Il mio sito è sotto attacco. Ragioni, Cause e Soluzioni per siti di piccola taglia.

sito sotto attaco

Premetto che sulla base di queste domande, in questo articolo parleremo di quelle motivazioni per cui siti di irrilevante importanza nel web sono più vulnerabili rispetto ad altri, e perché necessitano di maggiore se non di eguale Livello di Sicurezza rispetto altri più rilevanti.

Un utente malintenzionato visualizza un sito Web vulnerabile principalmente per avere una risorsa ed opportunità da sfruttare e rubare a proprio vantaggio:

  • Che sia supportato da un server in modo da favorire l’utilizzo e l’esecuzione di programmi propri
  • Che sia connesso a Internet e probabilmente mantiene una reputazione pulita
  • Potrebbe includere dati utente interessanti e ri-utilizzabili
  • Probabilmente dispone un vasto traffico e banda
  • Mantiene una ragione di imortanza per voi

Il più delle volte, usano queste risorse per fare soldi. E continueranno a trovare nuovi modi creativi per farne altri.

Utilizzo del Server Web per eseguire i propri programmi

Se state utilizzando ad esempio un sito WordPress, il Vostro server web è probabilmente un server Linux pienamente funzionante con MySQL e PHP installati. A seconda della situazione di hosting, potrebbe anche avere una quantità significativa di potenza di elaborazione.

Estrazione di criptovaluta

Mesi addietro ho rilevato nella Rete, attraverso la consultazione di appositi siti mirror, che la maggior parte degli attacchi massicci, sono rivolti maggiormente verso siti WordPress. Nei periodi più intensi di attacchi registrati, un aggressore compromette i siti sfruttando gli stessi per attaccare altri siti WordPress per guadagnare con Monero, una criptovaluta che può essere estratta in modo efficiente utilizzando l’hardware del server web.

Da tali dati si è stati in grado di identificare in che modo gli aggressori controllavano i server compromessi, accumulando un guadagno di circa 100 Mila dollari attraverso i loro sforzi di Estrazione.
Fonti provenienti da:
https://www.wordfence.com/blog/2017/12/massive-cryptomining-campaign-wordpress/
https://www.cryptocompare.com/mining/guides/how-to-mine-monero/
https://www.coin-report.net/it/estrazione-monero/

Sfruttamento della vostra reputazione on line.

Capire che la reputazione del vostro sito vi rende un bersaglio vulnerabile.

Hosting per pagine di phishing

Una pagina di phishing tenta di ingannarvi nella condivisione di informazioni riservate, come la password, il numero della carta di credito o il codice fiscale. Un esempio di pagina di phishing è una pagina di accesso fittizia che vi dà l’impressione di quello che state facendo in modo regolare, ad esempio la schermata di login di GMail. Inserendo le vostre credenziali, l’utente malintenzionato le registra per conto suo, e lo rende ora è in grado di accedere al vostro vero account GMail e di rubare i dati.

Il vostro sito ha una reputazione pulitissima. Quando gli utenti malintenzionati ospitano pagine di phishing nel vostro sito, servizi come Google Safe Browsing normalmente avvisano gli utenti di siti Web sospetti, non sapranno avvisare del pericolo rappresentato da una pagina di phishing ospitata sul vostro sito.

Hosting delle pagine di spam e iniezione di link di spam

Il vostro sito è legittimo, quindi i motori di ricerca come Google presumono che anche i vostri contenuti, inclusi i link in uscita lo siano. Gli hackers amano piazzare spam SEO sotto forma di pagine e link sul vostro sito, aumentando le classifiche SEO per le loro attività illegittime.

Un grande esempio e il Supply Chain Attack, scoperto di recente durato 4,5 anni, ha avuto un disastroso impatto su 9 plugin di WordPress. Acquistati tali plug-in venivano poi utilizzati per incorporare collegamenti di spam nei siti, per poi essere eseguiti. Il malintenzionato ha utilizzato questi collegamenti per migliorare il posizionamento nei motori di ricerca per altri siti web che offrivano prestiti, servizi di scorta e altre operazioni illegali.

