Conoscere il passato, prepararsi al futuro: riepilogo delle campagne di attacco nell'ultimo quadrimestre in Italia (e non solo)

C'è aria di Capodanno e, nonostante tutte le difficoltà di questo 2020, la lista dei buoni propositi sarà già nel cassetto. La nostra grande speranza è che in questa lista la cybersecurity occupi un posto di rilievo, perché sarebbe probabilmente imperdonabile non cogliere i segnali che questo anno ci ha mandato e lasciare tutto così, come nulla fosse, affrontando un 2021 che si preannuncia un vero e proprio campo di (cyber) battaglia. Le notizie di hacking, data breach e data leak si susseguono a velocità impressionante e quindi, per chiudere l'anno, pensiamo sia utile una panoramica di quel che è recentemente successo nel mondo e, più in dettaglio, negli ultimi 4 mesi in Italia. 

Nessuna volontà allarmistica, nessuna intenzione di peggiorare la realtà per instillare ansia e paura: al contrario la consapevolezza della realtà, la conoscenza del recente passato sono quegli strumenti necessari ad organizzare il futuro e non fare come, purtroppo, succede spesso ovvero affrontare i disastri quando ormai è già tardi. Sapendo che quella contro il cybercrime è una lotta complessa, ma non una battaglia impossibile e non è più neppure rimandabile: la digitalizzazione è irrimandabile ed è compito di tutti (aziende e home user) creare un cyberspazio più sicuro possibile.

La panoramica si divide in due, una prima breve lista degli attacchi più recenti (e più importanti) avvenuti nelle ultime settimane e un breve riassunto del report che il nostro Cert-AgID ha pubblicato riepilogando le campagne che hanno interessato l'Italia nell'ultimo quadrimestre. 

La "Top hacking" di Dicembre
Evitando di ripercorrere la vicenda del gravissimo attacco di cyberspionaggio che ha riguardato Solarwind (che merita una narrazione a parte, ne abbiamo accennato qui e qui ), gli ultimi giorni sono stati un vero e proprio stillicidio. 

- Il ransomware Nefilim "buca" la Whirpool
Whirpoool, proprietaria anche di KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit ha subito un attacco ransomware da parte del gruppo di cybercriminali dietro a Nefilim. La riuscita dell'attacco è già stata confermata dalla pubblicazione, nel relativo sito di leak, di una parte dei dati rubati tra i quali documenti relativi ai benefit degli impiegati, informazioni mediche, protocolli interni ecc...

Emotet is back: massiccia campagna mondiale di malspam ruba contatti email, credenziali e diffonde il trojan Trickbot

La quantità di truffe, cyber attacchi (di phsihing, ransomware, DDoS ecc..)  e data breach registrati durante questo periodo natalizio è stata altissima: è praticamente impossibile elencarli tutti, ma tra questi una specifica campagna di malspam merita attenzione sia per l'estesione (a livello globale) della sua diffusione sia per i suoi "protagonisti" ovvero la botnet Emotet e il trojan Trickbot. 

Dopo due mesi di silenzio completo infatti, durante i quali i ricercatori non hanno individuato alcuna attività proveniente dalla botnet, Emotet è tornata a farsi vivo proprio la sera della Vigilia di Natale con un payload aggiornato. Alla prima analisi è risultato che 

"le modifiche apportate al payload dannoso distribuito via email sono finalizzate ad aiutare Emotet ad evadere l'individuazione non solo da parte delle vittime, ma anche delle difese di rete. A parte questi aggiornamenti, il targeting, le tattiche e i payload secondari sono rimasti invariati rispetto ai precedenti periodi di attività (di Emotet)". Questo è quanto si legge nel report dei ricercatori di Cofense, che hanno pubblicato una dettagliata analisi di questa campagna, disponibile qui.

Questo improvviso ritorno in attività della botnet non ha, in realtà, sorpreso i ricercatori poiché la botnet Emotet è si la più prolifica infrastruttura nell'invio di email dannose quando è attiva, ma ha anche sempre mostrato lunghi e regolari periodi durante i quali rimane completamente dormiente. In questo 2020, ad esempio, uno dei periodi di inattività è durato da Febbraio a metà Luglio: una delle pause più lunghe mai osservate riguardo alla botnet Emotet. Da Luglio ad Ottobre 2020 la botnet è tornata in attività, poi di nuovo in dormienza fino, appunto alla Vigilia di Natale. 

