venerdì 29 luglio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 settimana di Luglio


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Luglio

La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l'Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l'assenza di campagne di distribuzione di Emotet. 

  • Brata è stato diffuso con due campagne a tema Banking circolate via SMS. Il messaggio contiene un link che porta al download dell'APK dannoso;
  • Lokibot è stato in diffusione con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email vettore contengono allegati IMG, contenenti VBS e UUE;
  • Formbook è stato diffuso con due campagne, una generica e una mirata contro utenti italiani, a tema Contratti e Pagamenti. Gli allegati vettore sono in formato XZ e 7Z;
  • Guloader è stato diffuso con due campagne a tema Preventivo. Le email contengono allegati GZ. Su Guloader il CERT ha pubblicato uno specifico report, disponibile qui;

giovedì 28 luglio 2022

Nessun attacco ransomware all'Agenzia delle Entrate: l'attacco c'è stato, ma ha riguardato un'altra azienda


Da qualche giorno, tutti i media italiani e non solo riportano la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.

Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022. 

Per  saperne di più > Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?


Eppure qualcosa non tornava, fin dall'inizio

Tra i primi a visionare i file pubblicati dagli attaccanti a riprova dell'attacco ci sono gli esperti di Red Hot Cyber che, già nel pomeriggio di ieri, hanno messo le mani avanti e sollevato alcuni dubbi rispetto a quanto dichiarato dagli attaccanti.  I file pubblicati infatti non sembrerebbero appartenere all'Agenzia delle Entrate. Ad esempio tra i dati personali trapelati, ce ne sono alcuni di persone non italiane: su 4 documenti di identità pubblicati, 3 sono di cittadini stranieri. 

I sospetti che ci fosse qualcosa di strano dipendono anche dal fatto che, tra i sample pubblicati, c'è una cartella che si chiama "GESIS", che è per l'appunto un azienda che lavora per la Pubblica Amministrazione.


Finalmente la vicenda si chiarisce: è stato uno scambio di azienda

martedì 26 luglio 2022

Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?


Nella giornata di ieri, tutti i media italiani e non solo hanno riportato la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.



Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022. 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

L'analisi dei dati pubblicati dagli attaccanti solleva molti dubbi

lunedì 25 luglio 2022

Anatomia di SVCReady: il nuovo malware ancora in diffusione in Italia


SVCReady è un nuovo malware, che, come segnalato dal CERT è già in diffusione in Italia. Sfrutta documenti Word per infettare i sistemi bersaglio e ruba i dati bancari.

SVCReady: il debutto in Italia a Giugno

SVCReady è un nuovo malware che, fino a poco meno di un mese fa, era del tutto sconosciuto in Italia. Il ricercatore italiano di sicurezza JAMESWT il 13 Giugno pubblica l'analisi di quella che si presume essere la prima campagna di diffusione mirata, contro utenti italiani, di SVCReady. Le email, a tema "perdita di peso" e "invio curriculum", contenevano un file Word compromesso che, dopo l'abilitazione della macro, scaricava direttamente l'eseguibile del malware.

Fonte: https://twitter.com/jameswt_mht

Fonte: https://twitter.com/jameswt_mht

Il CERT aveva comunque dato notizia, relativamente a SVReady, già nell'Aprile 2022, quando era stato impiegato come downloader del malware Ursnif. 

Da metà Giugno ha continuato ad essere in diffusione con campagne mirate contro utenti italiani, anche se a cadenza irregolare. Nel report settimanale del CERT relativo alla scorsa settimana (16-22 Luglio) si legge che SVCReady è stato di nuovo in diffusione, con due campagne a tema Covid 19 e Delivery contenenti, anche in questo caso, file Word compromessi. 

Anatomia di SVCReady: le analisi dei ricercatori di sicurezza

Open Source Intelligence (OSINT): che cosa è, a chi serve, perchè il cyber crimine ne sta approfittando


CHE COSA
Partiamo dalle basi: con OSINT ci si riferisce, semplicemente, a tutte le informazioni che sono disponibili al pubblico. E una disciplina mirata alla ricerca e acquisizione di informazioni tramite le cosiddette fonti aperte ed è oggi strettamente legata all'attività investigativa. Se se ne volesse indicare una data di nascita, occorrerebbe risalire alla II Guerra Mondiale, quando si affermò come strumento di raccolta e analisi di informazioni da parte delle agenzie di sicurezza e intelligence di molte nazioni coinvolte nel conflitto.

Rimanendo confinati all'uso legale dell'OSINT, le informazioni devono essere pubblicamente disponibili: insomma, in linea teorica, sarebbero utilizzabili soltanto dati provenienti da fonti accessibili senza violare leggi sulla privacy, sul copyright e il codice penale. Oggi ne viene fatto largo uso da parte delle aziende, che possono raccogliere e analizzare informazioni sui concorrenti per elaborare strategie di business.

Sono fonti OSINT comuni:

  • ovviamente tutti i mass media tradizionali come radio, TV, giornali, libri ecc...
  • riviste specializzate contenenti pubblicazioni tecniche, accademiche, atti di convegni ecc...
  • foto e video, con tutto il loro carico di metadati;
  • informazioni geospaziali e di localizzazione di vario tipo;
  • tutto ciò che si trova nel web, accessibile via Internet: social network, blog, siti di streaming e condivisione video, indirizzi IP, risultati di motori di ricerca, i Whois dei nomi di dominio ecc...

CHI