venerdì 20 dicembre 2019

Emotet attacca la Germania: Francoforte bloccata per un giorno intero


Stiamo parlando spesso del trojan bancario Emotet, una cyber minaccia in continua evoluzione diffusa da qualche mese anche in Italia, con vere e proprie campagne di malspam mirate contro enti pubblici e aziende italiane. 

Con l'avvicinarsi del nuovo anno gli attori responsabili di Emotet (che ricordiamo è un MaaS - Malware as a Service, affittabile online da chiunque paghi la quota di affiliazione) hanno provveduto ad alcune modifiche che, quasi sicuramente, vedremo operative nelle nuove versioni che saranno diffuse in questi giorni di festività: la principale è sulla modalità di diffusione, ma ne daremo conto nel caso in cui tali modifiche diverranno operative. 

Intanto è notizia di ieri di una serie di attacchi mirati contro numerosi enti pubblici tedeschi, che hanno messo in difficoltà tale gli amministratori da dover bloccare numerosi sistemi per mitigare i danni.

A subire i danni maggiori la municipalità di Francoforte, obbligata allo shut down di tutti i sistemi IT per impedire la propagazione del malware in ulteriori infrastrutture: così per 24 ore tutti i i siti web della municipalità relativi ai servizi online per i cittadini sono rimasti offline. Anche in questo caso, la gravissima infezione si è sviluppata a partire da un solo click, stando alle ricostruzioni della stampa locale: il solito click sbagliato su mail compromessa da parte di un dipendente della municipalità.

giovedì 19 dicembre 2019

Nuovi attacchi contro utenti italiani: in distribuzione Ursnif e Emotet


Il Cert-PA e la compagnia di cyber sicurezza Yoroi hanno diramato due diversi alert riguardanti campagne di diffusione malware via email rivolte contro utenti italiani. Una prima campagna diffonde il trojan Emotet tramite caselle di Posta Elettronica ordinaria. La seconda invece diffonde il trojan Ursnif tramite false comunicazioni di noti Corrieri quali GLS. Vediamole in dettaglio:

1. La campagna di diffusione di Emotet
la rilevazione è avvenuta ad opera del Cert-PA, che ha individuato una campagna di email di spam con riferimenti al Ministero dell'Economia e Finanze (MEF) e all'Ispettorato Generale di Finanza (IGF), un portale che ospita vari applicativi correlati alle funzioni di vigilanza. 

Il corpo email contiene un link che, all'apparenza, sembra condurre ad un documento istituzionale del MEF: in realtà reindirizza verso un dominio compromesso nel quale è in download un file .doc che ha funzioni di downloder del malware Emotet. Il tutto avviene tramite traffico SSL, così le parti di codice e i componenti dannosi del malware supereranno almeno i livelli basilari di sicurezza. 

mercoledì 18 dicembre 2019

Attacco ransomware obbliga la città di New Orleans al blocco di server e sistemi


La città di New Orleans sta lentamente tornando alla normalità, dopo aver subito un attacco ransomware di ampia portata che ha colpito le infrastrutture IT della municipalità costringendo allo shut down di computer, sistemi e server della città. 

Kim LaGrue, Chief Information Officer di New Orleans ha fatto sapere che le prime attività sospette sono state registrate già alle 5 del mattino di Venerdì scorso. Alle 8 del mattino, quando gli impiegati hanno effettuato l'accesso ai propri pc, si è verificato un vero e proprio picco di individuazioni di attività sospette ed è iniziata immediatamente una verifica dello stato di reti e sistemi. Intorno alle 11, 11.30 circa è stato confermato, anche a mezzo stampa, che la città era sotto attacco ransomware e che i partner statali e federali erano già stati allertati. E' stato diramato quindi l'ordine, a tutti i dipendenti, di spegnere e disconnettere i computer dal sistema pubblico del Municipio. Anche i server della città sono stati spenti. Sono rimasti attivi e funzionanti soltanto i servizi di emergenza come L'emergency Operation Center, il 911, il Dipartimento dei Vigili del Fuoco, il Dipartimento di Polizia ecc..