Nell'immagine sotto è visibile una delle (tante) email di spam collegate alle campagne di questi giorni:

Cyber Warefare: attacco a SolarWinds, spunta una seconda backdoor (Supernova) appartenente ad attori diversi dalla prima

Nel corso delle indagini sull'attacco alla supply-chain di SolarWinds Orion , i ricercatori di sicurezza hanno scoperto, incredibilmente, una seconda backdoor che, quasi sicuramente, appartiene ad un secondo attore, diverso dal primo gruppo di attaccanti. 

Per approfondire >> Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain.

Ribattezzato Supernova, il malware altro non è che una webshell inserita nel codice della piattaforma di monitoraggio delle reti e delle applicazioni Orion e consente ad una terza parte non autorizzata la possibilità di eseguire code arbitrario sulle macchine, avviando la versione trojanizzata del software. 

La webshell è una variante trojanizzata della libreria legittima .NET (app_web_logoimagehandler.ashx.b6031896.dll) presente nel software Orion, che è stata modificata in maniera tale da riuscire ad evadere i meccanismi automatici di difesa delle reti attaccate. Non solo, stando al report tecnico pubblicato da Palo Alto Network la scorsa settimana, il malware potrebbe sfuggire anche a tentativi di analisi manuale, poiché il codice implementato nella DLL legittimo è innocuo e "relativamente di alta qualità". 

"La peculiarità di Supernova è, drammaticamente, quella di prendere un valido programma .NET come parametro. Classe, metodo, argomenti e dati nel .NET sono compilati ed eseguiti in memoria. Non vengono scritti sul disco ulteriori artefatti forensi, a parte stage webshell low-level e non c'è neppure bisogno di ilteriori richieste alla rete a parte la richiesta C2 iniziale. In parole semplici, gli attaccanti hanno costruito una API .NET praticamente invisibile, integrata direttamente in un binario Orion il cui utente è, in genere, altamente privilegiato e posizionato con un altro grado di visibilità entro la rete aziendale" si legge nel report di Palo Alto Network. In questa maniera gli attaccanti possono inviare codice arbitrario ai dispositivi infatti ed eseguirli nel contesto dell'utente. 

Google: ecco le spiegazioni ufficiali del down mondiale di Youtube, Gmail e tutti gli alti servizi

Google ha finalmente dichiarato, in maniera ufficiale, le motivazioni dietro al down mondiale subito dal loro sistema di autenticazione: down che ha riguardato praticamente tutti gli utenti di questi servizi lo scorso Lunedì. La causa è da  rintracciarsi in un problema interno con la quota storage che ha determinato un interruzione di 45 minuti al sistema di autenticazione. In parole semplici, il fallimento del sistema di autenticazione ha impedito agli utenti di poter fare login nei propri account e accedere ai servizi in Cloud. 

Il risultato, come sappiamo, è stato l'impossibilità di accedere per qualche ora a Gmail, Youtube, Google Drive, Google Maps, Google Calendar e moltissimi altri servizi Google. In dettaglio, gli utenti non potevano inviare email tramite l'app mobile di Gmail o ricevere email via POP3 per il client desktop, mentre gli utenti di Youtube hanno visualizzato un errore "There was a problem with the server (503) - Tap to retry."

L'impatto del down e le cause

Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain.

E' di qualche giorno fa la notizia dell'individuazione di una massiccia campagna di cyberspionaggio contro numerose agenzie governative e organizzazioni pubbliche e private statunitensi in tutto il mondo. L'attacco è condotto distribuendo un malware tramite la supply chain degli aggiornamenti della suite Orion di SolarWinds. L'attacco ha permesso la sottrazione di molteplici informazioni riservate, sia tra agenzie federali che comunicazioni interne ai dipendenti. 

