (Information Systems Security Association)
➢ Membro Federprivacy
➢ Membro ICTTF International Cyber Threat Task Force
➢ Socio AICA
➢ Microsoft Certified It Professional – MCTS - MCSA
➢ Relatore in seminari e tavole rotonde su tematiche di sicurezza ICT
➢ Docente esterno in vari istituti scolastici
➢ Esperto e coordinatore di progetti ICT nella PA
➢ CTP
➢ Consulente e responsabile ICT in PMI e PA
➢ Security Expert ISO 27001 – ISO 27017 – ISO 27018
Massimo Chirivì - info@massimochirivi.net ------ Twitter: @massimochirivi ------ Faceboook: @massimochirivi ------ www.massimochirivi.net
About me:
3. AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• Associazione apolitica e senza fini di lucro
• Capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org)
che conta >>12.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT nel mondo
• Obiettivo principale: aiutare i propri Soci nella crescita professionale → competenze
→carriera e crescita business
• Offrendo ai propri Soci servizi qualificati per tale crescita, che includono
• Convegni, workshop, webinar sia a livello nazionale che internazionale via
ISSA
• ISSA Journal
• Rapporti annuali e specifici; esempi:
• Rapporto annuale OAD nel nuovo sito https://www.oadweb.it
• ESG ISSA Survey “The Life and Times of Cyber Security Professionals”
• Concreto supporto nell’intero ciclo di vita professionale, con formazione
specializzata e supporto alle certificazioni, in particolare eCF Plus (EN 16234-
1:2016)
• Collaborazione con varie Associazioni ed Enti per eventi ed iniziative
congiunte
• Gruppo Specialistico di Interesse CSWI, Cyber Security Women Italy, aperto a
tutte le donne che in Italia operano a qualsiasi livello nell’ambito della
sicurezza digitale (anche non socie AIPSI)
6. 6
CRIMEWARE-AS-A-SERVICE
• Noto ceppo di ransomware venduto come "servizio" sul cyber-
underground.
• L'idea di CaaS, o crimeware-as-a-service, viene presa in prestito dai modelli di outsourcing e di
cloud computing utilizzati dalle normali aziende
• In questi giorni, ad esempio, se si desidera pubblicare i propri video, non è necessario
conoscere la compressione video, la gamma di colori, i formati dei pixel, la transcodifica, i
bitrate, come eseguire un server di streaming live o qualcuna di queste cose ...
• Basta premere [Registra] sul telefono, catturare le riprese video e quindi fare clic su un
pulsante per condividere il video con chiunque desideri tramite un'intera gamma di reti di
hosting video gratuite come YouTube.
• CaaS funziona in modo simile - se vuoi provare a fare soldi con il ransomware, ad esempio, e
sai quali sono i posti giusti per andare nel cyberunderground, puoi chiedere a qualcun altro di
occuparsi del lato tecnico in cambio di una divisione degli incassi - nessuna spesa anticipata.
7. 7
Modus Operandi:
• I criminali dietro a WannaCry e NotPetya hanno utilizzato un exploit NSA
• Il phishing. Perché preoccuparsi di worm e exploit quando puoi semplicemente iscriverti al crimeware online
e fare clic su un pulsante per estrarre gli allegati di posta elettronica con trappole esplosive?
Il phishing è un gioco di numeri: la maggior parte delle tue e-mail non andrà a buon fine, molte di quelle che
andranno non lette e anche quelle che si apriranno potrebbero trovarsi a colpire un muro di mattoni - un sistema
patchato, per esempio, o un utente che si rende conto che qualcosa di fasullo sta succedendo e si ferma poco
prima di essere infettato.
I truffatori di phishing guadagnano solo se possono trovare ripetutamente nuovi modi per persuadere gli utenti ad
aprire e-mail e fare cose che il loro team IT li ha avvertiti, come salvare allegati su disco e poi lanciarli, o aprire
documenti di Office e abilitare deliberatamente i macro.
Il motto delle organizzazioni criminali?
Se vuoi che qualcosa funzioni correttamente, devi farlo tu stesso.
9. 9
RDP
• I truffatori scaricano e installano software di tweaking del
sistema di basso livello, come il popolare strumento Process
Hacker
• I criminali disattivano o riconfigurano il software anti-malware,
utilizzando gli strumenti di modifica appena installati.
• I criminali seguono le password degli account degli
amministratori in modo che possano godere di tutto il
potere di un amministratore di sistema legittimo. Se non
riescono a ottenere una password di amministratore,
potrebbero provare ad accedere come utente normale e ad
eseguire strumenti di hacking che tentano di sfruttare
vulnerabilità prive di patch per ottenere ciò che viene
chiamato EoP o elevazione dei privilegi
CVE-2017-0213 e CVE-2016-0099
10. 10
RDP
• I criminali disattivano i servizi di database (ad esempio SQL) in modo che i file di database vitali
possano essere attaccati dal malware.