È importante comprendere che, mentre il vostro sito da solo non è in grado di aumentare i risultati SEO ottenuti da un hacker, migliaia di siti compromessi possono farlo.

Invio di email spam

Inviare e-mail di spam eludendo i filtri antispam non è un’impresa facile. Oggi i clients di posta elettronica utilizzano una miriade di tecniche per identificare e bloccare lo spam. Quasi tutti i filtri antispam si basano su blacklist di indirizzi IP per bloccare tutti i messaggi provenienti da sorgenti ritenute dannose.

Ed è qui che entra in gioco il Vostro server web. Non solo ha tutto l’hardware e software necessario per inviare spam. La reputazione del vostro indirizzo IP probabilmente è rimasta illibata. Inviando spam con sorgente IP del vostro server, i criminali informatici hanno maggiori possibilità di ottenere risultati.

Alla fine i filtri antispam registreranno tutto ciò che accade e salveranno nella blacklist anche il vostro indirizzo IP del server, così l’hacker passando semplicemente ad una vittima successiva, lascerà la reputazione del vostro server e sito in rovina e di conseguenza danneggerà l’immagine della Vostra azienda.

Attaccare altri siti

A volte gli utenti malintenzionati danneggiano i siti vulnerabili per attaccare altri siti. Abbiamo visto gli hacker utilizzare questo tipo di approccio nell’attacco di Estrazione di criptovaluta di cui abbiamo parlato in precedenza, in cui un utente malintenzionato sia in grado di controllare una botnet composta da migliaia di siti, di altre persone che eseguivano contemporaneamente l’Estrazione di criptovaluta e procedevano all’attacco di altri siti web ancora.

Il Vostro Server Web diventerà così una piattaforma di attacco utile, poiché il Vostro indirizzo IP non essendo probabilmente registrato in alcuna balcklist, sarà in grado di eludere gli anti-Spyware e i sistemi di sicurezza di altri web server.

Hosting di contenuti dannosi

A volte gli hacker utilizzano il server Web per ospitare file dannosi che possono essere richiamati da altri server. Essenzialmente usano il Vostro account di hosting come un file server.

Sfruttamento del traffico del vostro sito

Reindirizzamenti dannosi

Una cosa molto comune che gli hacker fanno con i siti Web violati è l’aggiunta di reindirizzamenti nei contenuti. I visitatori del vostro sito non devono nemmeno cliccare su un collegamento ipertestuale per visitare il sito di spam: il reindirizzamento automatico li porterà direttamente lì.

In alcuni casi, chi genera questo tipo di attacco arriva al punto di reindirizzare tutto l’intero traffico verso siti dannosi. Nella maggior parte dei casi, vengono adottate misure preventive per evitare di essere rilevati, reindirizzando il traffico solo verso URL specifici, sistematicamente, o per browser, o per tipi e fonti di dispositivi specifici.

Siti Defacciati (Ghost pages)

In alcuni casi, l’hacker vuole solo inviare un messaggio pubblico. Prendendo il controllo del vostro sito web, sono in grado di raggiungere i vostri visitatori, almeno fino a quando non capirete che cosa è realmente sta succedendo. Gli attacchi di questa natura vengono orchestrati e rappresentati spesso da un movimento politico o sono solo alla ricerca di “street cred” per costruirsi una notorietà nelle comunità degli hacker.

Distribuire malware

Un modo particolarmente perfido con cui gli aggressori monetizzano i siti Web violati, consiste nell’utilizzarli per diffondere malware. Iniettano codice malevolo nei siti Web, che a loro volta installano malware sui computer o sui dispositivi dei visitatori quando raggiungono le pagine del vostro sito.

