What they say about us

Cybersecurity: nasce 'Cybaze', polo italiano per le aziende

Cybersecurity: nasce ‘Cybaze’, polo italiano per le aziende

Lancio dell’Agenzia AGI del 20/09/2018

Cse Cybsec Enterprise ed Emaze hanno firmato l’accordo per la fusione che le portera’ a diventare leader nel panorama della cybersecurity aziendale con il nome di Cybaze. La nuova azienda punta a competere nello scenario nazionale e internazionale mettendo in comune risorse, competenze e strumenti avanzati nel campo della Sicurezza Informatica e della Threath intelligence.

Cybaze avra’ 90 dipendenti, uffici in Italia a Milano, Udine, Trieste, Roma, Napoli e Benevento, e uffici esteri a Bruxelles e Lugano. Cse Cybsec e’ la societa’ nata un anno fa per iniziativa di Pierluigi Paganini, nome celebre nell’ambito della cybersecurity e Chief Technology Officer della societa’ e di Marco Castaldo, ad e presieduta dall’Ambasciatore Terzi di Sant’Agata; Emaze e’ stata tra le prime societa’ di cybersecurity ad operare in Italia, con due decenni di attivita’ alle spalle, clienti importanti in settori delicati come banche e telecomunicazioni.

Il fatturato da cui partiranno le due societa’ e’ di circa 6 milioni di euro, che il management punta ad incrementare da subito. Il presidente della nuova societa’ sara’ l’Ambasciatore Terzi di Sant’Agata,amministratore delegato Marco Castaldo e il cto Pierluigi Paganini. Il top management e’ potenziato anche dall’arrivo di Nicola Borrelli, proveniente dal management di Deloitte Consulting, che avra’ il compito di gestire l’unificazione delle due strutture. “Questa operazione e’ funzionale a un piano di crescita di medio-lungo termine in un mercato ancora frammentato ma con un enorme potenziale di crescita e ha l’obbiettivo di sostenere il sistema Italia favorendo la competitivita’ delle nostre imprese nei mercati internazionali”,afferma Marco Castaldo. E continua: “Cybaze ha l’ambizione di giocare un ruolo primario nell’arena della cybersecurity quale societa’ italiana in competizione con i grandi brand internazionali; questo e’ il primo passo di un progetto di espansione che prevede anche acquisizioni significative nelle prossime settimane”.

 

Cybersicurezza, nasce il polo italiano per le aziende

Cybersicurezza, nasce il polo italiano per le aziende

Articolo di Pietro Deragni per Wired Italia, del 19 settembre 2018

Nasce in Italia un polo nazionale della cybersicurezzaEmaze, da vent’anni operativa nel segmento dell’intelligence informatica, specie per banche e telecomunicazioni, e Cse Cybec si sono fuse in Cybaze. Il nuovo gruppo avrà 90 dipendenti, uffici in Italia a Milano, Udine, Trieste, Roma, Napoli e Benevento, e uffici esteri a Bruxelles e Lugano. Fatturato di partenza: 6 milioni di euro.

Al timone dell’azienda di cybersicurezza ci sarà l’esecutivo di Cse Cyber: presidente è l’ambasciatore Giulio Terzi di Sant’Agata, diplomatico e già ministro degli Esteri nel governo Monti, amministratore delegato è Marco Castaldo. Mentre a Pierluigi Paganini va il coordinamento tecnologico. La fusione delle due strutture e l’integrazione tra le aziende sarà guidata da Nicola Borrelli, ex Deloitte.

Questa operazione è funzionale a un piano di crescita di medio-lungo termine in un mercato ancora frammentato ma con un enorme potenziale di crescita e ha l’obiettivo di sostenere il sistema Italia favorendo la competitività delle nostre imprese nei mercati internazionali”, afferma l’ad. E continua: “Cybaze ha l’ambizione di giocare un ruolo primario nell’arena della cybersecurity quale società italiana in competizione con i grandi brand internazionali. Questo è il primo passo di un progetto di espansione che prevede anche acquisizioni significative nelle prossime settimane”.

La cybersicurezza è un costo sempre più critico per le aziende italiane. Gli attacchi hacker e i furti di dati sono costati alle imprese dello Stivalequasi 900 milioni di dollari. Questa almeno è la stima presentata qualche mese fa dal Center for strategic and international studies di Washington, che colloca l’Italia tra i primi dieci paesi al mondo nella classifica internazionale sui rischi e danni causati dal crimine informatico. In aggiunta, secondo i risultati del rapporto Clusit (l’associazione italiana per la sicurezza informatica), metà delle aziende multinazionali ha subito almeno un attacco grave informatico nell’ultimo anno e qualsiasi società è a rischio nei prossimi mesi.

