venerdì 4 dicembre 2020

Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

E' piuttosto nuovo, è accreditato come il successore del temibile ransomware Maze (che ha annunciato il cessata attività poche settimane fa), ha già colpito bersagli di peso estremamente rilevante (il sistema metropolitano di Vancover, la catena di rivendita libri statunitense Barnes & Noble, la catena di grandi magazzini Kmart, la famosa casa produttrice di videogiochi Ubisoft ecc...) soprattutto negli Usa, ma si contano attacchi e violazioni anche in Europa. In Italia ha colpito duramente il Gruppo Carraro che,  paralizzato dall'attacco, ha addirittura dovuto mettere in cassa integrazione 700 dipendenti per il tempo necessario a mitigare gli effetti dell'attacco. 

Il nome deriva da "eggregora" che, nel mondo dell'occulto, indica quell'entità incorporea che si produce dall'unione delle energie di singole persone unite collettivamente nel perseguimento di uno scopo comune: si, descrive perfettamente un gruppo di operatori ransomware. E' attivo da pochissimo tempo, individuato la prima volta in diffusione a metà Settembre del 2020, e specializzato in attacchi mirati contro target aziendali. Non risultano, ad ora, infezioni o attacchi contro utenti non aziendali. 

Come tutti i ransomware di nuova generazione, è orientato al modello del doppio riscatto: nella foto sotto è possibile vedere il sito di leak che i suoi sviluppatori utilizzano per pubblicare i dati rubati di quelle aziende che rifiutano di pagare il riscatto o anche solo di avviare una trattativa.

giovedì 3 dicembre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27/11
La scorsa settimana il CERT-AgID ha individuato e analizzato 14 campagne dannose attive, di cui 2 veicolate anche in Italia mentre 12 erano apertamente rivolte verso obiettivi italiani. 243 sono stati gli indicatori di compromissione individuati,disponibili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono state 7, con Ursnif che, senza alcuna novità, occupa di nuovo il primo posto, seguito da QnodeService e sLoad che ritorna sulla scena dopo mesi di assenza

mercoledì 2 dicembre 2020

ATM e Postamat hackerati: truffatori rubano 800.000 Euro in Italia

Un'organizzazione di (cyber)criminali ha sottratto denaro da almeno 35 ATM bancari e Postamat usando una tecnica di attacco chiamata Black Box. La truffa è stata scoperta dai Carabinieri di Monza: sono 12 le persone identificate, 6 sono già state tradotte in arresto, 4 sono ancora all'estero mentre 2 non sono attualmente rintracciabili. 

Le indagini si sono svolte in più città (Monza e Brianza, Milano, Bologna, Modena, Vicenza, Mantova e Parma) a seguito di un decreto di fermo emesso dalla Procura della repubblica di Monza verso un indiziato: le accuse sono di associazione a delinquere finalizzata alla commissione di furti aggravati. 800.000 euro sarebbe l'ammontare complessivo dei soldi sottratti dagli ignari utenti degli sportelli bancomat italiani in appena 7 mesi. 

L'attacco Black Box, qualche dettaglio tecnico
L'attacco detto "Black Box" è tipologia di attacco piuttosto recente che, però, sta riscontrando già grande successo nel mondo criminale: l'idea di fondo è quella di hackerare un sistema ATM e forzarlo a erogare soldi col semplice invio di una serie di comandi tramite scheda Raspberry Pi, smartphone o laptop. Raspberry Pi / laptop / smartphone che, in questo attacco, sono usati all'unico scopo di inviare comandi da remoto all'ATM: una volta che gli attaccanti si sono accreditati come "amministratori di sistema", hanno la possibilità di continuare a controllare la macchina pur senza la presenza fisica. 

martedì 1 dicembre 2020

Dentro Ursnif, il trojan bancario più diffuso in Italia

Da qualche tempo abbiamo cercato di dare spazio e risalto ai report riguardanti le utilissime analisi che il CERT-AgID svolge ogni settimana sui malware e le campagne di phishing più diffuse contro gli utenti italiani e nello spazio italiano. Cambiano i malware in diffusione, le tecniche di attacco, i contenuti delle truffe ma da mesi ormai c'è una presenza fissa, quella di Ursnif, un malware che nel Giugno del 2020 è entrato per la prima volta nella top 10 delle minacce rilevate, ottenendo uno stabile 5° posto. In Italia invece è stato il malware più diffuso nel primo semestre del 2020, con un impatto sulle aziende del 14% (mentre a livello mondiale si ferma al 2%): per fare un esempio, solo tra il 28 e il 30 Luglio 2020 sono stati inviati oltre 40.000 messaggi fake compromessi con Ursnif ad aziende italiane di ogni tipo. La campagna successiva contro utenti italiani, durata solo 1 giorno e mezzo dal 4 al 6 Agosto 2020, ha generato un flusso di oltre 25.000 email. 

Insomma, abbiamo ritenuto utile un piccolo approfondimento, nella consapevolezza che questo malware non ha alcuna intenzione di andarsene e prenderà di mira aziende e professionisti ancora per molto tempo. 

URSNIF: che cosa fa

lunedì 30 novembre 2020

Masterchef e Grande Fratello hacked: il ransomware DoppelPaymer colpisce la Endemol

La multinazionale francese Banijay Grousp SAS è stata colpita da un attacco ransomware da parte del noto gruppo ransomware DopplePaymer: sicuro anche il data breach, dato che ci sono già riscontri del fatto che gli attaccanti hanno avuto accesso e rubato informazioni sensibili durante l'incidente. 

Banijay è divenuto uno dei più grandi, se no il più grande, gruppo internazionale per la produzione e distribuzione di contenuti audiovisivi dopo aver proceduto all'acquisto di Endemol Shine Group per oltre 2.2 miliardi di dollari nel Luglio 2020. L'elenco dei marchi acquisiti da Banijay è molto lungo, ma tra i più famosi troviamo MasterChef, Survivor, il Grande Fratello, Black Mirror, Mr.Bean, Extreme Makeover: Home Edition ecc...

L'attacco ha colpito solo la rete di Endemol
La nota ufficiale pubblicata dal gruppo rivela che i tecnici e gli esperti di cybersecurity di Banijay "stanno gestendo un cyber incidente che ha colpito le reti dei preesistenti Endemol Shine Group e Endemol Shine International". "Abbiamo ragione di credere che alcuni dati personali di dipendenti ed alcuni ex dipendenti possano essere stati compromessi, così come le informazioni commerciali riservate" prosegue la nota. 

L'incidente è già stato notificato alle autorità competenti nel Regno Unito e nei Paesi Bassi, dove sono fisicamente locati gli asset riguardati dall'incidente e alcuni consulenti esperti in cybersecurity di terze parti sono stati assunti per aiutare nelle indagini. 

"Stiano continuando a prendere tutte le precauzioni e le misure necessarie per proteggere i nostri dipendenti, quelli attuali e quelli passati: stiamo monitorando qualsiasi uso illegittimo o illegale dei dati rubati, così da poter contattare direttamente gli individui interessati", chiude la nota. 

Dietro l'attacco il ransomware DoppelPaymer