In quaità di proprietario del sito, questo status è particolarmente compromettente per la Brand Reputation, in quanto non solo rischiate che il vostro sito sia contrassegnato da motori di ricerca e in altre blacklist, ma i vostri visitatori non saranno felici della vostra condotta nella comunicazione digitale. La Vostra reputazione, sia online che con i visitatori, potrebbe essere compromessa per molto tempo. Inoltre, un sito Web compromesso può avere un impatto negativo a lungo termine sul posizionamento nei motori di ricerca.

Rubare dati

Anche se non si accettano carte di credito sul proprio sito, un utente malintenzionato potrebbe comunque trovare dati preziosi da razziare. Ad esempio, se acquisite dati tramite moduli dal vostro sito, potrebbe esserci qualcosa che valga la pena prendere. Inoltre, gli utenti malintenzionati possono utilizzare coppie di nomi utente e password rubate per tentare di accedere ad altri siti: il tipico furto di identità.

I Ransomware

Abbiamo imparato negli anni che i siti web rappresentano quasi sempre una forma di interesse per le persone, anche se non è un sito aziendale. Sfortunatamente anche i criminali informatici lo sanno e continueranno a usare i loro stratagemmi per servirsi di Agenti di Riscatto.
Per approfondire tale argomento vi rimando agli articoli redatti appositamente sull’argomento:

In Conclusione per risolvere

Indipendentemente dalle dimensioni del pubblico del vostro sito web o dal costo del vostro piano di hosting, i criminali troveranno tranquillamente un modo per monetizzarlo se non risulta opportunamente protetto.

Fortunatamente, non è necessario essere esperti di sicurezza per mantenere un sito sicuro. Con i nostri servizi di Management e Sicurezza nel web, siamo in grado di mantenere una Reputazione Stabile del vostro Brand dando valore al vostro sito, allo stesso livello di competizione con altri concorrenti più rilevanti.

Verificare se i sistemi sono Vulnerabili a Wannacry e NotPetya

Tale falla è comunque risolvibile tramite aggiornamento da effettuare direttamente con le app incluse nei sintemi Operativi Microsoft. Ma tale strumento è in grado di verificare attraverso un’accurata scansione delle nostre macchine collegate in rete, e verificare su quali intervenire. Lo strumento in questione si chiama EternalBlues sviluppato da un Ricercatore di nome Elad Erez, di origine israeliane. Frutta come base un Exploit chiamato “EternalBlue” utilizzato dalla NSA (L’ente governativo Statunitense per La Sicurezza Nazionale) che da anni aveva a disposizione, ma che ha fatto trapelare nei suoi dettagli tecnici solo dopo gli ultimi massicci attacchi e furti di dati ai danni dello stesso Ente Pubblico.

LINK DOWNLOAD  TOOL

EternalBlues simula un attacco identico a quello che sterrano i Ransomware, ma non fa agire alcun codice nocivo limitandosi a indicare, attraverso un’accurata scansione quali macchine e sistemi sono sprovvisti dell’aggiornamento MS17-010. Il software è un semplice eseguibile, semplice da utilizzare che all’avvio e/o Cliccando sul pulsante del comando SCAN, avvia la scansione sul range delle nostre reti, indicato dagli ip del modulo del programma stesso. Ovviamente è molto facile ed intuibile che per comprendere l’utilità è necessario avere delle competenze in materia di IP e traffico di reti.

Si paragona a NMap o Metasploit, ma mira direttamente all’identificazione della macchina vulnerabile. Questa ottima soluzione ci fa capire con un semplice clik, quali sistemi necessitano dell’aggiornamento.

Una volta avviata la scansione EternalBlues incapsula i risultati in una griglia facilmente interpretabile:

IP: Indirizzo Ip della macchina o Host configurato nella rete
Status: Indica lo status della scansione (done = effettuata, scaning = in corso )
Vulnerable?: L’esito della scansione (NO = Non è vulnerabile, Yes = Positiva alla vulnerabilità, NO REASPONSE = quando non può effettuare una scansione, spesso perchè non si tratta di sistemi Operativi Windows, o altro)

Ovviamente se l’esito è YES, occorre subito procedere con l’aggiornamento del sistema operativo, e dell’installazione dell’apposita Patch disponibile sia dal sito Uffciale Microsoft, o avviando l’Upgrade direttamente dalla macchina. Se non è possibile procedere con l’aggiornamento in alcun caso, suggeriamo di scaricare Clliccando qui Installando almeno uno dei pacchetti utili per le versioni a 32 e 64 bit se necessario, del vostro Sistema Operativo Windows.