Ci sono prove di un attacco degli hacker russi di APT28 anche in Italia

Articolo di Jacopo Jacoboni per La Stampa del 17 luglio 2018

Alla long story dell’interferenza della Russia nei processi elettorali occidentali, si potrebbe aggiungere un altro tassello. Questa volta la vittima sarebbe l’Italia. Ricercatori di un’azienda di cybersecurity italiana (CSE Cybersec) hanno scoperto che sulle reti italiane è circolato un malware in tutto simile a quello usato dai russi di Apt28 (aka Fancy Bear, o Pawn Storm), un gruppo paramilitare di hacker ritenuti collegati al GRU, il servizio segreto militare russo. Apt28 è stato a lungo ritenuto l’autore di tante operazioni molto importanti di hacking, tra le quali spicca l’hackeraggkio della primavera del 2016 ai danni delle mail del Comitato nazionale dei democratici, nella corsa verso le elezioni presidenziali americane – prima che il nuovo indictment del Procuratore speciale Robert Mueller accusasse direttamente dodici ufficiali del GRU di aver eseguito, gestito e diretto l’operazione.

L’operazione di spionaggio – che i ricercatori chiamano “Operation Roman Holiday” – dura da alcune settimane, e non è certo chi sia la vittima dell’hackeraggio, ma potrebbe trattarsi della Marina italiana. Lo spiega Pierluigi Paganini, capo tecnologo di CSE Cybsec, che tra l’altro è direttore del Master in cybersecurity alla ormai famosa Link Campus University, intervistato da Agi: «Se adottiamo le logiche degli attaccanti parrebbe un riferimento alla Marina militare italiana e ci invita a verificare l’ipotesi che quel codice malevolo sia stato sviluppato come parte di una serie di attacchi mirati contro la Marina o altre entità ad essa associate, come i suoi fornitori».

Scoperta la “backdoor”, la porta posteriore nelle reti, una serie di esempi del malware sono stati inviati da Cybersec a una piattaforma di cybersecurity aperta, Virus Total, attraverso un analista conosciuto online con il nome @drunkbinary. E da questo incrocio di verifiche è risultato confermato, spiegano i ricercatori, che esiste un pezzo di malware (il software maligno che di solito si impianta in un computer nemico, inducendolo a cliccare un link malevolo inviato alla vittima) in tutto analogo a quelli usati dagli hacker di Apt28.

Le somiglianze sono, dal punto d vista dell’evidenza informatica, molto rilevanti: il linguaggio in cui è scritto il codice del malware è uguale a quello di un malware usato dai russi (linguaggio Daphni). I luoghi remoti di command and control verso i quali vengono indirizzati i dati; anche alcune «librerie dinamiche” che il malware spinge surrettiziamente i computer attaccati a caricare. Non sarebbe il primo attacco russo contro l’infrastruttura italiana: di almeno un’altra circostanza è stato scritto già un anno e mezzo fa dal Guardian, che citò fonti governative, mai smentito da nessuno.

«Non possiamo escludere – sostiene Cybersec – che Apt abbia sviluppato la backdoor per colpire specifiche organizzazioni, tra le quali la Marina militare italiana, o qualche altro subcontractor. Nelle nostre analisi non siamo riusciti a collegare il file malevolo dll ai sample di X-agent trovati, ma crediamo che entrambi siano parte di un attacco ben coordinato e chirurgico di Apt28». Varrà la pena notare che anche nel nuovo indictment di Mueller si racconta delle modalità X-agent con cui ha agito – in questo caso direttamente il GRU -contro le mail dell’ufficio di Hillary Clinton.

La ricerca, pubblica, è stata messa a disposizione sul sito dello Z-Lab di Cybersec. La piattaforma online che l’ha incrociata – VirusTotal – mette a disposizioni alcuni samples riscontrati. Cresce, negli ambienti degli analisti e degli osservatori internazionali, la preoccupazione che il caso Usa non sia affatto isolato. E inquietudini geopolitiche si sommano a quelle forensi: specialmente nel momento in cui il presidente americano Donald Trump, a Helsinki, ha detto di credere a Vladimir Putin, che nega che la Russia abbia hackerato le elezioni Usa, anziché a tutta la comunità dell’intelligence americana, che sostiene il contrario; e nel momento in cui il ministro dell’Interno italiano Matteo Salvini, incontrando a Mosca prima esponenti del Consiglio per la sicurezza nazionale russo, poi il ministro dell’interno russo, ha spiegato che l’Italia coopererà proprio con la Russia «nella cybersecurity e contro gli attacchi informatici», arrivando a scambiarsi – ha scritto Salvini – anche «banche dati» con Mosca.

Cybersecurity | Come difendersi dalle quattro principali minacce informatiche

Articolo di Alessia Valentini per startuptialia.eu del 16 luglio 2018

La cultura della sicurezza informatica permea ancora troppo lentamente le diverse fasce di popolazione, che pure sono interessate da una adozione di strumenti digitali progressivamente crescente ed accelerata dai dispositivi mobili nella fascia consumer, dalla digitalizzazione indotta dai dispositivi IoT e dalle facilitazioni fiscali correlate al programma di industria 4.0. per il ricorso a tecnologie digitali in modalità agevolata.  Insomma, lo “spessore digitale” abilitante aumenta e con esso le innumerevoli applicazioni utente per ogni ordine, grado e gusto.