Il problema è così grave da aver portato il Department of Homeland Security’s – Cybersecurity & Infrastructure Security Agency (DHS-CISA) a emettere una direttiva di emergenza, che ordina a tutte le agenzie di “scollegare o spegnere immediatamente i prodotti SolarWinds Orion (versioni dalla 2019.4 alla 2020.2.1 HF1),  dalla loro rete". Ma non tutti stanno seguendo il consiglio: è di ieri la notizia che, tra le vittime di questa campagna, risultano le reti della National Nuclear Security Administration (NNSA) e dell'US Department of Energy (DOE).  Anche organizzazioni di peso come l'FBI, la CISA, l'US Department of Homeland Security hanno confermato ufficialmente il breach. 

“L’incidente potrebbe avere conseguenze devastanti” ha dichiarato Pierluigi Paganini senior researcher presso il Cyber Security and International Relations Studies (CCSIRS) – Università degli Studi di Firenze. "Si tratta di un attacco estremamente complesso alla supply chain dell’azienda SolarWinds, che fornisce le sue soluzioni a centinaia di migliaia di clienti, tra cui le agenzie di intelligence ed aziende di medie e grandi dimensioni. Il patrimonio informativo esfiltrato attraverso questa metodica di attacco è potenzialmente illimitato ed impatta ogni settore”. 

“Gli attacchi alle supply chain sono complessi da realizzare, ma ancora di più da individuare, in quanto il fornitore legittimo dei software è compromesso. L’unico modo di individuare attacchi alla supply chain dei fornitori di software consiste nel verificare puntualmente ogni componente del codice fornito, ivi compresi i continui aggiornamenti rilasciati." ha proseguito.

Cosa è successo: il breach SolarWinds

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 11/12
La scorsa settimana il CERT-AgID ha individuato e proceduto ad analisi di 25 campagne dannose attive nello scenario italiano: 20 di queste prevedevano esplicitamente obiettivi italiani, 5 invece sono state campagne generiche veicolate anche in Italia. Gli indicatori di compromissione (IoC) pubblicati sono 489,consultabili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono soltanto 4 e, almeno questa settimana, non figurano novità:

Google down: interruzioni e disservizi per Gmail, Youtube e tutti gli altri servizi di Big G.

Gli utenti Google stanno riscontrando problemi in tutto il mondo: centinaia di migliaia di persone non riescono ad accedere a Gmail, YouTube, Google Drive, Google Maps, Google Calendar e altri servizi Google. Anche centinaia di scuole nel mondo che utilizzano i servizi Google per la Didattica a Distanza (DaD) hanno dovuto sospendere le attività.

Al momento di accedere a YouTube, gli utenti visualizzano una schermata di caricamento e un messaggio di errore "There was a problem with the server (503) - Tap to retry".

Messaggi di errore simili vengono visualizzati anche per i tentativi di accesso a Gmail da Android e iOS. Interessati dalla problematica anche l'accesso POP3 a Gmail e al sito web di Gmail.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 04/12
Nel corso della scorsa settimana il CERT-AGiD ha individuato e analizzato 25 diverse campagne dannose, rivolte contro utenti italiani e veicolate nello spazio italiano: 3 erano generiche campagne, veicolate anche in Italia, 22 invece hanno mirato precisamente obiettivi italiani. Ne sono risultati 386 indicatori di compromissione, disponibili sul sito ufficiale del CERT. 

Sei le famiglie di malware individuate in diffusione, poche novità e tante conferme:

Si scatena lo shopping online...e i truffatori: campagna malware per rubare le carte di credito prende di mira gli e-commerce che usano Magento

Si sono mossi per tempo, iniziando a bersagliare e infiltrare store online basati su Magento fino dall'Aprile 2020: parliamo del gruppo di cyber truffatori famosi per il loro attacco Magecart. E' così che sono riusciti a compromettere un altissimo numero di store online in tempo per quella stagione matta degli acquisti che inizia col Black Friday e si conclude con le festività natalizie. Scopo dell'attacco? Rubare le carte di credito di quelle migliaia e migliaia di persone che, anche spinte dal contesto pandemico, decideranno di acquistare regali online. 

Magecart in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantoché la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero "il carrello dei maghi". 

