Ursnif sbarca su Android: l’analisi del CERT

Ursnif sbarca su Android: l’analisi del CERT

Ursnif sbarca su Android: le campagne che lo distribuiscono veicolano ora un APK che infetta Android con un RAT, DroidJack.

Ursnif e le campagne a tema Agenzia delle Entrate

Ormai ne parliamo da giorni, gli alert del CERT (e non solo) si susseguono. Ursnif e il suoi gestori stanno martellando l’Italia di campagne di attacco. Campagne che mutano e differiscono in qualche particolare, ma che in comune hanno l’infrastruttura che li sostiene e il tema: Agenzia delle Entrate appunto.

“Come già anticipato dal CERT-AgID nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume”

si legge nel report del CERT “Il fenomeno Ursnif in Italia: i numeri dell’ultima ondata di campagne“.

Per approfondire > Ursnif: il trojan bancario più diffuso in Italia

Ursnif sbarca su Android

L’ennesimo alert del CERT su Ursnif e i suoi gestori è di ieri, Lunedì 27 Marzo. Di nuovo il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti.

Il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti
Fonte: https://cert-agid.gov.it

L’email sopra ricalca una delle classiche campagne che emulano comunicazioni dell’Agenzia delle Entrate. A tutti gli effetti sembra una campagna di distribuzione di Ursnif, ma c’è una novità.

Il link contenuto in corpo messaggio, in questo caso, non scarica alcun file a meno che il visitatore non lo visiti con un dispositivo Android. In questo caso il link conduce al download di un file in formato APK, chiamato Agenzia.apk. Insomma, la campagna Ursnif non distribuisce Ursnif ma un altro malware.

In dettaglio il malware risulta essere DroidJack, un Malware as Service venduto al costo di 210 dollari. Malware che, nello specifico, è un RAT che consente di ottenere il completo controllo, da remoto, del dispositivo compromesso. Così gli attaccanti possono monitorare il traffico dati, intercettare conversazioni e OTP ecc…

DroidJack il MaaS per Android

DoridJack è un malware per Android rivenduto come Malware As A service sia nel dark web che nel web emerso. E’ in circolazione da molti anni ed è sempre stato una minaccia di un certo rilievo. Al punto che, nel 2015,una task force dell’Europol e Eurojust tentò di sgominare il gruppo gestore.

Come si presentava DroidJack nel 2015
Come si presentava DroidJack nel 2015

Venendo ai tempi odierni, il CERT ha analizzato in dettaglio il funzionamento di questa campagna.

Subito dopo l’installazione, DroidJack registra il dispositivo compromesso. Per farlo comunica al server C&C marca e modello del dispositivo, numero di telefono, versione di Android.

Fonte: https://cert-agid.gov.it

Quindi inizia la raccolta di informazioni, che vengono salvate su un database SQLite (SandroRat nell’immagine sotto)

Urnsif sbarca su Android: DroidJack raccoglie informazioni e le salva in database SQLite
Fonte: https://cert-agid.gov.it

Oltre ad intercettare il traffico, DroidJack può acquisire SMS, video e registrare le chiamate effettuate. I dati raccolti sono criptati con algoritmo AES e inviati ad un server C&C localizzato in Russia.

Venendo al codice del malware, non ci sonoi grandi differenze rispetto alla versione che fu individuata in circolazione nel 2016. Probabilmente quella analizzata è proprio la vecchia versione, alla quale sono stati modificati gli indirizzi dei server C&C.

Che c’entra Ursnif quindi?

La campagna analizzata non distribuisce una versione di Ursnif per Android. Quindi che c’entra Ursnif? L’analisi del CERT ha permesso di estrarre le URL dei server di smistamento. Sono oltre 700 e molte di queste già erano correlate alla campagna Ursnif del 14 Marzo 2023. Non finisce qui:

  • stesso tema delle campagne Ursnif;
  • stesso oggetto email;
  • utilizzo dei link dinamici Firebase;
  • l’infrastruttura che distribuisce il file APK dannoso è la stessa di precedenti campagne Urnsif.

In precedenza non sono mai state registrate campagne di distribuzione Ursnif verso utenti Android. E’ la prima volta che il gruppo dietro le campagne Urnsif mirate contro utenti italiani si rivolge ad Android. La telemetria d’altronde non lascia dubbi: il 30% delle potenziali vittime delle precedenti campagne di distribuzione Ursnif possiede Android.

