Attenzione agli episodi piratati di Game of Thrones e a un nuovo malware chiamato Xwo, gli studenti della Georgia Tech sono esposti a una violazione e AriZona Iced Tea subisce un forte attacco informatico.
L’inverno sta arrivando per i pirati GoT
Con il popolare programma HBO che torna questo mese, gli esperti di sicurezza informatica avvertono i fan di Game of Thrones che gli episodi piratati sono tra i file più infetti da malware nel mondo BitTorrent. Nel 2018, il 17% di tutti i contenuti piratati infetti consisteva in episodi di Game of Thrones, con un totale di 20.934 utenti. E quello fu un anno in cui lo spettacolo era buio. Negli ultimi due anni, i ricercatori hanno identificato 505 diverse famiglie di minacce legate ai contenuti GoT piratati, inclusi worm, trojan, adware e downloader. Mentre la monumentale stagione finale si profila, i fan sono invitati a trovare i loro episodi legittimamente.
Violazione dei dati
Indagando su un problema di prestazioni in una delle loro applicazioni web a marzo, il team di sicurezza informatica della Georgia Tech ha scoperto che una vulnerabilità nell’app era stata sfruttata da un cyber-intruso. Nell’avviso ufficiale rilasciato questa settimana, la scuola afferma che una “entità sconosciuta” ha avuto accesso illegalmente a un database centrale che conteneva le informazioni personali di 1,3 milioni di studenti, inclusi nomi, indirizzi, numeri di previdenza sociale e date di nascita. La dichiarazione aggiunge che “il team di sicurezza informatica sta conducendo un’indagine forense approfondita per determinare con precisione quali informazioni sono state estratte dal sistema”. Dicono che stanno anche lavorando per identificare quali dati degli studenti sono stati interessati. Mentre le indagini continuano, la scuola rassicura gli studenti che la vulnerabilità che ha causato la violazione è stata riparata.
Malware che contagia
I ricercatori hanno individuato una nuova forma di malware chiamata Xwo. Invece di infettare i sistemi con ransomware o programmi di cryptomining, guarda e registra. Gli esperti ritengono che sia destinato esclusivamente alla ricognizione e quindi molto probabilmente un precursore di un attacco molto più dannoso a venire. Esegue la scansione dei servizi Web esposti e delle password predefinite attive, quindi invia tali informazioni al server C2 (comando e controllo).
“Questo attacco è progettato per raccogliere dati e creare un elenco di obiettivi da compromettere in seguito”, avverte Luis Corrons, esperto di sicurezza di Avast. “Gli aggressori potrebbero compromettere le vittime stesse o venderle al miglior offerente.”
I servizi controllati dal malware includono FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached e Tomcat, un’implementazione open source di Java Servlet. Resta da vedere se c’è un’altra scarpa da calare in seguito alla diffusione dello strano Xwo, ma si consiglia a tutti gli utenti di cambiare le password predefinite che potrebbero avere in funzione.
Ransomware al gusto di Tè ghiacciato
I ricercatori hanno individuato una nuova forma di malware che si chiama Xwo. Invece di infettare i sistemi con ransomware o programmi di cryptomining, guarda e registra. Gli esperti ritengono che sia destinato esclusivamente alla ricognizione e quindi molto probabilmente un precursore di un attacco molto più dannoso a venire. Esegue la scansione dei servizi Web esposti e delle password predefinite attive, quindi invia tali informazioni al server C2 (comando e controllo).
“Questo attacco è progettato per raccogliere dati e creare un elenco di obiettivi da compromettere in seguito”, avverte Luis Corrons, esperto di sicurezza di Avast. “Gli aggressori potrebbero compromettere le vittime stesse o venderle al miglior offerente.”
AriZona Beverages ha subito un devastante attacco ransomware a marzo e il produttore di tè freddo da un miliardo di dollari si sta ancora riprendendo dall’assalto a livello aziendale. Gli esperti ritengono che l’attacco ransomware sia stata la seconda parte di uno-due attacchi di malware subiti dall’azienda. Il ransomware ha colpito il 21 marzo, ma diverse settimane prima l’FBI aveva contattato l’azienda per segnalare che era stata infettata dal malware Dridex. Dridex è progettato per rubare password, monitorare il traffico di rete e inviare più malware, incluso il ransomware.
Inoltre, AriZona aveva molti dei suoi server che eseguivano sistemi Windows obsoleti, che sono obiettivi ideali per gli attacchi informatici. Dopo l’attacco ransomware del 21 marzo, oltre 200 server e computer dell’azienda hanno visualizzato il messaggio “La tua rete è stata compromessa e crittografata”. Il ransomware utilizzato è iEncrypt, per il quale non esiste un decryptor noto. L’azienda ha ora investito centinaia di migliaia di dollari nella ricostruzione del proprio sistema di rete con le necessarie protezioni moderne.