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot, la Warner Music Group (WMG) ecc...) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell'attacco, tecnicamente definito come "web skimming": il Javascript resta attivo sull'e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poiché le violazioni MageCart sono molto difficili da individuare

La campagna di attacco: qualche dettaglio in più

Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

E' piuttosto nuovo, è accreditato come il successore del temibile ransomware Maze (che ha annunciato il cessata attività poche settimane fa), ha già colpito bersagli di peso estremamente rilevante (il sistema metropolitano di Vancover, la catena di rivendita libri statunitense Barnes & Noble, la catena di grandi magazzini Kmart, la famosa casa produttrice di videogiochi Ubisoft ecc...) soprattutto negli Usa, ma si contano attacchi e violazioni anche in Europa. In Italia ha colpito duramente il Gruppo Carraro che,  paralizzato dall'attacco, ha addirittura dovuto mettere in cassa integrazione 700 dipendenti per il tempo necessario a mitigare gli effetti dell'attacco. 

Il nome deriva da "eggregora" che, nel mondo dell'occulto, indica quell'entità incorporea che si produce dall'unione delle energie di singole persone unite collettivamente nel perseguimento di uno scopo comune: si, descrive perfettamente un gruppo di operatori ransomware. E' attivo da pochissimo tempo, individuato la prima volta in diffusione a metà Settembre del 2020, e specializzato in attacchi mirati contro target aziendali. Non risultano, ad ora, infezioni o attacchi contro utenti non aziendali. 

Come tutti i ransomware di nuova generazione, è orientato al modello del doppio riscatto: nella foto sotto è possibile vedere il sito di leak che i suoi sviluppatori utilizzano per pubblicare i dati rubati di quelle aziende che rifiutano di pagare il riscatto o anche solo di avviare una trattativa.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27/11
La scorsa settimana il CERT-AgID ha individuato e analizzato 14 campagne dannose attive, di cui 2 veicolate anche in Italia mentre 12 erano apertamente rivolte verso obiettivi italiani. 243 sono stati gli indicatori di compromissione individuati,disponibili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono state 7, con Ursnif che, senza alcuna novità, occupa di nuovo il primo posto, seguito da QnodeService e sLoad che ritorna sulla scena dopo mesi di assenza

ATM e Postamat hackerati: truffatori rubano 800.000 Euro in Italia

Un'organizzazione di (cyber)criminali ha sottratto denaro da almeno 35 ATM bancari e Postamat usando una tecnica di attacco chiamata Black Box. La truffa è stata scoperta dai Carabinieri di Monza: sono 12 le persone identificate, 6 sono già state tradotte in arresto, 4 sono ancora all'estero mentre 2 non sono attualmente rintracciabili. 

Le indagini si sono svolte in più città (Monza e Brianza, Milano, Bologna, Modena, Vicenza, Mantova e Parma) a seguito di un decreto di fermo emesso dalla Procura della repubblica di Monza verso un indiziato: le accuse sono di associazione a delinquere finalizzata alla commissione di furti aggravati. 800.000 euro sarebbe l'ammontare complessivo dei soldi sottratti dagli ignari utenti degli sportelli bancomat italiani in appena 7 mesi. 

L'attacco Black Box, qualche dettaglio tecnico
L'attacco detto "Black Box" è tipologia di attacco piuttosto recente che, però, sta riscontrando già grande successo nel mondo criminale: l'idea di fondo è quella di hackerare un sistema ATM e forzarlo a erogare soldi col semplice invio di una serie di comandi tramite scheda Raspberry Pi, smartphone o laptop. Raspberry Pi / laptop / smartphone che, in questo attacco, sono usati all'unico scopo di inviare comandi da remoto all'ATM: una volta che gli attaccanti si sono accreditati come "amministratori di sistema", hanno la possibilità di continuare a controllare la macchina pur senza la presenza fisica. 