La sicurezza informatica gioca un ruolo fondamentale per contribuire alla individuazione ma soprattutto alla prevenzione delle minacce che, se hanno successo, possono vanificare ogni sforzo di crescita. Infatti, il danno economico correlato ad un incidente informatico potrebbe potenzialmente annullare ogni reveniew ottenuta grazie agli investimenti digitali, se non, nel caso peggiore, causare un danno irreversibile all’azienda che ne fosse vittima e/o un danno pur significativo per il privato cittadino che ne fosse colpito.

Per contribuire alla awareness, ovvero alla conoscenza e consapevolezza dei pericoli digitali esaminiamo alcuni dei trend di attacco maggiormente perseguiti dai criminali informatici per monetizzare e fare profitto: le minacce per i sistemi operativi Microsoft largamente diffusi sia in ambito privato sia in ambito business, il rinnovato trojan Ursnif, la categoria di attacchi perpetrata con il cryptojacking e i “sempreverdi” ransomware.

Le minacce verso i sistemi Microsoft

Il centro Ricerche C.R.A.M. (Centro Ricerche Anti-Malware) di TG Soft ha pubblicato le statistiche sull’incidenza dei virus/malware registrati nel mese di maggio e giugno 2018. Il “rate di infezione” è calcolato dividendo il numero di computer ove siano stati rilevati attacchi per il numero di computer dove è installato Vir.IT. eXplorer, prodotto dalla stessa TG Soft. Secondo questo rapporto i Trojan, rappresentano una prevalenza con la percentuale del 7.90% (5,42 % a giugno), seguiti dai PUP (Potentially Unwanted Program, programmi potenzialmente indesiderati scaricati dall’utente senza leggere gli accordi di download n.d.r.), al 3.83% di incidenza (2,45% a giugno) e dagli Adware (malware che visualizzano banner pubblicitari n.d.r.) con il 3.27% (2,14% a giugno). Significativo il quarto posto di Marco EXCEL allo 0,89% salito all’1,28% nel mese di giugno e al decimo posto i Ransomware (tutti i tipi di malware che chiedono un riscatto n.d.r.) con lo 0,33% (0,26% a giugno).

In aggiunta il C.R.A.M. diffonde anche la classifica delle minacce per tipologia e la classifica delle minacce che si diffondono via mail. Nel primo caso la top three sia a maggio che s a giugno è composta da Trojan, Adware e PUP, seguiti da worm, backdoor e BHO, dialer e spyware, mentre via mail si confermano ancora al primo posto i trojan ma seguiti al secondo posto da Macro virus e dal phishing che rappresenta una vera piaga.

Trojan Ursnif

A conferma della classifica del C.R.A.M. anche I ricercatori di CSE CybSec Enterprise SPA hanno studiato l’incidenza dei trojan ed in particolare della variante di Ursnif, un trojan bancario capace di rubare password usate per l’home banking, gli acquisti online e la posta elettronica. I ricercatori hanno scoperto che la mail ricevuta dalle vittime contiene in allegato un documento Word con la richiesta di abilitare le macro in modo da permettere la corretta visualizzazione dello stesso. La mail per ingannare meglio la vittima sfrutta una discussione pre-esistente tra il mittente e il destinatario.

Per riconoscerla bisogna fare attenzione alla qualità dell’italiano scritto, alla richiesta di attivazione delle macro e alla forma del nome del file che appare in una forma profilata al nome dell’azienda vittima concatenato alla parola “richiesta”, ovvero “[NOME-AZIENDA-VITTIMA]_Richiesta.doc”. Se l’utente cade nel tranello di abilitare quella che crede essere una macro, si attiva uno script malevolo che si collega a Internet e scarica dal proprio server il malware (payload) vero e proprio e questo, una volta eseguito automaticamente attraverso lo stesso script che ha iniziato il download, inizia le proprie attività malevole, conservandosi costantemente. Il malware infatti, è programmato per sopravvivere e restare attivo anche al riavvio del computer.  La sua capacità di restare “trasparente” all’utente e al Sistema Operativo è data dal fatto che riesce a iniettare il proprio codice all’interno del processo “explorer.exe” che è uno dei principali processi del sistema operativo di Microsoft ed ha il compito di gestire le finestre del sistema operativo stesso.

La miglior difesa anche in questo caso è rappresentata dalla conoscenza che permette la prevenzione e il riconoscimento del tranello contenuto nella mail, ma qualora si fosse vittima di questo malware è necessario un intervento professionale per la rimozione e risoluzione del problema.

Cryptojacking e Ransomware

Tutte le minacce che garantiscono “moneta facile” sono largamente preferite dagli attaccanti. Non stupisce quindi che la tecnica del cryptomining che colpisce quasi il 40% delle organizzazioni, sia fra i maggiori trend di attacco. Come ricordato anche nelle ultime classifiche della minaccia  il Conhive cripjacking ha attaccato il 22% delle aziende a livello internazionale, con un aumento di quasi il 50% rispetto al mese di aprile assieme a Cryptoloot, un altro malware di cryptomining.

ransomware sono tristemente noti a tutti solo in relazione alla campagna Wannacry ma è bene ricordare che le campagne di ransoware, nate per guadagnare a mezzo richiesta di riscatto verso  vittime i cui dati criptati sono resi inutilizzabili, sono state anche utilizzate in un contesto diverso e se possibile ancora più critico del danno al singolo cittadino, o all’intera azienda bloccata: l’attacco verso una intera città come nel caso di Atlanta city, colpita dal ransomware SAM SAM e sostanzialmente paralizzata per una settimana con un danno inizialmente stimato in 2 milioni di dollari ed oggi salito a 9,5 Milioni di dollari per ottenere una ripresa completa dei servizi.

