La polizia olandese ha chiuso 15 servizi DDoS in una settimana

2020-04-13

Le autorità olandesi riferiscono che la scorsa settimana sono stati chiusi 15 servizi per l’esecuzione di attacchi DDoS a noleggio. Rappresentanti di società di web hosting, registrar di domini, impiegati di Europol, Interpol e dell’FBI hanno preso parte a questa operazione su larga scala.

I nomi dei servizi chiusi non sono ancora stati resi noti. Ma è noto che nei Paesi Bassi è stato arrestato un sospetto di 19 anni, che ha lanciato attacchi DDoS su siti governativi. Quindi, per colpa sua, due risorse del governo olandese non hanno funzionato per diverse ore il 19 marzo 2020.

Uno dei siti governativi attaccati è Overheid.nl. La risorsa contiene informazioni su tutti i servizi e i dati delle organizzazioni governative nel paese e recentemente, a causa della pandemia di COVID-19, è spesso visitata da cittadini olandesi.

Un altro sito, MijnOverheid.nl, è una piattaforma che consente di ricevere servizi digitali dal governo dei Paesi Bassi, compresi quelli relativi a tasse, assegni familiari e così via.

“Soprattutto in tempi in cui molti decreti straordinari e altri sono pubblicati su questo sito, è indispensabile che sia disponibile per i cittadini”, si legge nel comunicato stampa ufficiale.

Vorrei ricordare che le forze dell’ordine olandesi hanno lottato con i servizi DDoS da molto tempo e seriamente. Ad esempio, sei mesi fa, nell’ottobre 2019, si sono assicurati la chiusura della società di hosting KV Solutions BV, i cui server e infrastruttura di back-end sono stati utilizzati per ospitare molte botnet IoT utilizzate attivamente per gli attacchi DDoS. Inoltre, due dei fondatori di questa compagnia furono arrestati.

In precedenza, prima di Natale 2018, le forze dell’ordine olandesi hanno preso parte a un’operazione congiunta con l’FBI e l’Europol, che ha portato all’eliminazione di 15 principali servizi per gli attacchi DDoS assunti. Di conseguenza, quell’anno non ci furono attacchi “tradizionali” natalizi a DDoS su vari servizi, e dopo che gli analisti notarono che il numero totale di attacchi DDoS diminuì dell’11% e che la loro potenza (la quantità di traffico diretta all’obiettivo) diminuì completamente dell’85 , 36%.

Slingshot – scoperto “nuovo” virus attivo dal 2012

Il virus informatico individuato da Kaspersky attivo dal 2012. Agisce silenziosamente prendendo screenshot, la password e i dati.

Si chiama Slingshot e attacca via router. Il nuovo malware è stato intercettato da Kaspersky Lab, che lo segnala attivo dal 2012. Si tratta di un codice malevolo in grado di spiare i pc prendendo di mira i router MicroTik. Prima sostituisce una libreria con il codice malevolo che scarica gli altri componenti, poi sferra un attacco ”intelligente” per accedere al contenuto della macchina.

Si tratta, stando ai dettagli descritti dagli esperti di Kaspersky, di un attacco multilivello che riesce a raggiungere memoria e storage, mantenendo “vivo” e quindi operativo il malware che agisce attraverso gli applicativi Canhadr e GollumApp. Slingshot agisce creando un file system virtuale crittografato che gli consente così di attivare le procedure eludendo i controlli di sicurezza.

La modalità di Slingshot fa pensare che sia stato lanciato per colpire e controllare le macchine nei Paesi a rischio terrorismo e finora risultano essere un centinaio le istituzioni prese d’assalto tra Iraq, Afghanistan, Kenya, Giordania, Libia e Turchia.

Qui articolo originale in inglese

Attenzione crypto virus ransomware

ransomware sono virus informatici – tecnicamente “trojan” – che bloccano i documenti contenuti sui sistemi infettati e chiedono un riscatto, in genere in bitcoin. Dopo essere stato contagiato dal cryptovirus, il computer continua a funzionare ma foto, filmati, musica e scritti della vittima vengono protetti tramite algoritmi di cifratura. Al pagamento del riscatto, i criminali in genere sbloccano la protezione dai documenti e rimuovono il criptovirus.

A essere colpiti dai ransomware non sono soltanto i PC con Sistema Operativo Windows, Mac OS e Linux ma anche smartphone e persino dispositivi elettronici come Smart TV, che fanno parte della categoria IoT (Internet Of Things).

L’infezione dei ransomware si diffonde in genere tramite email di phishing, con diversi soggetti e tipologie in base alle diverse ondate di ransomware. Le prime versioni dei trojan come Cryptolocker, Cryptowall o TorrentLocker si presentavano sotto forma di fatture o note di credito e venivano inviate direttamente in allegato al messaggio, chiedendo un riscatto in bitcoin. Successivamente, le mail di phishing hanno cominciato a contenere codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc.) o relative a bollette di gestori di energia (Enel Energia, etc.) o ancora operatori telefonici (TIM, Tre, Vodafone, Wind, etc.).

messaggi di posta sono spesso convincenti e contengono un allegato che passa incolume attraverso diversi antivirus oppure un link a un sito di phishing. Ovviamente l’allegato o il file che viene scaricato dal sito linkato non è un documento vero e proprio, ma un malware, che se aperto infetta il PC e blocca i documenti, inclusi quelli in rete.

Oltre che tramite email di phishing, la diffusione del malware può avvenre tramite siti web compromessi da infezioni come Angler Exploit Kit, che attecchiscono su sistemi di utenti inconsapevoli che navigano su siti web utilizzando browser con componenti non aggiornati.

In modo minore, alcuni cryptovirus si diffondono tramite vulnerabilità su protocolli come RDP oppure sostituendosi – dopo aver bucato il sito web – a link di download legittimi caricati online da società di sviluppo che distribuiscono il loro prodotto via web.

Le versioni dei ransomware successive a Cryptolocker si sono fatte più pericolose rispetto alle prime e, con Crypt0l0cker, CTB-Locker, TeslaCrypt (di cui in realtà oggi esiste decryptor), Locky, Cerber, Zepto, hanno cominciato a criptare i dati senza possibilità di recupero. La vittima che non ha provveduto a mettersi al riparo tramte backup spesso finisce per pagare il riscatto in bitcoin.

Il lettore si chiederà certamente come decifrare i documenti criptati dai ransomware: a parte alcuni casi specifici per i quali esistono soluzioni tecniche o sono stati pubblicati dei software di decifratura – noti come “decryptor” – non è ancora stato trovato un antidoto generico per recuperare i documenti cifrati, se non ripristinarli da copie di sicurezza eseguite prima di contrarre il virus.

Numerose softwarehouse si sono poste il problema di come difendersi dai ransomware, siluppando soluzioni integrate con antivirus, endpoint security o sandalone che limitano i danni tentando di identificare il cryptovirus prima che venga scaricato, prima che si attivi o se non c’è alternativa quando ha iniziato a criptare i documenti. Le soluzioni per proteggersi dai ransomware sono ancora in via di definizione, non possiamo quindi consigliare un singolo prodotto che difenda da tutti i cryptovirus ma tenteremo di dare spazio a tutti coloro che hanno proposto sistemi di antiransomware.

Questo articolo è disponibile anche in: Inglese

Il tuo computer è stato infettato e i dati sono criptati, cosa fare?Leggi qui

Origine – http://www.ransomware.it/ Di Paolo Dal Checco