venerdì 17 settembre 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 04 - 10 Settembre
Nel corso della settimana 4-10 Settembre il CERT-AGID ha individuato e analizzato, attive nello scenario italiano, ben 27 campagne dannose: 23 di queste erano rivolte direttamente contro obiettivi italiani, 4 invece sono state le campagne generiche ma diffuse anche in Italia. 354 gli indicatori di compromissione (IOC) che il CERT ha messo a disposizione.

10 sono state le famiglie di malware individuate, veicolate con 13 diverse campagne. In dettaglio:

mercoledì 15 settembre 2021

Alert del CERT: è in corso in Italia l'ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro

Nella giornata di oggi il CERT-AGID ha pubblicato un alert riguardante una campagna di attacco, limitata all'ambito universitario italiano, ideata per veicolare il malware Lokibot. La comunicazione è una email che imita una comunicazione ufficiale di due atenei: una versione è camuffata da comunicazione dell'Università di Tor Vergata, l'altra invece dell'Università di Bologna. Nel primo caso il vettore di attacco è un allegato in formato .ZIP contenente l'eseguibile in doppia estensione, nel secondo caso invece la mail reca un allegato .XLS contenente una macro dannosa. 

Lokibot è un malware non certo nuovo in Italia, ma del quale è forse interessante tratteggiare nuovamente il profilo tecnico, dato che sempre più spesso torna a colpire utenti italiani. 

lunedì 13 settembre 2021

Nuovo malware per il furto dati arriva in Italia con una campagna di attacco contro clienti Intesa San Paolo: ecco BRATA

Il CERT-AgID ha pubblicato un alert specifico riguardo una campagna dannosa rilevata ai danni dei clienti dell'istituto bancario Intesa San Paolo. In dettaglio, i ricercatori del CERT hanno trovato online un dominio di recentissima registrazione che imita il sito web istituzionale di Intesa San Paolo.

Trattasi di una pagina di phishing in italiano, raggiungibile solo tramite dispositivi Android, pensata per rubare le credenziali di accesso all'home baking, che finiscono registrate in un file di testo sullo stesso server che ospita il dominio. 

venerdì 10 settembre 2021

Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un'azienda chimica

Ha colpito due volte in un solo giorno: prima vittima, Butali S.p.A che possiede la ben più nota catena di elettronica e elettrodomestici Euronics; subito dopo sotto attacco è finita anche 3V Sigma. Parliamo di ViceSociety, una nuova campagna ransomware. Nel frattempo i dati parlano chiaro: l'attenzione dei ransomware contro le aziende e gli enti italiani è tutt'altro che scemato. Anzi, sono stati portati ulteriori tentativi di attacco contro aziende italiane da parte del ransomware Lockbit: è stato ad esempio rilevato, sempre nella giornata di ieri, un tentativo di doppia estorsione ai danni dell'azienda chimica Tovo Gomma. 

L'attacco contro Euronics è riuscito
Inutile dire che, tra i tanti, l'attacco subito da Euronics sta facendo più notizia rispetto ad altri. Intanto, una specifica: l'attacco è stato condotto contro la società Butali S.pA, che ha sede legale nei Paesi Bassi e che detiene parte della catena di elettronica di consumo. 

L'attacco è confermato dalla presenza, sul sito di leak collegato al ransomware Vice Society, di una parte dei dati rubati. 

giovedì 9 settembre 2021

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L'attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma "la quasi totalità delle credenziali VPN risulterebbero ancora valide" (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password. 

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l'attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all'uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come "Orange", già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove. 

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.