Fra i ransomware in circolazione a maggio e giugno (Fonte C.R.A.M.)  si ricorda il FakeGDF e alcuni sample di Cryptomalware ovvero i malware polimorfici che criptano i dati e chiedono un riscatto: Cryptolocker, CryptoTear, CryptoScarab, GlobeImposter2.0, CryptoShade.

La difesa

Per difendersi da questo tipo di minacce è ancora una volta opportuno evitare la prima fonte di infezione, il phishing, spesso veicolata su social con link cliccati troppo alla leggera o via mail con  allegati fraudolenti aperti senza verificare meglio il contenuto della mail e il suo mittente. Non si ricorda mai abbastanza di ricorrere alla pratica del patching e dei back up con puntuale regolarità e si suggerisce anche di seguire altre tre regole (fonte Check Point): Conoscere la propria infrastruttura come punti di accesso edendpoint, valutando ogni elemento di controllo, dall’autenticazione degli utenti, al provisioning, dall’accesso dell’amministratore, ai sistemi attivi di protezione dei dati dell’infrastruttura o deputati alla continuità delle operazioni, per capire dove si possa nascondere una vulnerabilità. Assumere di essere già stati compromessi e agire come farebbe un sistema immunitario: segmentando la rete ed esaminando l’interno della propria realtà operativa (aziendale o privata) per trovare le infezioni che si spostano lateralmente. Non escludere rischi da cause interne: errori umani, backup difettosi e social engineering (ad esempio, gli attacchi di phishing) che possono causare altrettanti danni rispetto a quelli da attacco esterno sia esso innovativo, o una variante rinnovata di vecchie minacce.

Rimani sempre aggiornato sui

Gli hacker russi stanno spiando l’Italia?

Articolo di Arturo Di Corinto per AGI.it del 16 luglio 2018

L’Italia è sotto attacco cibernetico? E chi sono gli attaccanti? Sono russi oppure no? In base a quello che hanno scoperto i ricercatori dello Z-Lab, il centro anti malware di Cse Cybsec, azienda italiana di cybersecurity, sembrerebbe di poter rispondere di sì. L’Italia sarebbe oggetto ormai da settimane di una campagna di spionaggio condotta da un gruppo russo prima di “andare in sonno.” E se questo è vero, da quanto durano questi attacchi e chi ne è il bersaglio finale sono le importanti domande a cui bisognerà rispondere.

Gli esperti di Cse hanno infatti individuato sulle reti italiane una backdoor, una ‘porta posteriore’, usata per aggirare le difese dei sistemi sotto attacco, identificata come una nuova variante della famigerata backdoor X-Agent. Usata per colpire i sistemi Windows, la backdoor, parte dell’arsenale di APT28, un gruppo paramilitare russo, consentirebbe di esfiltrare dati dai computer compromessi per mandarli a un centro di Comando e Controllo situato in Asia.

Le prove che portano agli hacker russi sarebbero diverse: il linguaggio in cui è scritto il virus che veicola la backdoor, il luogo di destinazione del traffico che genera, il tipo di minaccia, X-Agent, da tempo in possesso all’APT 28, gruppo di hacker collegato ai servizi segreti militari russi.

L’inchiesta di CSE e la Marina Italiana

L’inchiesta di Cse, avviata da un’indagine di routine su un campione di software malevolo inviato a Virus Total, una piattaforma di analisi online di virus e malware, ha permesso con l’aiuto di un ricercatore noto su Twitter come Drunk Binary di confrontarlo con una serie di campioni e segnalarli alle autorità per ulteriori indagini, in un rapporto accompagnato dalle cosiddette “regole Yara”, che servono a individuare l’azione in corso di eventuali malware. Ma gli esperti hanno anche analizzato altro codice malevolo, una DLL, una libreria dinamica di software, che viene caricata automaticamente durante l’esecuzione di un compito informatico.

Apparentemente non correlata agli esempi precedenti, presenta molte somiglianze con altre cyber-armi in possesso del gruppo russo. In questo caso il malware contatta un server di comando e controllo che porta il nome “marina-info.net” che, dice Pierluigi Paganini, capo tecnologo di CSE Cybsec, “Se adottiamo le logiche degli attaccanti parrebbe un riferimento alla Marina militare italiana e ci invita a verificare l’ipotesi che quel codice malevolo sia stato sviluppato come parte di una serie di attacchi mirati contro la Marina o altre entità ad essa associate, come i suoi fornitori.”

I ricercatori di CSE Cybsec non sono stati in grado di collegare direttamente il file DLL malevolo agli esemplari di X-Agent, ma credono che siano entrambe parti di un attacco chirurgico ben coordinato e alimentato dall’APT28 che Z-Lab ha chiamato “Operazione Vacanze Romane” perché potrebbe colpire organizzazioni italiane nel periodo estivo.