Addendum: Suggerimenti di Upgrade.

Windows 7 e Windows Server 2008 R2

Controllare, tra gli aggiornamenti già installati sul sistema, la presenza delle patch contraddistinte dai seguenti indentificativi:KB4019264, aggiornamento cumulativo di maggio, 2017-05
KB4015552, anteprima aggiornamento cumulativo di aprile 2017
KB4015549, aggiornamento cumulativo di aprile 2017
KB4012215, aggiornamento cumulativo di marzo 2017
KB4012212, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)

Se almeno uno qualunque degli aggiornamenti indicati risultasse già presente, il sistema Windows 7 o Windows Server 2008 R2 è adeguatamente protetto.
Diversamente, il suggerimento è quello di installare immediatamente almeno il pacchetto KB4012212, scaricabile cliccando qui nelle versioni a 32 e 64 bit (“per sistemi x64”).

Windows 8.1 e Windows Server 2012 R2

Come nel caso precedente, è bene controllare la presenza di almeno una delle seguenti patch:

KB4019215, aggiornamento cumulativo di maggio, 2017-05
KB4015553, anteprima aggiornamento cumulativo di aprile 2017
KB4015550, aggiornamento cumulativo di aprile 2017
KB4012216, aggiornamento cumulativo di marzo 2017
KB4012213, aggiornamento cumulativo di marzo 2017 (solo patch di sicurezza)

Nel caso in cui tutti gli aggiornamenti fossero assenti, si dovrà provvedere subito ad installare almeno l’aggiornamento KB4012213.

Windows Vista

Nella schermata degli aggiornamenti installati, si deve verificare la presenza della patch KB4012598. Nel caso in cui fosse assente, si deve provvedere al download e alla sua installazione facendo riferimento a questo link.

Windows 10

Premere la combinazione di tasti Windows+R quindi digitare winver e premere Invio.
Se si legge 1703 come numero di versione (Creators Update), il sistema è già in sicurezza.

Nel caso in cui comparisse “Versione 1607” (Anniversary Update) controllare il numero di build accanto: il sistema è sicuro se appare 14393.953 o versioni successive.
Nel caso in cui si leggesse un numero di build precedente oppure “Versione 1511” o, addirittura, “Versione 1507“, si dovrà aggiornare all’ultima versione di Windows 10.
Per installare il Creators Update, si può procedere anche manualmente (consigliato se si utilizzasse ancora una vecchia versione di Windows 10): vedere Installazione pulita di Windows 10 Creators Update, Windows 10 Creators Update, download della versione finale già disponibile e Scaricare Windows 7, Windows 8.1 e Windows 10 dai server Microsoft.

Windows XP, Windows Server 2003 e Windows 8

Windows XP, Windows Server 2003 e Windows 8 sono sistemi operativi non più supportati da parte di Microsoft. Considerata la gravità del problema di sicurezza che ha portato alla rapida diffusione del ransomware WannaCry, Microsoft ha rilasciato – in via eccezionale – anche gli aggiornamenti per i sistemi Windows ormai abbandonati.

La patch MS17-010 per Windows XP, Windows Server 2003 e Windows 8 è scaricabile e installabile manualmente da questo indirizzo.

Approfondimenti e Citazioni:

https://www.bleepingcomputer.com/news/software/-eternal-blues-tool-tests-computers-against-nsas-eternalblue-exploit/

Cryptolocker: piaga del nuovo millennio. La soluzione finale.

