giovedì 19 maggio 2022

Alert del CERT: il banking trojan Coper sbarca in Italia


In circolazione già dal 2021, Coper è una nuova famiglia di trojan bancari pensati per i dispositivi che eseguono Android. Ha una architettura a più moduli che consente di implementare più funzionalità. Ora il CERT lancia l'allarme: Coper è arrivato in Italia. 

Il CERT individua Coper in diffusione in Italia

L'annuncio è di qualche giorno fa: "durante le attività di monitoraggio", si legge nell'alert "il CERT ha individuato due campagne di phishing rivolte ad utenti INPS e Intesa Sanpaolo". Insomma il malware è stato individuato in the wild, in diffusione e in uso in attacchi reali. 

Entrambi i domini usati nelle campagne, spiegano gli esperti del CERT, oltre alla consueta pagina di phishing ospitavano anche un file APK. Una volta analizzato, questo è risultato essere una variante della famiglia di trojan bancari Coper, della quale ancora non si erano registrati tentativi di diffusione in Italia. 

La pagina di phishing che sfrutta i riferimenti dell'INPS. Fonte: https://cert-agid.gov.it

mercoledì 18 maggio 2022

Italia colpita da un'ondata di attacchi DDoS: il governo vara la Strategia nazionale di cyber sicurezza 2022-2026


Mentre i gruppi hacker KillNet e Legion hanno scatenato una vera e propria ondata di attacchi DDoS contro l'Italia, il Comitato interministeriale per la Cybersicurezza ha varato la  Strategia nazionale di cybersicurezza 2022-2026.

La Polizia di Stato è stata solo l'inizio...

almeno così minacciano dal proprio canale Telegram i gruppi hacker russi Legion e KillNet. Si, sono gli stessi che qualche giorno fa hanno lanciato una prima ondata di attacchi DDoS contro i siti web del Senato, del Ministero della Difesa, dell'Istituto superiore di sanità ecc...

Per saperne di più > Cyberwarfare: Italia sotto attacco DDoS da parte del gruppo Legion, la risposta russa all'Armata IT Ucraina

Da quella prima ondata di attacchi DDoS contro l'Italia ne sono susseguiti migliaia. Poche ore dopo un attacco DDoS colpisce l'Eurovision Song Festival Torino. La Polizia di Stato italiana dichiara di aver sventato gli attacchi, ma KillNet si smarca dall'accusa di aver attaccato Eurovision.

La situazione da quel momento inizia a peggiorare. Dopo aver fatto girare sulla community Telegram molti articoli della stampa italiana che attribuivano loro la paternità dell'attacco all'Eurovision, il gruppo dichiara guerra ai media italiani e spagnoli
 

lunedì 16 maggio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Maggio


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Maggio

La scorsa settimana il CERT-AGiD ha individuato e analizzato 57 campagne dannose: è quasi record (negativo, purtroppo) e sicuramente una netta "inversione a U" dato che nella 1° settimana di Maggio c'era stata addirittura una riduzione vistosa delle campagne contro l'Italia. Si registrava, in effetti, l'assenza di campagne di distribuzione di Emotet che invece è tornato in grande spolvero. Delle 57 campagne individuate, 54 sono state mirate contro gli utenti italiani e solo 3 sono state generiche. 

Le campagne malware analizzate sono state 16 e hanno distribuito 7 famiglie malware:

venerdì 13 maggio 2022

Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia


E' un nome ricorrente: rimbalza in ognuno dei report che, settimanalmente, il CERT-AgiD pubblica ricostruendo e dettagliando le campagne dannose attive di settimana in settimana nel cyber spazio italiano. Parliamo di FormBook, un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati. E anche un cosiddetto "form grabber" quei malware pensati per rubare le informazioni che gli utenti inseriscono in form di login, di contatto e di pagamento. 

E' un malware as a service, ovvero un servizio malware online tramite il quale utenti malintenzionati possono affittare il malware e distribuirlo, gestendolo tramite la dashboard del servizio: si, proprio come fosse un servizio professionale ad abbonamento. Gli autori non vendono il malware in se, ma il suo pannello tramite il quale viene generato il file eseguibile. 

giovedì 12 maggio 2022

Cyberwarfare: Italia sotto attacco DDoS da parte del gruppo Legion, la risposta russa all'Armata IT Ucraina


Nel tardo pomeriggio di ieri un attacco informatico su vasta scala ha colpito molti siti governativi italiani. Dietro agli attacchi DDoS i gruppi russi KillNet e Legion insieme ai gestori della botnet Mirai, dopo il reclutamento su canali Telegram di volontari. Una risposta all'armata di "hacker" ucraini lanciata dal governo ucraino e gestita dalla startup Hacken.

L'italia sotto attacco DDoS: giù per qualche ora il sito del Senato

Intorno alle 17.00 di ieri, Mercoledì 11 maggio, l'Italia è stata investita da una ondata di attacchi DDoS. Contemporaneamente finivano sotto attacco siti governativi tedeschi e polacchi. La prima vittima a fare notizia è il sito del Senato, che finisce in down per qualche ora

Fonte: Red Hot Cyber

Poco dopo si ha notizia di altre vittime: il Ministero della Difesa, l'istituto Superiore di Sanità, l'ACI, Kompass, IMT di Lucca ma anche il portale dell'Eurovision Song Contest di Torino ecc...  Va detto che i siti web sotto attacco sono tornati online dopo poche ore, escluso il sito dell'ACI. 


Siamo di fronte all'escalation, anche cyber, della guerra tra Russia e Ucraina che, come potevamo attenderci, si sta allargando oltre i confini dei due paesi.

L'attacco DDoS contro Italia, Polonia e Germania è stato rivendicato dal gruppo Legion, vicino alla Russia. 

I gruppi KillNet e Legion il reclutamento di cyber guerrieri online