Un momento delicato

A supportare l’ipotesi che si tratti di una più ampia campagna di spionaggio ai danni dell’Italia potrebbe essere la situazione geopolitica attuale – i rapporti dell’Italia con la Russia -, il delicato momento temporale, a ridosso della visita di Trump in Europa, dell’incontro con Putin e dopo l’incriminazione da parte del procuratore speciale Mueller di 12 agenti russi coinvolti a vario titolo nel Russiagate.

Il gruppo APT28 infatti è attivo dal 2007 e ha preso di mira governi, forze armate e organizzazioni di sicurezza. Ma, soprattutto, APT28 è uno dei gruppi hacker più famosi al mondo per essere stato coinvolto nel furto delle email di Hillary Clinton che portarono l’FBI di James Comey a indagarla poco prima delle elezioni presidenziali Usa spianando di fatto la strada al candidato Donald Trump.

APT28, un acronimo che sta per Advanced Persistent Threath numero 28, prende il nome dalla tecnica utilizzata: una ‘Minaccia persistente avanzata’ è un tipo di minaccia informatica che una volta installata in server e sistemi vi rimane per svolgere il suo compito di monitoraggio ed esfiltrazione dei dati, in genere con finalità di spionaggio.

Il gruppo, ben organizzato e finanziato – noto anche come Sofacy, Fancy Bear, Pawn Storm, Sednit e Stronzio -, era stato segnalato operante da Palo alto networks e Kaspersky Lab in Asia e Medio Oriente proprio negli ultimi mesi, dando l’idea di essersi allontanato dagli usuali bersagli della Nato e dell’Ucraina. Ma in base alle evidenze trovate dallo Z-Lab forse non è più così.

Il rapporto completo sull’analisi del malware è scaricabile qui

Kremlin hacking crew went on a ‘Roman Holiday’ – researchers

Articolo di John Leyden per The Register, del 16 luglio 2018

 

Researchers have claimed the infamous APT28 Kremlin-linked hacking group was behind a new cyber-espionage campaign they believe was targeted at the Italian military.

Security researchers from the Z-Lab at CSE Cybsec spent the weekend unpicking a new malware-base cyber-espionage campaign allegedly conducted by APT28 (AKA Fancy Bear).

The multi-stage campaign features an initial dropper malware, written in Delphi, and a new version of the X-agent backdoor, a strain of malicious code previously linked to APT28.

One malicious library (dll) file associated with the campaign phones home to a command-and-control server with the name “marina-info.net”. This is a reference to the Italian Military corp, Marina Militare, according to the researchers.

“The dll that connect[s] to ‘marina-info.net’ might be the last stage-malware that is triggered only when particular conditions occur, for example when the malware infects a system with an IP address belonging to specific ranges,” claimed to the researchers.

The Russian state-backed hackers may be targeting specific organisations including the Italian Marina Militare and its subcontractors, the researchers conclude. The targeting of Italian organisations during the summertime led the researchers to nickname the campaign “Roman Holiday”.

Researchers from Z-Lab worked with independent researcher Drunk Binary (@DrunkBinary) on malware samples spotted in the wild and uploaded them to VirusTotal as they put together their analysis.

Further details on the malware samples analysed by CSE Cybsec, including the indications of compromise, are available in a report published by researchers at ZLAb here (pdf).

Anatomy of alleged APT28 attack [source: CSE Malware ZLab blog post]

Operation Roman Holiday – Hunting the Russian APT28

The APT28 hacking crew has been active since at least 2007, since when it has targeted governments, militaries, and other organisations worldwide.

The group – identified by Western intel agencies as a unit of Russian military intelligence, the GRU – has also been alleged to be behind attacks on the German Bundestag, French TV station TV5Monde and (most notoriously) a hack and leak campaign that targeted the US Democrats during the 2016 US presidential election.

More recently, in the second half of 2017, the group turned their attention away from NATO countries and Ukraine with attacks against countries included China, Mongolia, South Korea and Malaysia.

Researchers from Palo Alto Networks spotted attacks against the various Asian countries that made use of the SPLM and the Zebrocy tools previously linked to the group.

A dozen individuals who are alleged to be GRU intelligence operatives were indicted last week over a string of attacks that targeted 2016 US Presidential election. ®