• File come i database SQL sono in genere bloccati mentre il software del server database è attivo,
come precauzione contro la corruzione che potrebbe essere causata dall'accesso simultaneo di un
altro programma. L'effetto collaterale di questo è che il malware non può ottenere l'accesso diretto
ai file di database e, quindi, non può scomporli per tenerli in ostaggio
• I criminali disattivano Volume Shadow Copy (il servizio di backup live di Windows) ed eliminano
eventuali file di backup esistenti.
• Le copie shadow fungono da backup online in tempo reale che possono rendere il recupero da
ransomware un processo semplice e rapido. Ecco perché i criminali cercano spesso le copie
shadow prima di rimuoverle
11. 11
• Se non hai bisogno di RDP, assicurati che sia spento. Ricordarsi di controllare tutti i
computer della rete: RDP può essere utilizzato per connettersi a server, desktop e laptop.
• Considerare l'utilizzo di una rete privata virtuale (VPN) per le connessioni dall'esterno della
rete. Una VPN richiede agli estranei di autenticarsi prima con il firewall e di connettersi da lì
ai servizi interni. Ciò significa che software come RDP non devono mai essere esposti
direttamente a Internet.
• Utilizza l'autenticazione a due fattori (2FA) ovunque tu sia possibile. Se i truffatori rubano o
indovinano la tua password, non basta.
• Patch presto, patch spesso. Ciò impedisce ai truffatori di sfruttare le vulnerabilità contro la
rete, riducendo così l'esposizione al pericolo.
• Dopo un attacco non basta rimuovere il malware o applicare le patch mancanti. Controllate
soprattutto le applicazioni aggiunte, le impostazioni di sicurezza modificate e gli account
utente appena creati.
• Imposta un criterio di blocco per limitare gli attacchi brute force di password. Con tre ipotesi
alla volta seguite da un blocco di cinque minuti, un truffatore può provare solo 12 × 3 = 36
password all'ora, il che rende un attacco di forza bruta poco pratico.
17. 17
RANSOMWARE IS TARGETING NETWORK ATTACHED STORAGE (NAS)
Al momento dell'esecuzione, il ransomware di crittografia dei file si collega innanzitutto al server remoto di
comando e controllo, protetto dietro la rete Tor, utilizzando un proxy Tor SOCKS5 per comunicare agli
aggressori le nuove vittime.
Sulla base di alcune analisi, è chiaro che il proxy è stato impostato dall'autore del malware per fornire l'accesso
alla rete Tor al malware senza includere la funzionalità Tor nel malware
Prima di crittografare i file, il ransomware richiede un indirizzo bitcoin univoco, dove le vittime devono trasferire
l'importo del riscatto, dal server C & C dell'attaccante che contiene un elenco predefinito di indirizzi bitcoin già
creati.
Se il server esaurisce indirizzi bitcoin univoci, il ransomware non procede alla crittografia dei file e attende che gli
autori di attacchi creino e forniscano un nuovo indirizzo.
• È interessante notare che alcuni ricercatori hanno approfittato di questo meccanismo e hanno creato uno script
che permetteva loro di ingannare il server C & C dell'attaccante assegnando tutti gli indirizzi bitcoin disponibili a
centinaia di vittime virtuali, bloccando così il ransomware dalla crittografia dei file per nuove vittime legittime.
20. 20
• Dharma ransomware è una versione di Crysis, che è un altro malware pericoloso.
• Dharma crittografa i file utente utilizzando la crittografia asimmetrica
Dharma Ransomware
21. 21
• Dharma Ransomware utilizza un Anti-Virus reale per l’attacco malware
• Nell'ultimo periodo Dharma Ransomware sta inviando spam agli utenti con una e-mail intitolata "MSC-ALERT-
IMPORTANT!". L'e-mail contiene un avviso di sistema corrotto che richiede all'utente di fare clic e scaricare una
versione precedente di ESET Antivirus.
• L'e-mail richiede all'utente di scaricare e verificare il proprio anti-virus utilizzando una password allegata. Il file di
download è un archivio autoestraente chiamato Defender.exe. Contiene due file e il programma di installazione
del software antivirus.
• I due file dannosi sono taskhost.exe e Defender_nt32_enu.exe. Il primo file attiva il Dharma Ransomware
stesso come RANSOM.WIN32.DHARMA.THDAAAI.
• Il ransomware fa il suo lavoro per mantenere gli utenti occupati con le installazioni anti-virus mentre crittografa i
file in background. L'installer dell'antivirus ESET è assolutamente reale e funziona perfettamente.
• Inoltre, il processo di installazione di ESET antivirus non è in alcun modo correlato a Dharma Ransomware. È
da notare che la crittografia dei file dovuta agli attacchi di ransomware e l’installazione antivirus avvengono
separatamente.