Che cos’è Cryptolocker

E’ un Virus che appartiene alla categoria dei Ransomware, famiglia dei Malware. Come lo dice il nome stesso, Ransom = (In Linguaggio Inglese) Riscatto, diversamente altri virus che solitamente danneggiano e alterano i Sitemi Operativi, una volta attivati nell’infezione digitale, attivano un comando di Riscatto.

Come Funziona

Cryptolocker è a tutti gli effetti un Virus appartenente ai Trojans (Cavalli di Troia), che partono dalla loro infezione, criptando e modificando tutti (o in parte) i file dell’utente USERS dei sistemi Microsoft Windows. Dunque mette a rischio tutti i Documenti, Desktop, Musica, Foto Video e tutti quei collegamenti personali nei files della cartella di sistema, nella nostra macchina. Il tutto viene criptato generalmente utilizzando un algoritmo di cifratura asimmetrica RSA a 2.048 o 4.096 bit. Spesso i files originali vengono cancellati.

L’utente non conoscendo la chiave di decriptazione per ripristinare i files come in originale, non è in grado ne di leggere, eseguire, aprire nessun files personale di sistema. Per sbloccare la cifratura e ovviamente decriptare definitivamente i files, all’utente non rimane altro che versare un riscatto (tramite finestre di allerts) preposto dagli autori del virus e dell’infezione, solo tramite il pagamento di somme di denaro definite spesso in bitcoins (in modo che i flussi di denaro non possano essere rintracciati), i quali possono raggiungere quote anche di svariate migliaia di euro, dipende dalla mole di dati infetti. All’utente quindi viene rilasciata la chiave necessaria per decodificare i files “tenuti in ostaggio”.

Canali di diffusione ed infezione.

Cryptolocker attacca principalmente i files della cartella personale dell’utente. Ma questo non accade se non viene eseguito comando diretto disposto dall’utente. Visionare quindi il file infetto da Ransomware non comporta pericolo, ma diventa pericoloso se viene eseguito o decompresso. Quindi per agire, distribuirsi e infettare sfrutta diversi canali di contagio:

allegati di messaggi email Spam o Phishing.
Molti ad esempio a riferimento di falsi ordini eseguiti da qualche sito e-commerce, o comunicazioni di false consegne dei corrieri più famosi a livello nazionale, opportunità di lavoro, comunicazioni amministrative da enti pubblici o governativi, recupero dati o credenziali di account ecc…
distribuzione di software pirata attraverso i più comini canali peer2peer (che spesso contengono malware)
utilizzo di vulnerabilità presenti nelle applicazioni, programmi o servizi web non aggiornati tempestivamente (Flash Player Java, ecc.).

Il Fenomeno Cryptlocker non è diffuso solo a livello mondiale attraverso la Rete, ma anche viene perpetrato attraverso attacchi hacker mirati, sfruttando tutti i canali di connessione possibili, tra i quali Darknet o Deepweb, punta dell’Iceberg del traffico che realmente circola nella rete.

Ad essere infettati maggiormente non sono solo i privati, ma il fenomeno coinvolge anche Enti, Aziende, PMI, Cooperative, grosse realtà commerciali ed in primis Istituzioni e Pubblica Amministrazione.

La soluzione Finale

C’è chi sostiene che per risolvere o liberarsi del riscatto e dell’infezione dei files di Cryptolocker o ransomware, non ci sia altra soluzione che procedere al pagamento per ottenere la chiave richiesta. Questo in virtù del fatto che le condizioni e la robustezza dell’algoritmo di criptazione RSA è molto solida, tanto che adoperandosi con metodi “Brute Force” per conto nostro, ci si impiegherebbe anche troppo tempo per poter decodificare una semplice stringa (dipende sempre dalla potenza di calcolo che abbiamo a disposizione).