Continua la campagna Ursnif veicolata in Italia

Articolo del sito dell’Agenzia per l’Italia Digitale, del 26 giugno 2018

Il malware è attivo almeno dal 2009, come riportato da Microsoft, ma nel corso del tempo si è evoluto e ha migliorato le tecniche di attacco. Recenti studi condotti da CSE Cybsec ZLab, hanno evidenziato la presenza in rete di altri documenti malevoli che utilizzano lo stesso filename pattern (“[NOME_COMPAGNIA_VITTIMA]_Richiesta.doc”) e mostrano la solita schermata con il messaggio “Questo file è stato creato con una versione precedente di Microsoft Office Word”.
Come da copione, per visualizzare il contenuto è necessario fare clic sul pulsante ‘Abilita modifiche’, situato sulla barra gialla in alto e poi cliccare su ‘Abilita contenuto'”.
Dall’analisi dinamica eseguita da CSE Cybsec sul malware, risulta che:
  • i files infetti contattavano domini diversi;
  • ogni documento office conteneva macro diverse, scritte con almeno tre stili di codifica;
  • con il passare dei giorni, i domini non risultavano più raggiungibili. Si ipotizza che gli autori dell’attacco abbiano deciso spontaneamente di disattivare o spostare i domini dopo essersi accorti di essere stati scoperti.
Osservando il comportamento del processo e del traffico network che viene eseguito subito dopo l’apertura del doc, i ricercatori hanno collezionato una nuova serie di repository del malware. Di seguito viene riportato l’elenco dei sample (dropper) analizzati e i relativi domini associati:
Nome del documento dominio IP Hash (MD5)
AdelaideConsulting_Richiesta.doc qwdqwdqwd19.com 151.80.162.223 c97e623145f7b44497b31ef31a39efed
AMLM_Richiesta.doc g94q1w8dqw.com 45.41.80.86 b48f658dbd0ef764778f953e788d38c9
Comune_di_Lequio_Tanaro_Richiesta.doc vqubwduhbsd.com 23.227.201.166 6f571b39fcde69100eb7aec3c0db0a98
ComunediVALDELLATORRE_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 29ca7312b356531f9a7a4c1c8d164bdd
IV_Richiesta.doc wdq9d5q18wd.com 535a4ebb8aef4c3f18d9b68331f4b964
OrdineDeiGiornalisti_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 347ce248b44f2b26adc600356b6e9034
WSGgroup_Richiesta.doc vqubwduhbsd.com 23.227.201.166 3c301ff033cb3f1af0652579ad5bc859
CB_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 1e8d75b5c93913f0f0e119a9beb533cb

 

Analizzando i domini tramite query WHOIS, si scopre che sono tutti registrati dallo stesso indirizzo email, “whois-protect[@]hotmail[.]com”, che apparentemente sembrerebbe offuscato tramite un servizio per la protezione della privacy. In realtà si tratta di un semplice account e-mail creato tramite Hotmail utilizzato dall’attaccante per registrare molti altri domini.
Questo indirizzo di posta in realtà era già noto, infatti viene citato il 18 gennaio 2018 sul blog di Talos Intelligence in un post relativo a Necurs, la botnet responsabile del 97% delle campagne di spam maligne in tutto il mondo e che causa la diffusione di malware, come TrickBot, Dridex, Loki, Emotet, Scarab, etc. Non è quindi da escludere che gli autori della campagna Ursnif possano aver iniziato una campagna per diffondere il trojan bancario sfruttando la botnet Necurs.
Una panoramica dei repository rinvenuti è visibile sulla piattaforma Infosec dove è inoltre disponibile uno dei sample al momento oggetto di analisi.
IOCs
DOMAINS
  • qwdqwdqwd19[.com
  • g94q1w8dqw[.com
  • vqubwduhbsd[.com
  • fq1qwd8qwd4[.com
  • wdq9d5q18wd[.com
  • qwd1q6w1dq6wd1[.com
  • qw8e78qw7e[.com
  • qwdohqwnduasndwjd212[.com
IP
  • 23.227.201[.166
  • 172.106.170[.85
  • 89.37.226[.117
  • 86.105.1[.131
  • 62.113.238[.147
  • 89.37.226[.156
  • 198.55.107[.164
EMAIL
  • whois-protect[@]hotmail[.com
  • zhejiangshangbang[@]qq[.com
HASH
  • C97E623145F7B44497B31EF31A39EFED
  • B48F658DBD0EF764778F953E788D38C9
  • 6F571B39FCDE69100EB7AEC3C0DB0A98
  • 29CA7312B356531F9A7A4C1C8D164BDD
  • 535A4EBB8AEF4C3F18D9B68331F4B964
  • 347CE248B44F2B26ADC600356B6E9034
  • 3C301FF033CB3F1AF0652579AD5BC859
  • 716D8D952102F313F65436DCB89E90AE
  • FD26B4B73E73153F934E3535A42B7A16

Lo stato dell’arte della Cyber Security italiana: prospettive a confronto

Articolo e riprese audio-video del convegno, a cura di Fabio Arena e Pantheon, pubblicato su radioradicale.it l’11 giugno 2018

Nell’occasione sarà presentato il libro “Il ruolo dell’Italia nella sicurezza cibernetica.

Minacce, sfide e opportunità” (Franco Angeli Edizioni), a cura di Giulio Terzi di Sant’Agata, Valerio De Luca e Francesca Voce.

In collaborazione con la rivista Cyber Affairs e gli Specialisti italiani della Cyber Security.

Convegno “Lo stato dell’arte della Cyber Security italiana: prospettive a confronto”, registrato a Roma lunedì 11 giugno 2018 alle ore 09:46.

L’evento è stato organizzato da Centro Studi Americani e Fondazione Luigi Einaudi.