E’ lecito pensare, o quantomeno è verosimile, che il gruppo che gestisce Urnsif abbia scelto DroidJack per ampliare i target della propria attività dannosa. Affiancando a Windows i target Android.

Guide utili per rimanere al sicuro da attacchi malware e phishing

Virgin Hacked? Il gruppo ransomware Clop pubblica la rivendicazione sul leak site

Virgin Hacked? Il gruppo ransomware Clop pubblica la rivendicazione sul leak site

Virgin Hacked? Sul leak site del gruppo ransomware Clop compare, tra gli altri, il gruppo Virgin. Al momento non divulgati file rubati

Ransomware Clop aggiorna la lista con 30 nuove vittime

E’ successo tutto nel corso della giornata di ieri, 23 Marzo: il gruppo ransomware Clop ha aggiunto ben 30 nomi alla lista delle proprie vittime. Tra i tanti nomi, uno spicca in particolare. Parliamo di Virgin, il noto gruppo di società di proprietà del magnate Richard Branson. Virgin è un nome che leghiamo immediatamente al mondo della musica, ma ormai il gruppo si occupa anche di voli aerei, aerospazio, viaggi, vendita al dettaglio ecc…

Fonte: Cl0p leak site

Secondo il leak site di Clop ransomware, le entrate della Virgin dovrebbero ammontare a 18 miliardi di dollari. Il dato è interessante perché, come abbiamo illustrato qui, capita spesso che i gruppi ransomware più avanzati colleghino l’ammontare del riscatto alle entrate dell’azienda.

Clop ransomware in breve

Cl0p è stato individuato in diffusione, la prima volta, nel 2019 come variante di CyrptoMix. Come tutti i gruppi ransomware avanzati, adotta la tecnica della doppia estorsi0ne: un riscatto per non pubblicare i file rubati, un riscatto per ottenere il decryptor e poter riportare in chiaro i file criptati. Infatti è dotato di funzionalità per l’esfiltrazione dei dati dalla rete bersaglio, prima dell’avvio della routine di criptazione.

Dopo un periodo di inattività, a cavallo tra il 2019 e il 2021, Cl0P torna alla carica e nel 2022 viene individuata anche la prima versione del ransomware per server Linux.

Di recente ha colpito anche in Italia: il sito Red Hot Cyber ha infatti individuato online la rivendicazione dell’attacco portato contro l’italiana Zucchetti Kos.

Una delle società del gruppo Virgin era stata colpita a Febbraio da un “major hack”

Nel Febbraio di quest’anno Virgin Media Television ha subito un tentativo non autorizzato di accesso ai propri sistemi, fatto che ha costretto l’azienda a chiudere temporaneamente molti dei propri canali TV in Irlanda.

Virgin Media, in quell’occasione, rese pubblica una dichiarazione:

“Il nostro monitoraggio continuo della sicurezza ha permesso di identificare un tentativo non autorizzato di accedere ai nostrio sistemi negli ultimi giorni. A causa delle precauzioni implementate, ci saranno effetti temporanei sulla trasmissione di alcuni dei nostri programmi…

Prevediamo il ritorno alla normalità del servizio appena completato il processo di revisione e verifica”

Poco dopo l’azienda confermava di aver “completamente contenuto, isolato e terminato” l’attacco in corso.

Non sono poi circolate più informazioni relative a questo “major hack”, come fu definito dal Ministro delle comunicazioni e dell’economia circolare. Di conseguenza non sappiamo se la rivendicazione di Cl0P e questo breach, siano correlati. Non ci sono infatti, al momento, dichiarazioni da parte della Virgin. Non resta che attendere l’evolvere dei fatti, attendendo la pubblicazione ( se avverrà) del sample di dati rubati dal gruppo Cl0p dalle reti Virgin.

Aggiornamento del 24/03

Un portavoce di Virgin ha dichiarato a Bleeping Computer che il data breach ha riguardato soltanto Virgin Red.

“Siamo stati recentemente contattati da un gruppo ransomware che si fa chiamare Clop, il quale ha ottenuto illegalmente alcuni file Virgin Red grazie ad un cyber attacco su un nostro fornitore, GoAnywhere”

ha dichiarato il portavoce.

