venerdì 3 dicembre 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 20 - 26 Novembre
La scorsa settimana il CERT ha individuato e analizzato 44 campagne dannose: 38 di queste sono state mirate contro obiettivi italiani, mentre 6 erano generiche e veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 8, diffuse con 14 diverse campagne. Ecco il dettaglio:

  • Formbook è stato diffuso con 4 campagne diverse. I temi sono stati Ordine e Pagamenti: le email veicolavano allegati Office in formato .DOC e .XLSX;
  • Dridex è stato diffuso con 4 diverse campagne, due mirate contro utenti italiani e due generiche a tema Pagamenti e Premi: le email veicolavano allegati in formato .XLB e .XLS;
  • Urnsif è stato veicolato con una campagna a tema Energia: l'email recava una finta bolletta in formato .XLS;
  • Lokibot è stato diffuso con una campagna a tema ordine: le email contenevano allegati in formato archivio .ZIP;
  • Emotet torna dopo dieci mesi di inattività. Rinato dalle proprie ceneri, torna in diffusione anche in Italia, con una campagna a tema Documenti: le email recavano allegati .ZIP;
  • sLoad si conferma in diffusione mirata in Italia. La nuova campagna di diffusione, a tema Documenti e con allegati .ZIP, circolava via circuito PEC: è stata contrastata grazie alla collaborazione tra il CERT e gestori di servizi PEC;
  • Qakbot è stato diffuso con una campagna a tema Resend: le email contenevano un link ad un file archivio .ZIP;
  • AgentTesla è stato diffuso con una campagna a tema pagamenti: le email contenevano allegati in formato .IMG.

giovedì 2 dicembre 2021

Il Comune di Torino lotta da giorni contro un attacco ransomware: l'accesso alla rete tramite un PC dei Vigili Urbani

Il Comune di Torino è sotto attacco da giorni: il calvario è iniziato Lunedì 15 Novembre, di buona mattina quando i dipendenti sono rientrati al lavoro dopo il fine settimana e si sono accorti di severi malfunzionamenti alle proprie postazioni. Problemi tali da impedire loro di svolgere le proprie mansioni. 

Alle 10.30 dello stesso giorno nella Home Page di Città di Torino, il Comune informa della sospensione dell'attività dell'anagrafe e di altri uffici per "malfunzionamento" al sistema informatico. Chi si aspetta un semplice problema tecnico viene smentito poco dopo:

"La Città di Torino comunica che, a causa di un probabile attacco hacker al proprio sistema informativo, è stata sospesa questa mattina l'attività di alcuni servizi, tra cui quelli anagrafici." 

Iniziano quindi a trapelare le prime voci che parlano di "attacco ransomware", forse ad opera della banda di Conti: il sito di leak del ransomware Conti però non riporta, come di consueto, alcuna rivendicazione dell'attacco né pubblica sample dei dati esfiltrati dalla rete.

Per approfondire > Cyber attacchi in Italia: anatomia del ransomware Conti

Il comparto IT del comune mette offline 7500 postazioni e server per controllare e impedire la diffusione del ransomware all'intera infrastruttura IT. Alcuni dipendenti confermano di aver visualizzato una nota di riscatto al momento dell'accensione della postazione lavorativa. Qualche grattacapo anche per la Polizia Municipale, che registra il down dei una serie di servizi di sportello. Viene anche sospeso qualsiasi accesso remoto all'infrastruttura aziendale. 

mercoledì 1 dicembre 2021

Bad news da Microsoft: dilagano i tentativi di brute forcing. Ma i dati forniscono indicazioni utili sulla password perfetta

Più che parola di Microsoft è parola di un dipendente di Microsoft: dipendente che, da anni, raccoglie ed analizza i dati di rete proveniente dai server honeypot di Microsoft. I risultati? In parte scontati, ma comunque interessanti.

A partire dal fatto che la maggior parte degli attaccanti che tentano il brute forcing delle password esegue prima di tutto tentativi con password brevi: i dati mettono nero su bianco il fatto che sono davvero poche le password lunghe o complesse che vengono prese di mira. 

"Ho analizzato le credenziali prese di mira in oltre 25milioni di attacchi di brute force contro le secure shell. Sono dati provenienti dai sensori di rete Microsoft in circa 30 giorni" ha dichiarato Ross Bevington, ricercatore di sicurezza presso Microsoft che di professione costruisce sistemi honeypot: parliamo di sistemi all'apparenza legittimi ma che servono ad attirare gli attaccanti al loro interno per poterne analizzare la azioni. E' una pratica molto usata dai ricercatori di sicurezza per verificare i trend nel mondo del cybercrime. 