La nota di riscatto che non c'è

giovedì 12 dicembre 2019

Il ransomware Zeppelin attacca aziende sanitarie e IT in Europa e negli U.S.A


E' in diffusione in questi giorni una nuova variante della famiglia di ransomware Buran: la nuova versione, chiamata Zeppelin, è stata individuata nel corso di attacchi reali contro aziende statunitensi ed europee. Nessuna campagna massiva di email vettore per questo ransomware, che anzi, viene distribuito quasi esclusivamente tramite attacchi mirati. 

Buran è una famiglia di ransomware della quale abbiamo già parlato, che ha debuttato come ransomware as a service (RaaS) , pubblicizzato dal Maggio 2019 su molteplici forum di hacking in lingua russa. Il "business" funziona bene, gli affiliati sono già centinaia: il RaaS Buran infatti garantisce ben il 75% di guadagno dal pagamento del riscatto per gli affiliati, riservando invece per i propri operatori solo un 25%. Da Maggio sono state rilasciate almeno tre nuove varianti della famiglia, Vegalocker e Jamper, quindi la versione attualmente in distribuzione, Zeppelin appunto. 

Zeppelin in dettaglio

mercoledì 11 dicembre 2019

L'ultimo Update Patch di Microsoft risolve una grave vulnerablità 0-day in uso in attacchi reali


Con la più recente (e ultima per quest'anno) Patch Tuesday, Microsoft ha risolto una vulnerabilità 0-day che gli attaccanti stanno sfruttando attivamente via exploit: se l'exploit ha successo gli attaccanti ottengono il controllo da remoto delle macchine vulnerabili. Pare che tale vulnerabilità venga sfruttata in combinato con un'altra vulnerabilità 0-day, la CVE-2019-13720 di Google Chrome. 

La 0-day in oggetto è indicata con CVE-2019-1458 ed è una vulnerabilità che consente l'escalation di privilegi di amministrazione sul sistema. In dettaglio, Microsoft ha spiegato che “Un attaccante che abbia sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Potrebbe, quindi, installare programmi, visionare, modificare o cancellare dati, oppure creare nuovi account con pieni privilegi di utente”. 

martedì 10 dicembre 2019

Ben tre campagne malware in corso contro utenti italiani: ransomware e trojan all'attacco


Non c'è pace per l'Italia: già ieri abbiamo reso notizia di una, ennesima, campagna di distribuzione del ransomware FTCode tramite circuito PEC. Questa è ancora in corso, ma già si sono affiancate a questa attività dannosa addirittura altre due campagne, una per distribuire il malware Emotet e una per il trojan bancario Ursnif. 

1. Campagna di distribuzione Emotet
Emotet viene diffuso tramite email di spam: le email hanno vario argomento, ma sono tutte accomunate dal cercare di indurre un certo senso di urgenza nella potenziale vittima, così da renderla meno attenta e prudente. Le email contengono poco testo e un link che riconduce ad un file Word compromesso: questo infatti contiene una macro dannosa che, se abilitata, scarica ed esegue il malware Emotet. 

lunedì 9 dicembre 2019

Ancora ransomware FTCode: ennesima campagna di distribuzione via PEC contro utenti italiani


L'alert del Cert-PA è di stamattina, 9 Dicembre: è in corso, sempre solo contro utenti italiani, una  nuova campagna di distribuzione del ransomware FTCode. Le email sono veicolate tramite il circuito PEC e contengono un unico link allegato il cui testo è ripreso dall'oggetto di una precedente email. Nella foto sotto la finta fattura TIM contenuta nell'email

giovedì 5 dicembre 2019

Urnsif scatenato: seconda campagna contro utenti italiani e pubblica amministrazione


