Chris Vickery nel recente passato ha scoperto decine di banche dati costituite da registri elettorali, analisi mediche, record di assicurazioni, e molto altro ancora. Questo ricercatore ha pubblicato un articolo su Reddit dove annuncia di essere entrato in possesso del più grande database di probabili terroristi.

Cosa ha trovato Vickery

Alcuni anni fa, Thomson Reuters ha acquistato una società per 530.000.000 di dollari. Parte di questa offerta comprendeva un database globale di “individui a rischio accresciuto” chiamato World-Check che Thomson Reuters mantiene fino ai giorni nostri. Secondo Vice.com, World-Check è utilizzato da oltre 300 governi e le agenzie di intelligence, 49 delle 50 più grandi banche, e 9 dei primi 10 studi legali globali. La versione corrente del database contiene, tra le altre categorie, una lista nera di 93.000 individui sospettati di avere legami con il terrorismo.

Ho ottenuto una copia del database di World-Check  del 2014.

Non c’entra l’hacking in questa storia, dice Vickery, io lo chiamerei più una svista o una faciloneria messa in atto da chi detiene questo database. I dettagli esatti  possono essere condivisi in un secondo momento, continua il ricercatore.

Questa copia ha più di 2,2 milioni di individui ritenuti a rischio per avere contatti con ambienti terroristici. La categoria terrorismo è solo una piccola parte del database. Altre categorie sono costituite da persone sospettate di essere legati al riciclaggio di denaro, la criminalità organizzata, la corruzione, e altre attività illegali.

Sto inviando questo messaggio, al fine di chiedere, “Devo rilasciare questo database alla libera consultazione?”. Io voglio la vostra opinione.

Questa la frase più rilevante di tutto l’articolo del ricercatore. Sta avvisando che potrebbe rendere di dominio pubblico tutto il database. E continua Per lo meno, questo dovrebbe far ripartire un po di conversazione on-line per quanto riguarda l’opportunità di avere soggetti privati che ​​detengono elenchi utilizzati da agenzie governative e banche.

Ma l’articolo continua:

Ecco alcuni argomenti a favore e contro, della pubblicazione del database:

Pro:

1. Persone innocenti sono state messe in questa lista meritano di sapere che sono sospettate.
2. I dati sono apparentemente tutti aggregati da fonti pubbliche.
3. Il database è già accessibile a chiunque sia disposto a pagare Thomson Reuters per questo.

Contro:

1. Il rilascio potrebbe avvisare alcuni veri terroristi che sono stati scoperti.
2. Il team legale della  Thomson Reuters probabilmente mi denuncerà (Vickery parla in prima persona). Dopo tutto, visto che investono molto tempo e fatica nella categorizzazione e analisi dei dati, anche se provengono da fonti pubbliche. C’è probabilmente un copyright da difendere.
3. Non ho nulla contro Thomson Reuters e io sono generalmente un ragazzo abbastanza amichevole.
4. Potrebbe arrecare danno a persone che non dovrebbero essere sulla lista, ma ci sono per errore.

Inoltre, si consideri questo articolo: Articolo sulla blacklist dei terroristi internazionali

E la pagina di Thomson Reuters per il database: https://risk.thomsonreuters.com/products/world-check

* Una nota speciale per Thomson Reuters: Ho intenzione di contattarvi a breve per quanto riguarda le circostanze che mi hanno permesso di ottenere una copia di questo database. Speriamo di poter lavorare insieme per riavere  l’originale, io sono a disposizione – dice il ricercatore –  se non desiderate che la mia copia del database divenga pubblico, basta avere una motivazione convincente.

Ultime considerazioni

In questo articolo, che ho riportato in breve, si trascura il particolare più ombroso di tutta la faccenda: perchè una agenzia giornalistica detiene un database di probabili terroristi, senza che questo sia acquisito dai governi? Perchè ci sono listate persone di cui non si ha prova che siano collegati al crimine? Può una agenzia privata rivendere a chiunque paga un database così privato e così pericoloso?
O questa è tutta una storia inventata oppure la situazione è molto più grave di come appare.

Una nuova variante di ransomware è stata scoperta ed è stato chiamato RAA, ma ciò che è strano in questo caso è che i creatori hanno voluto sviluppare il malware in un modo un pò insolito usando cioè JavaScript, invece dei linguaggi di programmazione più standard, e questo lo rende più efficace in determinate situazioni. 

I ricercatori di sicurezza @JAMES_MHT  e  @benkow_  hanno scoperto RAA, un ransomware diverso perché  non si moltiplica tramite un eseguibile, ma tramite un file JS standard. Viene distribuito come sempre via email, con allegati infetti.