L’utente in questo caso si trova in grossi disagi operativi che possano portarlo ad una soluzione definitiva. Anche se a metà dello scorso anno, grazie ad un’azione coordinata a livello internazionale, è stato possibile attivare un servizio web, gestito da altre società di decriptazione specializzate, anche in virtù degli stessi autori di Cryptolocker, consentono di servirsi di uno strumento on-line per ottenere la chiave di decriptazione. Purtroppo spesso come accade in questi casi si deve attendere del tempo, e sovente, nonostante gli sforzi perpetrati, potrebbe non funzionare in modo definitivo.

L’algoritmo RSA, come gli altri algoritmi asimmetrici, basa il suo funzionamento sull’utilizzo di una chiave privata e di una pubblica. Nel caso dei ransomware, la chiave pubblica viene conservata sul sistema dell’utente mentre quella privata viene mantenuta sui server degli sviluppatori. Ogni file crittografato con una chiave pubblica, può essere decodificato solamente da chi è in possesso della corrispondente chiave privata.

La difficoltà maggiore sta nel fatto che, gran parte dei sistemi Anti-Virus, non rilevano questo tipo di Ransomware se non dopo ormai che l’infezione risulta operativa.

Che cosa fare se si è infetti da Ransomware Cryptlocker?

Le procedure che seguono possono essere buoni strumenti di disinfestazione da tale Virus ma non possono essere garantiti nella loro efficacia. Mantenere la calma e procedere per ordine, operando per tentativi:

1. Ottenere le copie Shadow del Sistema
La maggior parte dei sistemi operativi Windows, dalla Vista in poi, possiede uno strumento di recupero che consente di tentare di ripristinare i propri dati e funzionalità, in cronologia nelle versioni precedenti . Nel caso appunto il nostro sistema sia stato infettato, è possibile usufruire di questo strumento di recupero e ripristinare le versioni precedenti di Windows. Ma attenzione, questa funzione è possibile se all’installazione dell’OS è stata attivata questa funzionalità. Oltretutto attenzione, con l’evoluzione e mutazione del Virus di Cryptolocker potrebbe anche non funzionare perché, una volta infettato, il malware esegue anche il comando

Delete Shadows /All /Quiet

Provvedendo anche alla cancellazione della copie shadow del sistema e a tutte le precedenti versioni dei files dell’utente.

2. Ottenere la chiave di decriptazione in un modo o nell’altro.
Verificare quale versione di Ransomware ci ha infettati, se si ritiene che la chiave sia semplice di recuperare utilizzare alcuni dei tanti sistemi di “Brute Force e quindi ripristinare i files. Qualora l’operazione richieda troppo tempo, tentare di servirsi di quei tools e servizi on line, disponibile per la rete. Basta crcare la keyword “decryptcryptolocker” in Google oppure andare direttamente al sito https://www.decryptcryptolocker.com/ . Ovviamente il pagamento del riscatto non è la soluzione migliore.

3. Servirsi di altri Tools Removal.
Symantec ed altri colossi si sono prodigati per avviare alcune campagne di sviluppo di removal, che purtroppo generalmente non si sono rivelati molto efficaci http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99&tabid=3. A quanto pare prevenzione rimane l’unica soluzione ottimale.

La prevenzione: unico strumento ottimale.

I software Anti-Virus e Anti-Malware spesso sono inefficaci, quindi è comprensibile non possano fare al caso nostro. È quindi impossibile pensare di proteggere i sistemi di un’azienda, di uno studio professionale o di un ente pubblico con gli antivirus ed antimalware tradizionali, installati sui singoli client e che utilizzano il classico approccio basato sull’impiego delle firme virali. Per ottemperare in maniera adeguata ad una corretta campagna preventiva, questi sono i punti essenziali da seguire:

 1. Impostare Backup Periodici su sistemi in rete NAS o unità removibili.
Il tutto va sistemato in dispositivi regolarmente protetti, in modo da permettere un ripristino pulito dei nostri dati nel caso si dovesse verificare un’infezione.