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup:
    è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
    le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
    sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust:
    applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email:
    spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
    come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello)
    nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva:
    come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Ferrari Hacked: il Cavallino ha ricevuto una richiesta di riscatto

Ferrari Hacked: il Cavallino ha ricevuto una richiesta di riscatto

Ferrari Hacked: l’azienda di Maranello scopre un data breach. Ha già ricevuto una richiesta di riscatto e fatto sapere di non avere alcuna intenzione di pagare.

Ferrari Hacked: il Cavallino scopre un data breach

Ferrari ha scoperto di aver subito un data breach dopo aver ricevuto una richiesta di riscatto. Anonimi attaccanti sono riusciti a fare irruzione nei sistemi IT aziendali, quindi hanno avanzato la richiesta di riscatto per non pubblicare i dati.

“Siamo spiacenti di informarvi di un incidente informatico alla Ferrari, nel corso del quale un attore di minacce è stato in grado di accedere ad un numero limitato di sistemi nel nostro ambiente IT”

ha dichiarato Ferrari nella comunicazione ufficiale inviata ai clienti.

La notifica che la Ferrari ha inviato ai clienti

Qui il comunicato ufficiale pubblicato da Ferrari > INCIDENTE DI SICUREZZA INFORMATICA IN FERRARI

Quel che ancora non è chiaro e su cui Ferrari non ha fatto chiarezza è il tipo di attacco subito. Non è chiaro cioè se ci troviamo di fronte ad un attacco ransomware o ad un “semplice” tentativo di estorsione. L’azienda ha comunque fatto sapere di avere avviato un indagine in collaborazione con “una delle principali società di sicurezza informatica a livello mondiale”. Ma soprattutto ha ribadito che

“in linea con la policy aziendale, Ferrari non accoglierà nessuna richiesta di riscatto in quanto acconsentire a simili richieste finanzierebbe attività criminali e permetterebbe agli autori delle minacce di perpetuare i loro attacchi”.

L’attacco non ha interrotto l’operatività aziendale, ma ha esposto dati personali


Ferrari ha preso una serie di contromisure per mettere in sicurezza i sistemi compromessi e ha sottolineato come l’attacco non abbia avuto conseguenze né effetti sull’operatività aziendale. L’attacco ha però esposto i dati personali dei clienti. In dettaglio sono nelle mani degli attaccanti nomi e cognomi, indirizzi, indirizzi di posta elettronica e numeri di telefono.

La comunicazione inviata ai clienti sottolinea che, a seguito dell’indagine condotta, non risultano esposti dati di pagamento e/o coordinate di conti correnti bancari o altri servizi di pagamento. Anche i dati relativi a vetture Ferrari già vendute o in ordine sono al sicuro.

Sono trascorsi sei mesi dall’attacco di RansomExx

Nell’Ottobre 2022 il gruppo RansomEXX ha rivendicato un attacco sferrato con successo contro i sistemi di Ferrari SpA. La rivendicazione fu pubblicata sul leak site Tor del gruppo ed era accompagna da un sample dei file esfiltrati dalla rete IT. In dettaglio il sample era un documento riservato, su carta intestata societaria, risalente al 2005. Il gruppo ransomware rivendicava il furto di circa 7 GB di dati sensibili, la maggior parte documenti aziendali e manuali con dettagli tecnici. Non risultarono colpiti, in quel frangente, dati personali.

Per saperne di più > RansomEXX colpisce di nuovo in Italia: cosa sappiamo di questo ransomware?

La Ferrari pochi giorni dopo, confermò all’agenzia Reuters che in effetti aveva rinvenuto pubblicati nel dark web una serie di documenti interni. Non ha però mai confermato di aver subito un attacco ransomware, meno che mai da parte di RansomEXX. A tutt’oggi non è chiaro se quei dati pubblicati fossero stati trafugati proprio dal sistema IT di Ferrari o da un fornitore di terze parti. In quegli stessi giorni infatti il gruppo specializzato in data breach Everest (li ricordate? Sono quelli che “bucarono” i sistemi SIAE) confermò l’attacco contro Speroni S.p.A fornitore di Ferrari.