A neppure un giorno di distanza dal primo alert (ne abbiamo parlato qui) il Cert-PA lancia un secondo allarme relativo, anch'esso, a una massiva campagna di distribuzione del trojan infostealer Ursnif contro utenti italiani. Questa campagna, attualmente in corso e affiancata a quella già descritta ieri, non mira soltanto alla pubblica amministrazione, ma anche ad utenze private. La versione di Ursnif in distribuzione non si limita solo al furto di dati, ma installa anche una backdoor sul sistema infetto garantendo all'attaccante sia di accedere al sistema in qualsiasi momento (magari anche a distanza di mesi dall'infezione) sia di intercettare tutte le battiture sulla tastiera e le azioni dell'utente. 

Il Cert-Pa ha pubblicato una lista indicativa degli oggetti email di questa campagna: 
  • Sollecito pagamento
  • Sollecito di pagamento effetti
  • sollecito pagamento nostre fatture n. XXXX e XXXX  (con X = numero casuale)
  • FATTURE_(vendite)
  • pagamento provvigioni

Tutte le email allegano un file .xls recante nomi diversi, ma contenenti tutti la stessa macro dannosa.

mercoledì 4 dicembre 2019

Il trojan bancario e infostealer Ursnif diffuso via email ai comuni italiani


L'alert del Cert-PA è di ieri pomeriggio: è stata individuata una campagna di email di spam, anche tramite circuito PEC, che distribuisce ai comuni italiani il trojan bancario e per il furto di credenziali Ursnif. 

L'email vettore è piuttosto scarna: indirizzata ad una corposa lista di comuni italiani, invita al download di un archivio .ZIP e alla visualizzazione del contenuto tramite l'uso di una password allegata nel testo stesso. Una volta scaricato l'archivio ed estratto il contenuto, l'utente si trova a visualizzare un file .DOC contenente una macro dannosa, responsabile dell'avvio dell'infezione. L'infezione si avvia all'attivazione della macro. Durante la fase di compromissione, la macro scarica anche un file di tipo XML, ma rinominato in XLS: questo contiene codice Javascript da eseguire tramite l'utility WMI command-line (WMIC). 

martedì 3 dicembre 2019

StrandHogg: la devastante falla su Android già usata dai cyber criminali


E' stata individuata dai ricercatori di Promon, che hanno scritto un dettagliato report disponibile qui in inglese, una grave vulnerabilità che affligge tutte le versioni esistenti di Android. Rendiamo un breve estratto del report, data la gravità della falla scoperta (che consente di prendere totale controllo sul dispositivo Android senza necessità di eseguire il root) e dato il fatto che è già in uso da diversi gruppi di cyber criminali. 

Come funziona
Gli attaccanti stanno usando un exploit specifico che sfrutta questa falla di livello critico di Android: in dettaglio parliamo di una vulnerabilità nel sistema multitasking che può essere usata per consentire ad un'app dannosa di camuffarsi da qualsiasi altra app attiva sul dispositivo. L'exploit si basa sull'impostazione di controllo chiamata "taskAffinity" che consente a qualsiasi app (anche quelle dannose, evidentemente) si assumere liberamente qualsiasi identità nel sistema multitasking. 

Che cosa può accadere se l'exploit ha successo?

lunedì 2 dicembre 2019

Ancora Ransomware, ancora Stati Uniti: il ransomware Maze mette ko un altro grande ospedale


L'attacco è stato individuato la sera di Lunedì e il team IT del Great Plains Healt in Nebraska ha lavorato tutte la notte per mitigare i danni: eppure oggi, Lunedì 2 Dicembre, la struttura sta ancora subendo le conseguenze dell'attacco e il personale ha dovuto rispolverare carta e penna per mantenere l'attività. Già Martedì l'ospedale si è ritrovato costretto a cancellare le prenotazioni di centinaia di pazienti non urgenti, appuntamenti vari e prestazioni ambulatoriali: sono stati invece  confermati ed eseguiti sia gli interventi chirurgici già fissati che gli esami radio diagnostici.