2. Usufruire della tecnologia VM (VMWare – Hyper-V, XenServer) o Cloud con versioning service.
Ove sia richiesta la versione e cronologia dei nostri files. Una soluzione ottimale per le pubbliche amministrazioni o altre strutture che adottano servizi Terminal, è quella di conformarsi ad uno standard di sicurezza per recuperare i dati in tempo reale, mantenendo varie versioni cronologiche dei files attraverso l’infrastruttura stessa.

3. Configurare la nostra Infrastruttura di rete in modo che permetta di ottenere il controllo diretto da parte nostra del traffico.
Un livello di priorità che pochi tengono in considerazione. E’ l’approccio migliore da sostenere, con il traffico della nostra infrastruttura di rete, che dev’essere configurata in modo centralizzato, in modo da consentire restrizioni e controlli mirati per ogni singolo dispositivo, workstation, server in grado di individuare pacchetti sospetti.

4. Fare attenzione alla comparsa UAC dei sitemi Windows.
Molti non ne tengono conto e assumono un atteggiamento disinteressato in merito.
Windows integra la funzionalità UAC (User Account Control): introdotta da Microsoft con il rilascio di Vista, si occupa della gestione dei permessi utente accordando quelli più elevati solamente su indicazione dell’utente stesso.

Le finestre di UAC che hanno intestazione di colore giallo e che recano il messaggio “Consentire al programma seguente (…) di apportare modifiche al computer?” sono quelle che debbono essere trattate con maggiore attenzione. Se non si fosse sicuri dell’identità e della legittimità del file che si è in procinto di eseguire, premere sempre il pulsante “No“.

Da ultimo, osserviamo che i ransomware provvedono a cifrare solamente file che hanno determinate estensioni (PDF, DOC, DOCX, ODT, XLS, XLSX, JPG, AVI,…). Rinominare i file con estensioni astruse (ad esempio .PROTEZ) può aiutare ad evitare il blocco da parte di Cryptoloker nel malaugurato caso in cui dovesse insediarsi sul sistema.

Un Virus in Mutazione

Al giorno d’oggi con la potenza di calcolo disponibile, i virus non rimangono mai isolati e si evolvono ed aggiornano, mutando effetto e sinapsi, ottenendo più varianti come Cryptowall o CBT-Locker, sfruttando sempre di più in modo massiccio le campagne di phishing.

L’Italia è al primo posto in Europa tra le nazioni bersagliate dai ransomware.

I dati appena pubblicati da Trend Micro sono sconvolgenti: nell’area europea l’Italia è la nazione più infettata in assoluto dai ransomware Cryptolocker e CrytpoWall.
L’escalation registrata tra settembre e novembre non può non essere motivo di preoccupazione: a settembre gli italiani infettati da ransomware erano poco più del 5% del totale (in testa c’erano Spagna, Regno Unito, Francia e Turchia); ad ottobre l’Italia è passata in prima posizione con il 17,3%; a novembre il nostro Paese è ancora primo con il poco incoraggiante primato che si rafforza ulteriormente al 31,2%.

Dati derivanti da: www.ilsoftware.it

 

Links Correlati

Gruppo Facebook per discussione nei Social
https://www.facebook.com/groups/506053642915900/

Articoli da parte di Antonello Rotolo:
http://www.antonellorotolo.it/2014/08/01/protocollo-usb-sicurezza-addio-ce-una-falla-enorme/
http://www.antonellorotolo.it/computer-infettati-dal-cryptolocker

Articolo recente del 12/02/2016
http://www.antonellorotolo.it/2016/02/12/altra-allerta-cryptolocker/

Rif. Ransomware Cryptlocker by Wikipedia:
http://it.wikipedia.org/wiki/CryptoLocker

The Hacker News
Cryptolocker viaggia anche su Drive USB.
http://thehackernews.com/2014/01/Cryptolocker-malware-usb-drive-worm.html

Repubblica.it
CBT-locher metamorfosi di un rnsomware
http://www.repubblica.it/tecnologia/2015/01/30/news/malware_locker-106140946/