Uno dei documenti pubblicati da RansomEXX. Fonte: Red Hot Cyber

In ogni caso gli esperti sono inclini a pensare che l’attacco subito recentemente da Ferrari sia diverso e non abbia legami con quello precedentemente subito ad opera di RansomEXX. Nel 2022 l’analisi dei sample pubblicati portò alla conferma del fatto che i dati esfiltrati erano principalmente tecnici, mentre il breach di questi giorni ha esposto dati personali dei clienti.

Aggiornamento h. 16.00 del 22/03

Il gruppo Ares, sul proprio canale Telegram, ha reso disponibili 7 GB i dati appartenenti a Ferrari. Il gruppo Ares è specializzato in data breach.

Fonte: Red Hot Cyber
Ursnif Malware in Italia: l’analisi approfondita del CERT

Ursnif Malware in Italia: l’analisi approfondita del CERT

Ursnif malware è ormai una presenza fissa nel nostro paese. Il CERT ha reso pubblicato un report completo del fenomeno: dati tecnici e numeri.

Ursnif malware: le campagne delle scorse settimane

Come già indicato in precedenti articoli, il CERT ha individuato una campagna massiva di distribuzione del malware Ursnif. Campagna di distribuzione mirata contro il nostro paese. Dall’inizio di Marzo il CERT ha osservato e contrastato quattro diverse campagne che hanno sfruttati temi con Agenzia delle Entrate e MISE/MEF.

Fonte: https://cert-agid.gov.it

Queste campagne hanno catturato l’attenzione dei ricercatori per il loro volume, ma anche per il numero di indicatori di compromissione individuati, più di 1200.

Urnsif in breve:

Urnsif, conosciuto anche come Gozi, è tra i malware bancari più diffusi al mondo. Nonché tra i più longevi: le prime segnalazioni della sua “bozza primordiale” risalgono addirittura al 2007. Il suo codice sorgente è trapelato online nel 2015. Poco dopo è diventato pubblicamente disponibile su Github. In poco tempo nuovi autori malware hanno lavorato su quel codice, aggiungendo molteplici funzionalità.

Le funzionalità di cui è capace, la complessità del codice hanno portato gli addetti ai lavori, nel tempo, a non classificarlo più come mero trojan bancario ma come minaccia avanzata e persistente. Da qualche anno ha scelto l’Italia come campo di battaglia.

Nel solo 2021 ha colpito preso di mira i clienti di oltre 100 istituti bancari italiani. In quell’anno ha rubato oltre 1700 credenziali relative ad un solo elaboratore di pagamenti. Altre informazioni dettagliate sulla sua diffusione sono disponibili, con cadenza praticamente settimanale, nei bollettini del CERT-AGid. Il nostro paese infatti è riguardato da più campagne di diffusione a cadenza ormai settimanale.

Per approfondire > Ursnif: il trojan bancario più diffuso in Italia

Ursnif e le tecniche di attacco

Ursnif viene diffuso in molteplici modi. La tecnica più utilizzata prevede l’uso di un link dinamico di Firebase, solitamente inserito in corpo testo dell’email vettore. Questo link reindirizza la vittima verso una pagina di smistamento. Queste pagine sono solitamente ospitate su server compromessi e hanno lo scopo di indirizzare, infine, l’utente a scaricare un file ZIP. Questo archivio contiene il payload del malware, in dettaglio un collegamento ad un eseguibile su un servizio di sharing pubblico.

Catena di infezione di ursnif malware
Fonte: https://cert-agid.gov.it

Proprio nel corso delle attività di contrasto delle campagne di Ursnif gli esperti del CERT hanno potuto recuperare una serie di dati utili sulle attività di questo malware. Sono riusciti, infatti, a recuperare una serie di informazioni “abbandonate” nelle pagine di smistamento. A partire dal fatto che le pagine di smistamento sono tutte su un unico server di backend.

Diamo i numeri: il fenomeno Ursnif malware

Tra le informazioni recuperate, gli esperti del CERT hanno trovato indirizzo IP, user agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno navigato sulla pagina di smistamento.

“Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.

si legge nel report.

Emerge quindi che, al momento della scrittura del report (pubblicato il 16 Marzo 2023) le visite alle pagine di smistamento erano quasi 380.000. Ora, il backend usato per indirizzare le vittime al download del payload possono rilevare se la vitista proviene o meno da uno strumento automatico (come un motore di ricerca). Di 380.000 visite, solo 40.000 sono provenienti da strumenti automatici.