Vediamo i dati nel dettaglio:

  • il 77% dei tentativi totali registrati ha usato password tra 1 e 7 caratteri;
  • solo il 6% dei tentativi ha visto l'uso di password superiori ai 10 caratteri; 
  • soltanto il 7% dei tentativi di brute force ha previsto l'uso di un carattere speciale; 
  • il 39% dei tentativi ha almeno un numero;
  • 0% di attacchi che ha utilizzato password contenenti spazi vuoti.

I dati ci suggeriscono che la password più solida  (leggasi meno a rischio) è una password lunga almeno 8 caratteri, contenente caratteri speciali e spazi bianchi. Questo ovviamente, ci ricorda Bevington, se la password non è già trapelata precedentemente online: queste finiscono molto spesso nei dizionari usati dagli attaccanti.

lunedì 29 novembre 2021

IKEA sotto attacco: colpito il sistema email con un diluvio di email di phishing interno ai dipendenti.


Bleeping Computer riporta notizia, grazie ad alcune fonti interne, di un cyber attacco che ha colpito i sistemi email della multinazionale IKEA. In dettaglio gli impiegati sarebbero sotto un diluvio di email di phishing interno che usa lo schema reply-chain email.

Reply-chain email: info sullo schema di attacco
Per prima cosa è utile delineare il tipo di attacco che ha colpito Ikea. Per  reply-chain email si intende un attacco in cui un attaccante riesce a rubare email legittime aziendali e inizia a rispondere a queste con un link contenente un allegato dannoso che, a sua volta, installa un malware sul dispositivo del ricevente. E' un tipo di attacco molto efficace perché le email sono solitamente inviate da account e server compromessi interni all'azienda: i destinatari quindi si fidano dei contenuti ricevuti, provenienti da fonti in teoria legittime e c'è un'alta probabilità che queste email siano aperte e i contenuti visualizzati.

Ikea: l'attacco è ancora in corso
Questa è la tipologia di attacco subita da Ikea e che il colosso sta ancora fronteggiando. Bleeping Computer ha avuto accesso ad alcune email con le quali IKEA avvisa i dipendenti dell'attacco in corso, della tipologia di attacco (risposte a scambi email precedenti) e del fatto che sono coinvolti anche fornitori e partner. 

Fonte: https://www.bleepingcomputer.com

"Questo significa l'attacco può arrivare via email da parte di qualcuno con cui lavori, da qualsiasi azienda esterna e come risposto ad una conversazione già in corso. (Questo attacco) è molto difficile da individuare, motivo per cui chiediamo a tutti estrema cautela" si legge.

Reply chain email: il falso documento Office

venerdì 26 novembre 2021

Black Friday e furto carte di credito: il centro nazionale di sicurezza del Regno Unito accende i riflettori su MageCart

Vicino alle feste, che sia Natale, Pasqua, San Valentino fioccano gli articoli, gli alert, gli annunci riguardo ai rischi che si corrono pagando online: in questo caso però l'alert è "reale" nei termini che è stato individuato un volume tale di attacchi contro gli shop online da aver spinto il National Cyber Security Centre (NCSC) del Regno Unito a pubblicare un alert ad hoc su Magecart. 

MageCart: la campagna per il furto di carte di credito
MageCart è una minaccia informatica tutt'altro che nuova. Il problema è che non si riesce ad arginarla, ormai da anni, cosa che l'ha fatta assurgere al podio delle campagne di attacco contro il settore del retail e dello shopping online

Partiamo dall'inizio: MageCart, ovvero il "Carrello dei Maghi"  è il nome di un gruppo di cyber attaccanti che si è specializzato nel furto dei dati relativi alle carte di credito. Per ottenere tali dati questo gruppo attacca preventivamente gli e-commerce e inizia a raccogliere i dati che gli utenti inseriscono volontariamente. Il gruppo non è insolito attaccare piccoli e-commerce, ma ha messo le mani anche in contesti dove c'è abbondante miele: tra le vittime troviamo nomi quali British Airways, Ticketmaster, diverse catene alberghiere multinazionali ecc... Predilige gli attacchi sugli Amazon S3 Buckets non configurati correttamente: quello di Amazon è un servizio molto molto diffuso e utilizzato da aziende di piccole e grandi dimensioni e questo lo rende un obiettivo molto ghiotto. 

E' utile fornire qualche numero per concretizzare il rischio. RiskIQ, società di sicurezza americana, ha studiato e monitorato a lungo queste campagne di attacco: nel 2019 il 17%  degli annunci dannosi presenti nel web (malvertising) afferivano a campagne MageCart. L'alert dell'NCSC consegue al fatto che in pochissimi giorni sono stati violati oltre 4000 negozi online inglesi proprio a ridosso del black friday. 

Una particolarità: MageCart ha sviluppato un sistema di processi del tutto automatizzati che compromettono gli shop online senza necessità di intervento manuale da parte dei membri del gruppo. 

MageCart e il web skimming: la tecnica di attacco