Sono intervenuti: Nimvrod Kozlovski (associate professor for cyber studies TAU and Kellogg), Francesco Talò (ambasciatore, Coordinatore Cyber Security del MAECI), Nunzia Ciardi (direttore del Servizio Polizia Postale e delle Comunicazioni), Emanuele Spoto (ceo di Telsy Elettronica), Pierluigi Paganini (chief technology officer CSE Cybsec SpA), Michele Pierri (direttore di Cyber Affairs), Marco Castaldo (amministrazione Delegato di CSE Cybsec SpA), Gianluca Santilli (senior partner di Lexjus Sinacta), Pier Luigi Dal Pino (responsabile delle Relazioni Istituzionali e Industriali Microsoft), Andrea Rigoni (partner Deloitte, cofondatore Intellium), Domenico Raguseo (manager of Technical Sales in Europe for the Security Systems Division), Walter Arrighetti (professore presso la John Cabot University), Giulio Maria Terzi di Sant’Agata (presidente di CSE Cybsec SpA), Valerio De Luca (direttore del Dipartimento di Relazioni Internazionali della Fondazione Luigi Einaudi), Francesca Voce (Ricercatrice presso laScuola Superiore Sant’Anna di Pisa e l’Università di Trento).

Sono stati discussi i seguenti argomenti: Agenzia Per L’italia Digitale, Controlli, Cooperazione, Economia, Europa, Finanza, Geopolitica, Impresa, Internet, Mercato, Politica, Prevenzione, Riservatezza, Sicurezza, Tecnologia, Unione Europea.

La registrazione video di questo convegno ha una durata di 3 ore e 16 minuti.

Attenzione: il malware Ursnif si appresta a svuotarvi i conti correnti

Articolo di Fabrizio Ferrara per Fidelityhouse.eu del 13 giugno 2018

CSE CybSec Enterprise, società di consulenza attiva nella sicurezza e guidata (tra gli altri) anche dall’ambasciatore Giulio Terzi di Sant’Agata, ha annunciato l’individuazione di un pericoloso virus che, in queste ore, colpendo l’Italia, sta mettendo in serio pericolo la sicurezza dei suoi correntisti.

Il virus in questione, denominato Ursnif e scovato da CSE CybSec, si propaga tramite l’allegato di una mail resa credibile dal riferimento ad una precedente conversazione tra chi la riceve e chi l’avrebbe mandata: il nome del file allegato, in formato Word, inoltre, fa riferimento alla precisa identità della vittima. Una volta aperto l’allegato, quest’ultimo si fa passare come redatto in una precedente versione del text editor del Pacchetto Office e, per essere fruito anche dal destinatario, chiede di abilitare dei comandi, in realtà corrispondenti alle macro, di norma disabilitate per default in caso di allegati ricevuti via mail.

Ottenuto il via libera, gli hacker procedono a scaricare, dal server remoto, degli script con i quali infettare il computer della vittima, col risultato che – dopo un po’ – vengono rubate le credenziali per l’accesso alla mailper i siti usati negli gli acquisti onlineper il proprio home banking, con conseguenze negative facili da immaginare.

CES precisa che tale virus sta colpendo, nel nostro Paese, giornalisti, impiegati di aziende, e semplici consumatori, con una certa difficoltà ad essere fermato: nel sito degli hacker, infatti, il rinvenimento di precedenti campioni di malware con tanto di statistiche di propagazione fa intendere un’adeguata preparazione del “colpo” e, se ancora ciò non bastasse, va considerato che tale malware – per garantirsi di continuare la sua azione criminosa – tende a tornare in esecuzione a ogni riavvio del computer, occultandosi nel processo di sistema (per la gestione delle finestre) “explorer.exe”.

La security house Yoroi, invece, avvisa sull’ulteriore pericolosità di una variante di UrsnifDMOSK, propagata tramite un allegato zip, e capace di eludere la maggior parte degli antivirus attualmente in circolazione (su VirusTotal, solo 9 engine su 69 la rilevano).

Nel cautelarsi contro tale minaccia, CSE CybSec consiglia di prestare attenzione anche alla forma sgrammaticata dell’italiano in cui è redatta la mail “untrice”.

COSA NE PENSA L’AUTORE

Devo ammettere che era da un po’ che non sentivo parlare di virus: già settimane fa si parlava dell’arrivo di malware di tipo bancario, o – appunto – bankware e, a quanto pare, in tempo per l’estate, con la prenotazione delle vacanze, l’acquisto di tv per gustarsi i mondiali, etc, con perfetto tempismo, è arrivato anche il virus che colpisce le finanze degli italiani.

Ecco come alla Farnesina si punta sulla cyber diplomacy. Parla l’ambasciatore Talò

Articolo di Francesco Garibaldi per Formiche.it del 12 giugno 2018

Il ministero degli Esteri italiano sta gradualmente sviluppando le peculiarità della sua cyber diplomacy, basandosi su tre elementi principali: l’aspetto difensivo, quello diplomatico e quello di sfruttamento delle opportunità. A spiegarlo a Formiche.net è Francesco Maria Talò, già ambasciatore italiano in Israele e oggi coordinatore per la cyber security alla Farnesina.

Intervistato a margine di un evento organizzato da Cse CybSec in collaborazione con il Centro Studi Americani e Cyber Affairs, il diplomatico analizza le peculiarità dell’ecosistema informatico italiano, sottolineando la necessità di avere un occhio di riguardo alla promozione del Sistema-Paese.

