giovedì 1 ottobre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 25/09

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 25/09
Anche questa settimana è Emotet il malware più attivo. E' stato distribuito a cadenza praticamente giornaliera con campagne principalmente a tema sanità o pagamento fatture: lo schema è sempre lo stesso, ovvero l'uso di documenti Office .doc contenenti macro dannosa. In alcuni casi il documenti era contenuto in archivio .ZIP protetto da una password indicata nel corpo email. 

Al secondo posto dei malware più attivi troviamo Ursnif, diffuso con più campagne. Tra queste, una è stata molto più intensa delle altre, ovvero quella a tema Agenzia delle Entrate. 

martedì 29 settembre 2020

Ancora ospedali sotto attacco: il ransomware Ryuk lancia l'assalto agli Ospedali UHS in tutti gli Stati Uniti

A pochi giorni dalla notizia della morte di una paziente come conseguenza diretta di un attacco ransomware (è ad ora in corso un' indagine per omicidio colposo avviata dalla Procura di Colonia), gli attacchi ransomware contro ospedali e fornitori di servizi sanitari non si fermano. Anzi, la situazione sta peggiorando. 

La nuova vittima d'eccellenza è il provider di servizi sanitari Universal Health Service (UHS): il gigante della sanità statunitense ha dichiarato pubblicamente di essere stato costretto allo shut down dei sistemi di tutti gli ospedali negli Stati Uniti in seguito ad un cyber attacco che ha colpito la rete aziendale all'alba di Domenica scorsa (27 Settembre 2020). Per rendersi conto del contesto, UHS gestisce oltre 400 tra ospedali e ambulatori negli Stati Uniti e nel Regno Unito, conta oltre 90.000 dipendenti e assiste più di 3.5 milioni di pazienti ogni anno. 11.4 miliardi di dollari il profitto annuale dichiarato, che pone UHS tra le prime 500 aziende di Fortune. 

L'attacco è iniziato durante la notte ed ha riguardato sicuramente gli ospedali UHS in California, Florida, Texas, Arizona, Washington D.C che si sono ritrovati senza accesso ai computer e ai sistemi telefonici. Ad ora e tutt'ora, gli ospedali UHS stanno dirottando le ambulanze e ricollocando i pazienti in altre strutture nei dintorni.

I dipendenti raccontano che, quando è iniziato l'attacco, sono state arrestate dagli attaccanti più

lunedì 28 settembre 2020

Il ransomware AgeLocker cripta i NAS QNAP...ma prima ruba i dati

Ancora un ransomware pensato per colpire nello specifico i NAS QNAP:  dopo QSnatch e QNAPCrypt, i ricercatori di sicurezza hanno individuato, già in uso in attacchi reali, un nuovo ransomware chiamato AgeLocker. 

AgeLocker mira esclusivamente i dispositivi NAS QNAP, sempre più largamente usati per lo storage di grandi quantità di dati, ma anche per i backup. Insomma, un obiettivo molto ghiotto e sicuramente più facile da colpire rispetto a sistemi di storage e backup aziendali complessi. Il copione, come detto, non è nuovo: AgeLocker cripta i dati e richiede un riscatto, ma si premura anche di rubare tutti i dati salvati sul dispositivo al momento dell'attacco. 

Per la criptazione AgeLocker usa un algoritmo di criptazione poco utilizzato, chiamato Age (Actually Good Encryption), dal quale deriva il nome del malware stesso: è un algoritmo nato allo scopo di sostituire GPG nella criptazione di file, backup e flussi. I file criptati da questo ransomware sono facilmente individuabili: al momento della criptazione infatti, AgeLocker antepone un header testuale ai dati criptati, contenente l'URL age-encryption.org

venerdì 25 settembre 2020

Ancora aziende italiane sotto attacco: il Gruppo Carraro paralizzato mette in cassa integrazione 700 dipendenti

A causa di un attacco informatico, ancora di tipologia non confermata da fonti ufficiali, il Gruppo Carraro ha dovuto sospendere sia produzione che amministrazione negli stabilimenti di Campodarsego e Rovigo. In tutto l'azienda si è trovata costretta a mettere in cassa integrazione oltre 700 lavoratori: 500 dipendenti di Capodarsego e 200 lavoratori della divisione Agritalia di Rovigo. La cassa integrazione durerà per il periodo necessario al ripristino dei sistemi informatici, in un'azienda altamente automatizzata la cui attività è strettamente dipendente dai sistemi informatici. Lavoro sospeso anche per molti amministrativi, che a causa della pandemia Covid19, lavorano da mesi in remoto in regime di smart working. 

 «Tutti i lavoratori a casa, tranne una residua parte produttiva tornata al lavoro manuale a bordo linea» dichiarano dal sindacato Fim- Cisl di Padova. 

I danni però si sono verificati anche oltreoceano: il blocco produttivo ed amministrativo infatti ha finito per riguardare anche altre unità produttive del gruppo, in India, Cina e Argentina. 

giovedì 24 settembre 2020

ASTesla: l'analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

Come raccontato qualche giorno fa, tra i nuovi malware in diffusione in Italia, il CERT-AgID ha individuato quello che pare a tutti gli effetti un "parente" del già noto AgentTesla. Il nostro team di cyber sicurezza nazionale ha individuato per la prima volta questo nuovo malware in distribuzione in una email a tema DHL e scritta il lingua inglese: l'email conteneva un allegato dannoso con estensione .GZ dal nome DHL STATEMENT OF ACCOUNT – 1606411788.  Su questo malware il CERT-AgID ha pubblicato un apposito report consultabile qui: ne rendiamo i punti salienti. 

L'archivio è un file .RAR in realtà, che è effettivamente un formato più adatto a Windows: all'interno è contenuto un file eseguibile con lo stesso nome. L'immagine sotto mostra l'email oggetto di analisi da parte del CERT-AgID.