A livello giornaliero, le visite risultano così distribuite:

dati ursnif malware
Fonte: https://cert-agid.gov.it

I picchi che si notano nel grafico corrispondono ai giorni in cui sono iniziate le quattro campagne di distribuzione di Ursnif.

Un altro dato interessante è che, nonostante la campagna sia mirata contro l’Italia, poco più della metà delle visite è italiana. L’altra metà è in lingua inglese, ma le visite risultano localizzate in specifici punti geografici più che mostrare una distribuzione più o meno uniforme in paesi angolofoni, come invece potremmo aspettarci. Ne discende che, probabilmente, tali visite sono state generate da strumenti automatici (come le sandbox).

Visite per lingua ursnif malware
Fonte: https://cert-agid.gov.it

Visite per Sistema Operativo

Visite per Sistema Operativo ursnif malware
Fonte: https://cert-agid.gov.it

La maggior parte delle visite proviene da dispositivi Windows, mentre per i dispositivi mobile la fa da padrone Android. macOS e Linux i meno utilizzati.

Visite per provenienza indirizzo IP
Ecco sotto ricostruite sulla mappa le posizioni degli indirizzi IP che hanno visitato le pagine di smistamento

Visite per provenienza indirizzo IP - ursnif malware
Fonte: https://cert-agid.gov.it

“È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate principalmente per l’Italia”

si legge nel report.

Il report completo è disponibile qui

La nuova frontiera del crimine informatico: OSINT

La nuova frontiera del crimine informatico: OSINT

Dai ransomware all’OSINT: il crimine informatico evolve e noi non siamo pronti. Come non eravamo pronti 7 anni fa.

All’inizio era il ransomware

Era l’Ottobre del 2015 e da circa un anno mi stavo occupando di un particolare fenomeno che molti ancora in Italia non conoscevano : i ransomware. Già se ne intravedevano la pericolosità e l’alto grado di diffusione.

Con il Ceo dei nostri partner russi, Boris Sharov, giravamo per le stanze dei bottoni a Roma nell’intento di far comprendere che di lì a poco ci sarebbe stato uno tsunami per i dati di tutti i possessori di computer e nulla sarebbe stato più come prima.

Girammo tutti gli specialisti della protezione delle infrastrutture informatiche importanti, sia pubbliche che private, ma la risposta che ricevevamo era sempre la stessa: “noi siamo protetti, il problema non ci riguarderà, grazie comunque”. Di li a poco, e precisamente l’11 maggio del 2016, il quotidiano La Nazione di Firenze mi dedicò in primo piano un articolo di 2 pagine.

Altro che protetti: fu un diluvio di cyber attacchi

Allora ricevevo circa 200 richieste di decriptazione da ransomware al giorno: privati, studi professionali, spa, Comuni, Regioni, Ministeri, Ospedali ci inviavano coppie di files da analizzare per tentare la decriptazione. Un po’ tutte le Polizie Postali d’Italia ci inviavano casi disperati. Avevamo una percentuale di riuscita di oltre l’80% al prezzo politico di 60 euro comprendente anche una licenza antivirus valida per 1 anno.

Il Bitcoin valeva 250 euro, gli Stadio spopolavano con “un giorno mi dirai” e i vari Criptolocker, criptowall, Ctb locker e compagnia tolsero il sonno a parecchi milioni di Italiani. Ci accorgemmo in un attimo di quanto erano deboli i sistemi utilizzati per proteggere dati. Giravo l’Italia in lungo e in largo per fare da relatore ai congressi, agli incontri, ai workshop e dovunque ci fosse la possibilità di spiegare che la minaccia che avevamo davanti era terribile. Dovevamo urgentemente, tutti, cambiare il nostro modo di approcciarsi alla rete. 

Il crimine informatico è diventato un’industria

Il crimine informatico si stavano industrializzando: venivano realizzati e poi venduti sul darkweb veri e propri kit per il ricatto digitale. Si poteva scegliere il corpo dell’email (vi ricordate? il pacco SDA non consegnato, le Poste che hanno una giacenza eccetera eccetera) il costo del riscatto e automaticamente veniva generato il ransomware.

