venerdì 16 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 3 - 9 Aprile
La scorsa settimana il CERT-AGID ha individuato e sottoposto ad analisi 19 campagne dannose: 2 di queste sono state generiche ma veicolate anche in Italia, 17 invece miravano direttamente ad obiettivi italiani. 81 gli indicatori di compromissione individuati.

Le famiglie malware individuate in diffusione sono state 3, per un totale di 4 campagne malware:

giovedì 15 aprile 2021

Le campagne via SMS sono ancora un pericolo: il CERT denuncia la diffusione in Italia del malware Flubot

Il CERT ha pubblicato uno specifico approfondimento (consultabile qui) su una campagna via SMS che sta diffondendo il malware Flu Bot 3.9. Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. 

Il malware sembra essere di origine russa, considerando il fatto che non si attiva sui dispositivi Android impostati su lingue come uzbeco, inglese (Regno Unito), turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano ecc... Inoltre è stata ritrovata nel codice una stringa in lingua russa contenente un vero e proprio sfottò contro i ricercatori di linuxct, che hanno aiutato il CERT nell'analisi di questa campagna. 

Nel corso dell'analisi del codice, che il CERT ha ottenuto dopo deoffuscamento, è stato riscontrato il prefisso italiano, fatto che fa sospettare che la versione in analisi sia stata sviluppata appositamente per colpire in Italia.

mercoledì 14 aprile 2021

Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

Della vicenda che ha riguardato i server Microsoft Exchange abbiamo già parlato qui: il 2 Marzo Microsoft ha rilasciato aggiornamenti di sicurezza per una serie di vulnerabilità, dette complessivamente Proxylogon, che sono state usate attivamente per un'ondata di attacchi che si è svolta tra Gennaio e Febbraio e che era finalizzata ad installare web shell sui server Exchange compromessi. Queste web shell hanno fornito e tutt'ora forniscono accesso da remoto agli attaccanti, che le utilizzano per esfiltrare email e credenziali degli account. 

Nel corso di queste settimane, data la criticità delle falle ma anche "il peso" delle vittime coinvolte da questa scia di attacchi, agenzie governative e la stessa Microsoft hanno pubblicato una varietà di script e tool per aiutare le vittime a stabilire se i propri server siano o meno compromessi. Anche perchè, nel frattempo, le stesse vulnerabilità hanno iniziato ad essere sfruttate anche da parte di altri attori per diffondere ransomware, cryptominer e ulteriori web shell. 

Insomma le vulnerabilità sono state patchate, ma restano ancora moltissimi server vulnerabili o già violati e i cui proprietari ancora non hanno preso contromisure. Così, in un comunicato stampa del Dipartimento della Giustizia, l'FBI ha fatto sapere di aver ricevuto l'autorizzazione ad accedere ai server Exchange ancora compromessi, copiare la web shell come prova e rimuoverla quindi dal server. La scelta di intervenire direttamente, situazione che non ha precedenti, è stata giustificata dall'FBI dalla "incapacità tecnica dei proprietari di rimuovere in autonomia le web shell, dovuta anche ad una scarsa consapevolezza dei rischi derivanti". La decisione invece di non avvisare i proprietari è stata invece giustificata dal rischio che la notifica avrebbe potuto compromettere l'operazione: l'FBI ha quindi chiesto e ottenuto anche il diritto di rimandare la notifica ai proprietari dei server fino al termine dell'operazione. 

martedì 13 aprile 2021

A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

23 Giugno 2021: questo è il giorno in cui verrà avviata la fase di test del perimetro di cybersicurezza dell'Italia. Il test durerà ben 6 mesi, durante i quali verrà valutata la tenuta ed efficacia complessiva del sistema di regole che l'Italia ha elaborato ed implementato per proteggersi dalle cyber minacce: al termine del test e tenendo conto dei risultati, il sistema di regole verrà rivisto e corretto. 

Il 23 Giugno saranno passati due anni dall'approvazione del D.l 105 del 2019, le cui previsioni sono state le fondamenta sul quale è stato costruito il nostro piano di cyber security nazionale: sono comunque ben 4 i decreti che saranno necessari per implementare l'intero piano di cybersecurity nazionale ed armonizzarlo nel contesto della risposta ai cyber attacchi dell'Unione Europea. All'origine infatti dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cibersecurity, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

Il test del piano di cybersecurity nazionale punterà i riflettori su tutti quei soggetti destinatari del piano, ovvero i gestori delle  infrastrutture critiche (trasporti pubblici, servizi finanziari, telecomunicazioni, energia, welfare, difesa, sicurezza interna, spazio, pubblica amministrazione, alta tecnologia ecc..): tutti questi soggetti dovranno dimostrare non solo di aver adottato sufficienti ed adeguate misure di cyber security, ma anche di sapere applicare e rispettare i protocolli di segnalazione degli attacchi. Il D.l 105 del 2019 stabiliva proprio, in prima battuta, i soggetti (enti ed asset) "intorno ai quali" costruire il perimetro di cybersecurity, secondo ovviamente l'importanza dell'asset o dell'ente e dei rischi potenziali per l'Italia in caso di compromissione. Molto probabilmente, nel giro di qualche anno, il numero di questi soggetti andrà ad aumentare: sanità e centri di ricerca sono già con un piede, almeno teorico, dentro il perimetro. 

venerdì 9 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27 Marzo - 2 Aprile
La scorsa settimana i CERT-AGID ha individuato e analizzato 26 campagne dannose attive: di queste solo 2 sono state generiche ma veicolate anche in Italia, mentre le altre 24 sono state tutte campagne mirate contro utenti italiani. 374 sono stati gli indicatori di compromissione (IoC) resi disponibili. 

In totale sono state individuate in diffusione nello spazio italiani 7 diverse famiglie malware. Nello specifico:

  • Ursnif è di nuovo il malware della settimana. Diffuso con ben 3 diverse campagne che hanno visto tutte l'uso di allegati .ZIP contenenti file .doc, .xls o .xlsb contenenti macro dannose. I temi di quste campagne sono stati Documenti, Energia e Inps;
  • sLoad si piazza al secondo posto con una campagna di diffusione: siamo alla 4° campagna di diffusione nel 2021 e la seconda nel mese di Marzo. Il malware conferma la predilezione del circuito PEC: i file utilizzati come vettore di infezione sono stati archivi .zip contenenti a loro volta un ulteriore file .zip. Su questa campagna il CERT ha pubblicato una apposita news, consultabile qui;
  • iceID, AgentTesla, Lokibot, Formbook e Dridex completano il quadro dei malware in diffusione nello spazio italiano. La maggior parte di questi è stata diffusa in campagne a tema "Pagamenti".

Per approfondire > Dentro Ursnif, il trojan bancario più diffuso in Italia