Poiché JavaScript di per sé non dispone di alcuna funzione di crittografia di default RAA utilizza la libreria CryptoJS che ha permesso di crittografare tramite chiave AES che viene poi utilizzata per bloccare il backup dei file delle vittime.

Utilizzare JavaScript come veicolo di infezione di un ransomware non è esattamente una tecnica nuova, ma non è un metodo visto ogni giorno, ha detto il ricercatore Jerome Segura.

Kevin Epstein, vice presidente del centro operativo Proofpoint ha detto in una intervista: “Come abbiamo in precedenza scritto nel nostro blog, JavaScript è in grado di fornire un vantaggio per gli attaccanti rispetto a file exe compilati – abbiamo visto ransomware scritti in C ++ fino a file .bat; il rilevamento deve essere basato sulla dinamica di infezione così come sui metodi che utilizzano file statici “.

Infetta tramite allegato email

Aprendo l’allegato di una mail prende il via una serie di passaggi che non solo bloccano i files della vittima, ma scarica anche alcuni malware addizionali sul computer di destinazione. L’allegato visibilmente non fa nulla, a vederlo sembra un file danneggiato. Tuttavia, in realtà è occupato a fare il suo sporco lavoro in background. Questo include l’eliminazione di Windows Volume Shadow Copy in modo che i file crittografati non possano essere recuperati, inoltre  il ransomware è impostato per eseguirsi ogni volta che Windows viene avviato in modo che possa catturare qualsiasi nuova informazione.

JavaScript è molto utilizzato sul web e quindi è un po ‘insolito vedere un ransomware “alimentato” da un linguaggio di scripting. Detto questo, siamo testimoni di molti vettori di infezione differenti che una volta erano considerati “vecchia scuola” (come le macro di Words ad esempio).

Al momento non vi è alcun modo per decifrare i file, anche se ci sono misure da adottare in grado di contrastare l’attacco.

“Credo che questo dimostri che vi è una moltitudine di modi per caricare ransomware e gli utenti devono rimanere vigili. In questo caso particolare, porre sempre attenzione agli allegati e-mail che contengono file JavaScript è un buon modo di contrastare questi attacchi poiché non vi è davvero alcun scopo legittimo nell’invio quei file via e-mail in un contesto normale “, ha detto Segura.

Come funziona il ransomware RAA

RAA è attualmente distribuito tramite e-mail come allegato, il file sembra essere con estensione doc e ha nomi come mgJaXnwanxlS_doc_.js. Quando si apre il file JS inizierà a cifrare il computer e quindi a chiedere un riscatto di ~ $ 250 USD per ottenere la descrittazione dei i file. A peggiorare le cose interviene il furto di password eseguito da un altro malware incorporato chiamato  Pony che RAA installa sul computer della vittima.

Come RAA cripta i file della vittima

Quando la vittima fa doppio click sul file RAA JS, verrà generato un documento word fasullo nella cartella %Documenti%. Questo documento word avrà un nome simile a doc_attached_CnIj4 e verrà automaticamente aperto per far sembrare il file danneggiato. Mentre la vittima pensa che il malware sia danneggiato, in background  RAA inizierà la scansione tutte le unità disponibili per determinare se l’utente ha permessi sia in lettura che scrittura su di essi. Se le unità possono essere scritte, farà la scansione dell’unità e utilizzerà il codice della  libreria CryptoJS  per crittografare utilizzando la crittografia AES.

Quando un file è stato crittografato, verrà aggiunta l’estensione .locked  al nome del file. Ciò significa che un file chiamato test.jpg una volta cifrato viene rinominato come test.jpg.locked. I tipi di file presi di mira da questa infezione sono:

.doc, .xls, .rtf, .pdf, dbf, .jpg, dwg, .cdr, .psd, .CD, .mdb, .png, .LCD, .zip, .rar, .csv

Quando RAA cripta i files salterà quelli che contengono  .locked , ~ e  $ o sono nelle seguenti cartelle:

Programmi, Programmi (x86), Windows, Recycle.Bin, Recycler, AppData, Temp, ProgramData, Microsoft

Quindi il ransomware elimina Windows Volume Shadow Copy Service (VSS) in modo che non possa essere utilizzato per recuperare i file dalle copie shadow del sistema. Ci sono due funzioni che si occupano di eliminare il servizio VSS, ma non è chiaro se cancella le copie shadow prima di eliminare il servizio. Ci saranno nuovi aggiornamenti su successivi esami sul codice del malware.

Infine, il ransomware creerà una richiesta di riscatto sul desktop denominata !!!README!!![id].rtf , dove [ID] è l’ID univoco assegnato alla vittima. Il testo di questa richiesta di riscatto è in russo e si può vedere il suo contenuto qui sotto.