Ambasciatore Talò, quali misure crede prioritarie per migliorare l’assetto della cyber security italiana?

La materia è in costante evoluzione. Ci siamo attrezzati con un dispositivo normativo recente che semplifica l’assetto e lo rende più compatto ed allo stesso tempo meglio raccordato. Un elemento cruciale in questo settore è quello della interdisciplinarietà, ossia la capacità di dialogo tra i vari attori. Questo sistema in Italia si basa essenzialmente su tre elementi: il pubblico, ossia le istituzioni; il privato, rappresentato dalle nostre imprese, e l’accademico, con i centri di ricerca. Queste tre “gambe” hanno delle ripercussioni importanti in ambito internazionale, di competenza della Farnesina, dove anche vige una sempre maggiore interdisciplinarietà nel trattamento della materia.

Che cosa sta facendo, a riguardo, il ministero degli Affari esteri?

Il Maeci sta gradualmente sviluppando le peculiarità della sua cyber diplomacy basandosi su tre ulteriori elementi: l’aspetto difensivo, quello diplomatico e quello di sfruttamento delle opportunità. Cyber significa infatti “opportunità”. L’Italia ha un sistema-paese forte, con una sezione pubblica che si sta strutturando bene, un settore privato con dei campioni di livello assoluto congiunti ad una rete di piccole e medie imprese oltre alle start-up. Inoltre, lo stivale ha un mondo accademico importante: l’esempio lampante è il consorzio “CINI” (Consorzio Interuniversitario per l’Informatica) che ha pubblicato un libro bianco disponibile sia in italiano che in inglese. Ciò che possiamo e dobbiamo attuare è una promozione del nostro “sistema-paese” nel mondo, dimostrando la nostra capacità di “fare cyber” mettendo in mostra le eccellenze delle nuove tecnologie made-in-Italy.

Che strumenti ha, l’Italia, per promuovere all’estero le sue tecnologie cyber?

La promozione del nostro sistema-Paese è comunque affiancata ad una efficace attività negoziale all’interno degli organismi internazionali di cui siamo membri, tra i quali le Nazioni Unite e l’Unione Europea. A Bruxelles, l’Italia deve far valere suoi punti di forza e le sue esigenze e sfruttare le opportunità nella valorizzazione degli interessi nazionali.

Anche all’Osce, dove quest’anno abbiamo la Presidenza, siamo attivi in campo cyber dal momento che l’organizzazione ha sviluppato una serie di misure di fiducia reciproca in questo specifico settore. Nella Nato, invece, l’Italia è attiva insieme ai suoi alleati, dato che quella cyber è divenuta una delle cinque dimensioni di attività dell’Alleanza Atlantica, insieme a quelle tradizionali ossia terra-mare-cielo e spazio extra-atmosferico.

Paesi diversi hanno idee diverse su come bilanciare due diritti come protezione dei dati personali e sicurezza degli utenti di Internet. Crede che, almeno in Europa, il nuovo Regolamento Privacy (il cosiddetto Gdpr) appianerà queste divergenze?

Il panorama cyber in ambito europeo consta di una triade di valori che devono necessariamente coesistere: sicurezza, ossia la difesa dagli attacchi esterni; la libertà, ossia la sopravvivenza di cyber-space aperto; la privacy, per garantire la sicurezza e riservatezza delle informazioni degli individui. A questi valori, dobbiamo aggiungere il rispetto e la tolleranza altrui. Lo spazio cibernetico non può ad esempio accettare episodi di anti-semitismo, aspetto trattato nella conferenza che ho organizzato a fine gennaio al Maeci.

Per quanto riguarda nello specifico il Gdpr, la nuova normativa riguarda soprattutto la privacy, ed il diritto dei cittadini europei a vedere rispettato questo elemento. Da questo punto di vista Ue si sta ponendo all’avanguardia. Il Gdpr può produrre risultati se ci impegneremo tutti per far sì che continui ad esistere uno spazio in cui ci si può comunque esprimere liberamente ed in sicurezza.

Quali sono i prossimi appuntamenti fissati nell’agenda del Maeci per la promozione del mondo cyber?

Vogliamo fortemente rendere l’Italia protagonista nel panorama cyber. Cybertech Europe (organizzata nel vecchio continente in collaborazione con il campione italiano dell’aerospazio e della Difesa Leonardo, ndr) è una prestigiosa manifestazione che Roma ospiterà per la terza volta il 26 e il 27 settembre prossimi. Mi sono prodigato personalmente per far sì che fosse la capitale italiana la sede prescelta per questa manifestazione. Auguro che si possano bissare, anzi aumentare, le quattromila presenze della edizione precedente presso la Nuvola di Fuksas.

Da già ambasciatore d’Italia in Israele, quali auspici per la Cyber-Week della prossima settimana a Tel Aviv, nell’ambito della quale si tiene un panel dedicato proprio ai rapporti italo-israeliani?

L’ambasciata a Tel Aviv è molto attiva per favorire la partecipazione attiva di nostri rappresentanti all’evento. Ormai è in corso un dialogo regolare tra attori italiani ed israeliani in tutti i settori. La Cyber-Week sarà senz’altro una ottima occasione di incontro per gli operatori italiani.