Tra le notizie di questa settimana: Microsoft intraprende azioni legali nei confronti di No-IP, una compagnia di hosting che si crede ottenga profitti consentendo ai cybercriminali di utilizzare i propri servizi per diffondere malware. Inoltre, proprio questa settimana \u00e8 riemersa l\u2019APT Miniduke.<\/p>\n
No-IP<\/strong><\/p>\n No-IP \u00e8 un provider di Domain Name System (DNS) dinamici. Offre agli utenti la possibilit\u00e0 di acquistare nomi di dominio per siti Internet come qualsiasi provider DNS. L\u2019unica differenza \u00e8 che i DNS dinamici consentono agli amministratori di aggiornare facilmente i nomi di dominio e gli indirizzi IP. Si tratta di una funzionalit\u00e0 davvero preziosa per i cybercriminali che cercano di non essere scoperti dai prodotti antivirus, i quali bloccherebbero gli indirizzi IP dei siti Internet che ospitano malware e che fungono da server per il controllo di una botnet. Purtroppo,\u00a0 nonostante sia questa la situazione, ci sono molte aziende senza intenti criminali che utilizzano DNS dinamici e No-IP.<\/p>\n Microsoft ritiene che \u201cNo-IP sia proprietaria dell\u2019infrastruttura utilizzata molte volte dai cybercriminali per infettare i dispositivi degli utenti mediante la famiglia di malware Bladabindi (NJrat) e Jenxcus (NJw0rm)\u201d. No-IP rifiuta l\u2019accusa di sostenere campagne di diffusione di malware.<\/p>\n Uno dei metodi utilizzati da Microsoft per contrastare queste operazioni criminali \u00e8 richiedere un ordine di restrizione temporaneo, che consente all\u2019azienda di appropriarsi dei domini, effettuare il sinkholing di quelli coinvolti in operazioni criminali e reindirizzare il traffico a domini controllati da Microsoft. Il sinkholing, di cui abbiamo gi\u00e0 parlato in un altro articolo<\/a>, \u00e8 una tecnica comunemente accettata\u00a0 per smantellare le botnet e altre operazioni illegali.<\/p>\n Secondo quanto spiegato su Threatpost<\/a>, i ricercatori spesso lavorano con i provider di hosting per reindirizzare il traffico dai domini controllati dai malware a quelli gestiti dai ricercatori o dalle forze di polizia, e dare un taglio cos\u00ec alle operazioni illegali.\u00a0 Il problema \u00e8 che No-IP afferma di non essere mai stata contattata da Microsoft per questo problema.<\/p>\n Tutto ci\u00f2 ha provocato scompiglio nella comunit\u00e0 della sicurezza informatica. Un motivo \u00e8 piuttosto evidente: come \u00e8 possibile che Microsoft, un\u2019azienda privata e non un\u2019agenzia governativa, abbia l\u2019autorit\u00e0 di intraprendere questo tipo di azioni nei confronti di altre aziende private o gruppi di individui? Purtroppo, questa volta la situazione \u00e8 ancora pi\u00f9 grave, dal momento che Microsoft ha chiuso per sbaglio una serie di siti legittimi nel tentativo di eseguire queste misure risolutive<\/a>.<\/p>\n Se volete approfondire l\u2019argomento, potete dare un\u2019occhiata all\u2019articolo<\/a> di Costin Raiu, del Global Research and Analysis Team di Kaspersky Lab.<\/p>\n Il ritorno di Miniduke<\/strong><\/p>\n La campagna di Advanced Persistent Threat (APT) chiamata Miniduke \u00e8 tornata.\u00a0 Gi\u00e0 nel febbraio dello scorso anno, i ricercatori di Kaspersky Lab hanno scoperto questa campagna malware, ai tempi impiegata per azioni di spionaggio rivolte soprattutto a governi europei.\u00a0 Quando \u00e8 stata scoperta, Miniduke era una APT unica nel suo genere per una serie di ragioni, tra cui il fatto che il malware si muoveva via Twitter e inviava file eseguibili (grazie ai quali poteva aggiornarsi) e infettava i dispositivi nascondendosi in file .gif.<\/p>\n La seconda ondata, analizzata nell\u2019articolo su Securelist<\/a> di marted\u00ec scorso, evidenzia che, in un anno, il malware \u00e8 cresciuto esponenzialmente sia negli obiettivi che nella sua complessit\u00e0. Oltre a colpire governi, installazioni militari o impianti di produzione energetica, questa campagna APT ruba dati da i negozi online illegali di medicinali, soprattutto quelli che vendono ormoni e steroidi. Inoltre, dopo aver rubato le informazioni pi\u00f9 importanti dagli obiettivi designati, la campagna APT \u201cspezzetta\u201d queste informazioni e le sparpaglia, in modo tale che per i ricercatori risulti pi\u00f9 difficile scoprire qualche traccia.<\/p>\n La nuova versione di Miniduke, chiamata Cosmicduke, ha in possesso nuovi strumenti per rubare maggiori informazioni e ottenere migliori risultati. Su Threatpost<\/a> troverete ulteriori dettagli.<\/p>\n