Il file JS sarà quindi impostato come autorun (che si avvia ad ogni apertura del sistema) in modo che venga eseguito ogni volta che Windows viene aperto. Ciò consente anche di crittografare eventuali nuovi documenti che sono stati creati dopo l’ultimo accesso.

Questa è la traduzione in inglese del testo russo

*** ATTENTION! ***
Your files have been encrypted virus RAA.
For encryption was used algorithm AES-256 is used to protect information of state secrets.
This means that data can be restored only by purchasing a key from us.
Buying key - a simple deed.

All you need to:
1. Send your ID E993A9FD-C5D9-4128-AF38-71A54E1258DA to the postal address
[email protected].
2. Test decrypt few files in order to make sure that we do have the key.
3. Transfer 0.39 BTC ($ 250) to Bitcoin-address
15ADP9ErZTNgU8gBoJWFCujGbJXCRDzgTv.
For information on how to buy Bitcoin for rubles with any card -
//www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html
4. Get the key and the program to decrypt the files.
5. Take measures to prevent similar situations in the future.

Importantly (1).
Do not attempt to pick up the key, it is useless, and can destroy your data permanently.

Importantly(2).
If the specified address ([email protected]) you have not received a reply within 3 hours, you can use the service for communication Bitmessage (our address - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).
More details about the program - //bitmessage.org/wiki/Main_Page

Importantly (3).
We CAN NOT long keep your All keys, for which no fee has been paid, are removed within a week after infection.

README files located in the root of each drive.

A questo punto non vi è alcun modo per decriptare i file gratuitamente. Se qualche metodo di decrittazione verrò scoperto in futuro, questo articolo verrà aggiornato.

RAA JS installa anche un virus che ruba le password: Pony Trojan

Se non fosse già abbastanza grave per una vittima di avere i propri file crittografati, il ransomware RAA installa anche il virus pony  che permette il furto di password dal computer della vittima. Invece di scaricare e installare Pony da Internet, gli sviluppatori di malware hanno convertito il malware Pony in una stringa codificata base64 incorporato nel file JS.

Si può vedere una porzione del file codificato nel frammento di codice offuscato qui sotto.

I ransomware hanno ogni giorno nuove forze e nuovi metodi di infezione. Io consiglio vivamente chiunque, soprattutto i più “addentro” alla sicurezza informatica di ripetere sempre di PREVENIRE tramite un (o più) backup su disco esterno NON collegato al pc. Anche in alcuni casi è stato possibile, in parte, ritornare in possesso di file criptati, è assolutamente necessario capire che tutto questo svanisce con un solo metodo: BACKUP.
Anche solo dover decrittare file, porta ad un blocco di tutte le nostre attività e della nostra azienda che non è ripagabile in nessun modo.

Fate sempre, costantemente dei backup e metteteli al sicuro.

Mettere in sicurezza una PlayStation è un’operazione sottovalutata da molti videogiocatori, incuranti di quanto la loro consolle possa in realtà trasformarsi in un’arma temibile, se dovesse finire nelle mani sbagliate.

Nel momento in cui si connette una PlayStation alla Rete questa diventa a tutti gli effetti un computer e, come tale, può facilmente rientrare nelle mire di un hacker o un’organizzazione cybercriminale.

Le cronache degli ultimi anni parlano chiaro: furti di account, accesso ai dati personali, spese indesiderate addebitate sulla carta di credito dei giocatori ma anche virus, malware e spam, inviati agli indirizzi di posta elettronica dei giocatori.

Conseguenze gravi, che devono far riflettere su quanto sia importante mettere in sicurezza una PlayStation. Ecco come procedere in pochi, semplici passaggi:

Mettere in sicurezza una PlayStation: blindare l’account PSN con una nuova password

Negli ultimi anni l’universo videoludico si è spostato sempre di più sulla Rete. Il successo del PlayStation Network sta appunto in questo: la possibilità di far giocare online milioni di utenti in tutto il mondo.

Il primo passo da fare per mettere in sicurezza una PlayStation è quello di cambiare la password PSN attraverso la propria consolle. Per farlo, è necessario selezionare l’account utente e premere il tasto in alto sul pad di controllo in modo da accedere al menù Funzione. Da qui, selezionare Impostazioni -> PlayStation Network -> Informazioni sull’account -> Password. Verrà richiesto di inserire la vecchia password, quindi di digitare quella nuova e confermarla con il tasto Continua.

Non scegliere mai password contenenti il proprio nome, nickname, data di nascita, città di residenza o altri dati personali (nome del cane o di un familiare, etc…). La password deve essere univoca e non deve essere uguale a quelle in uso per altri profili o servizi (come Facebook, Gmail, Windows, etc…). Scegliere parole di fantasia di almeno 10 caratteri alfanumerici, con alternanza di maiuscole, minuscole e simboli: saranno più difficili da intercettare e violare.