Non restava altro che spammarlo a decine di migliaia di indirizzi trovati in rete e aspettare che i disperati contattassero per pagare il riscatto. Sono passati 7 anni, il sistema è ancora in piedi . A testimoniarlo sono le 4 o 5 richieste al giorno che continuo a ricevere e quello che leggiamo sui giornali quando rubano i dati a qualche big data chiedendo riscatti milionari. Da questo punto di vista diciamo che il sistema si è solo raffinato: mira dove c’è più denaro da estorcere. L’Italia se non altro ne esce rafforzata, abbiamo capito che i dati personali vanno protetti. E’ già un inizio, l’importante è non abbassare la guardia.

OSINT: dopo 7 anni si profila una nuova frontiera del crimine informatico

Sono passati 7 anni e oggi come allora mi sento di rilanciare il sasso in quell’immenso e oscuro stagno che è la rete, sia superiore che inferiore, sia ombrosa che soleggiata. Questo sasso si chiama Osint e credetemi, le sue evoluzioni saranno la minaccia ai nostri dati dei prossimi 10 anni.

Da tempo sto studiando il fenomeno , ho avuto modo di provare 3 delle piattaforme più importanti al mondo facendomi un’idea delle loro potenzialità. Magari nel prossimo articolo farò una recensione più accurata, ma quello che ho visto con i miei occhi mi ha lasciato davvero molta inquietudine.

Osint: Open Source Intelligence

Per chi non si è mai imbattuto in questa tipologia di software, gli Osint sfruttano l’open source intelligence(in italiano intelligence su fonti aperte). Sono software che raccolgono informazioni partendo da un singolo nome, una singola foto, un nickname, un numero di cellulare , un codice fiscale o altro. Quindi rovistano dappertutto, forum, blog, siti di social network, siti di condivisione di video, wiki, record Whois di nomi di dominio registrati, metadati e file digitali, risorse web scure, dati di geolocalizzazione, indirizzi IP , i motori di ricerca delle persone, Mass media tradizionali (Televisione, radio, giornali, libri, riviste), riviste specializzate, pubblicazioni accademiche, tesi di laurea, atti di convegni, profili aziendali, relazioni annuali, notizie aziendali, profili dei dipendenti e curriculum, foto e video inclusi metadati, Informazioni geospaziali. Ultimo ma non ultimo passano in rassegna anche la parte oscura del web. Uniscono, raffrontano, collegano informazioni e dati ad una velocità impressionante. Risultato? Riescono a fare in pochi minuti dei dossier minuziosissimi di decine di pagine su una determinata persona. 

Ho fatto un piccolo esperimento, il risultato è da brividi

Io stesso ho potuto provare a fare qualche esempio con il nome di qualche mio collega (consenziente). Sono arrivato a sapere in pochi minuti il numero di cellulare, la foto, addirittura la copia di un documento, tutti gli indirizzi email avuti nel tempo ecc.. Non finisce qui: ho ottenuto, talvolta, anche le password utilizzate, oltre che il cellulare della moglie, l’indirizzo di casa e altre piacevolissime informazioni che mi hanno fatto salire il brivido freddo sulla schiena.

Provate ad immaginarvi una piattaforma del genere utilizzata per delinquere… Soprattutto provate ad immaginare tra qualche anno una versione modificata con il solo scopo di delinquere…

Avete capito perché poche righe più sopra ho scritto “e ultimo ma non ultimo passano in rassegna la parte oscura del web”? Il motivo è che da un lato queste piattaforme reperiscono info che sono state lasciate sul web da noi proprio come Pollicino, sui social piuttosto che sul forum di cucina che nell’associazione della bocciofila. Dall’altro, una volta aver unito più info possibili, le passa al darkweb. Li trova tutto ciò che è stato inserito li a nostra insaputa (password e tanto altro scammate e rubate un po dappertutto). Il risultato credetemi è impressionante e allo stesso tempo inquietante.

Un caso esemplare > Dati rubati: che fine fanno? Il caso SIAE 

Non siamo pronti ad affrontare l’OSINT

E allora mi immagino la sottrazione di identità, le frodi, lo stalking e tutto ciò che si possa fare di illegale avendo queste informazioni. Siamo purtroppo all’inizio di una nuova minaccia e noi non siamo preparati ad affrontarla. Non abbiamo le armi per combatterla, non abbiamo le leggi per difenderci e soprattutto non abbiamo la cultura per accettarla