Questa procedura è ovviamente valida per gli account Master: per quelli con limitazioni (riservati generalmente agli utenti minorenni) è necessario fare riferimento a un genitore per la procedura di aggiornamento della password.

Mettere in sicurezza una PlayStation: attenzione alle e-mail e carte di credito inserite

Tutti i dati immessi nell’account PlayStation Network possono essere rubati da criminali e malintenzionati: per questo è necessario sceglierli con cura, soprattutto quando si parla di indirizzi e-mail e carte di credito per gli acquisti diretti dalla consolle.

In questo caso è consigliabile utilizzare un account di posta elettronica dedicato per il PlayStation Network. In caso di violazione dell’account, il pericolo principale è quello derivante dal phishing, oltre al fastidioso spam. L’indirizzo mail potrebbe inoltre essere oggetto di invii fraudolenti, con allegati malevoli contenenti virus, trojan, malware e ogni altro pericolo informatico: meglio, quindi, evitare di inserire l’indirizzo mail principale e utilizzarne uno dedicato.

Diffidare, inoltre, da tutte le mail che richiedono di aggiornare i dati di accesso al PSN, invitando l’utente a cliccare su un pulsante o un indirizzo web per aggiornare i dati (inserendo, nel frattempo, quelli attuali): si tratta di truffe (phishing, per l’esattezza) attraverso le quali i cybercriminali sono soliti rubare gli account per svolgere attività fraudolente.

Un’attenzione particolare merita la carta di credito: una volta inserita all’interno dell’account chiunque si ritrovi in possesso dei dati di accesso al PSN potrà effettuare acquisti all’insaputa del titolare. Ecco perché è sconsigliabile associare al PSN la propria carta di credito principale, preferendo le PlayStation Network Card, schede prepagate che consentono di tenere d’occhio la spesa e di perdere, in caso di furto dell’account, la sola cifra accreditata sulla carta, mettendo al sicuro i risparmi della carta di credito associata al conto corrente bancario.

Qualora si voglia comunque associare una carta di credito al PlayStation Network, sarà indispensabile controllare periodicamente tutti i movimenti della carta e osservare con attenzione gli addebiti del PSN: al primo importo “sospetto”, sarà possibile bloccare la carta e procedere a tutte le verifiche del caso.

Mettere in sicurezza una PlayStation: limitare l’uso di alcune funzioni

Per tutelare i bambini e i minori che utilizzano i sistemi PlayStation, i genitori possono impostare una serie di filtri e limitazioni per bloccare alcuni tipi di contenuto. Per esempio, è possibile limitare l’uso di giochi che prevedono restrizioni di età, bloccare la riproduzione di Blu-ray e DVD che prevedono restrizioni sui minorenni, impedire l’avvio del browser internet o impostare appositi filtri web per evitare l’apertura di siti pericolosi, pornografici o non adatti a un pubblico giovane.

Per impostare i filtri è necessario selezionare Impostazioni -> Filtro contenuti -> Limita l’uso delle funzioni.

Mettere in sicurezza una PlayStation: precauzioni, trucchi e comportamenti utili per giocare sicuri

La sicurezza non è mai troppa, specialmente quando di mezzo ci sono dati sensibili, carte di credito e la sicurezza del nostro account personale. Ecco, quindi, una serie di consigli da seguire per evitare spiacevoli sorprese e mettere in sicurezza una PlayStation:

– Non condividere l’account personale con nessuno: nemmeno parenti, amici stretti o con qualcuno che afferma di lavorare per conto di Sony o PlayStation. Una volta terminata una sessione di gioco, procedere alla disconnessione dell’account per evitare che qualcuno possa accedervi senza il nostro permesso.

– Se si ha il sospetto che il proprio account sia stato violato, o se la password inserita risulta errata, è necessario contattare al più presto l’assistenza PlayStation a questo indirizzo. Da qui è possibile telefonare o mandare una mail al servizio assistenza, per provvedere in maniera tempestiva in caso di violazione.

– Inserire i dati di accesso personali solo ed esclusivamente attraverso la consolle di gioco, per evitare il rischio che possano essere condivisi su siti pirata appositamente creati dagli hacker per sembrare, in tutto e per tutto, simili a quelli ufficiali di Sony e PlayStation.

– Evitare di vendere o acquistare online account PSN: oltre ad essere una pratica non approvata da Sony e contraria alle regole d’uso del servizio (accettate all’atto di iscrizione al PlayStation Network), la compravendita di account mette a rischio l’acquirente per due volte. Da un lato, non è possibile sapere da dove l’account provenga e quanti utenti ne conoscano le credenziali di accesso. Dall’altro, rappresenta un’operazione ad alto rischio, anche per chi si trova a venderlo.