Dentro Ursnif, il trojan bancario più diffuso in Italia

Da qualche tempo abbiamo cercato di dare spazio e risalto ai report riguardanti le utilissime analisi che il CERT-AgID svolge ogni settimana sui malware e le campagne di phishing più diffuse contro gli utenti italiani e nello spazio italiano. Cambiano i malware in diffusione, le tecniche di attacco, i contenuti delle truffe ma da mesi ormai c'è una presenza fissa, quella di Ursnif, un malware che nel Giugno del 2020 è entrato per la prima volta nella top 10 delle minacce rilevate, ottenendo uno stabile 5° posto. In Italia invece è stato il malware più diffuso nel primo semestre del 2020, con un impatto sulle aziende del 14% (mentre a livello mondiale si ferma al 2%): per fare un esempio, solo tra il 28 e il 30 Luglio 2020 sono stati inviati oltre 40.000 messaggi fake compromessi con Ursnif ad aziende italiane di ogni tipo. La campagna successiva contro utenti italiani, durata solo 1 giorno e mezzo dal 4 al 6 Agosto 2020, ha generato un flusso di oltre 25.000 email. 

Insomma, abbiamo ritenuto utile un piccolo approfondimento, nella consapevolezza che questo malware non ha alcuna intenzione di andarsene e prenderà di mira aziende e professionisti ancora per molto tempo. 

URSNIF: che cosa fa

Masterchef e Grande Fratello hacked: il ransomware DoppelPaymer colpisce la Endemol

La multinazionale francese Banijay Grousp SAS è stata colpita da un attacco ransomware da parte del noto gruppo ransomware DopplePaymer: sicuro anche il data breach, dato che ci sono già riscontri del fatto che gli attaccanti hanno avuto accesso e rubato informazioni sensibili durante l'incidente. 

Banijay è divenuto uno dei più grandi, se no il più grande, gruppo internazionale per la produzione e distribuzione di contenuti audiovisivi dopo aver proceduto all'acquisto di Endemol Shine Group per oltre 2.2 miliardi di dollari nel Luglio 2020. L'elenco dei marchi acquisiti da Banijay è molto lungo, ma tra i più famosi troviamo MasterChef, Survivor, il Grande Fratello, Black Mirror, Mr.Bean, Extreme Makeover: Home Edition ecc...

L'attacco ha colpito solo la rete di Endemol
La nota ufficiale pubblicata dal gruppo rivela che i tecnici e gli esperti di cybersecurity di Banijay "stanno gestendo un cyber incidente che ha colpito le reti dei preesistenti Endemol Shine Group e Endemol Shine International". "Abbiamo ragione di credere che alcuni dati personali di dipendenti ed alcuni ex dipendenti possano essere stati compromessi, così come le informazioni commerciali riservate" prosegue la nota. 

L'incidente è già stato notificato alle autorità competenti nel Regno Unito e nei Paesi Bassi, dove sono fisicamente locati gli asset riguardati dall'incidente e alcuni consulenti esperti in cybersecurity di terze parti sono stati assunti per aiutare nelle indagini. 

"Stiano continuando a prendere tutte le precauzioni e le misure necessarie per proteggere i nostri dipendenti, quelli attuali e quelli passati: stiamo monitorando qualsiasi uso illegittimo o illegale dei dati rubati, così da poter contattare direttamente gli individui interessati", chiude la nota. 

Dietro l'attacco il ransomware DoppelPaymer

Le VPN sono sicurissime! Ma ne siamo proprio sicuri? Il caso FortinetVPN e l'annoso problema delle patch

La notizia rimbalza da un paio di giorni su tutte le community di cybersecurity e di cyber attivisti: uno sconosciuto attaccante ha diffuso le credenziali di quasi 50.000 VPN Fortinet vulnerabili. Per capire la gravità del fatto è sufficiente dire che nell'elenco degli obiettivi vulnerabili sono presenti domini appartenenti a banche, aziende e perfino enti governativi nel mondo. 1370 sono le credenziali esposte afferenti ad utenti italiani.

I file pubblicati espongono username, password e IP non nascosti
La vicenda inizia lo scorso fine settimana, quando un attaccante non identificato ha pubblicato un lungo elenco di one-line exploit per la vulnerabilità CVE-2018-13379: exploit che rendono possibile sfruttare la falla per rubare le credenziali VPN da svariate tipologie di dispositivi. 

L'exploit della falla FortiOS di livello critico CVE-2018-13379 consente ad un attaccante di avere accesso ai file "sslvpn_websession", che contengono informazioni sensibili provenienti dalla VPN Fortinet. Questi file contengono informazioni relative alla sessione i corso ma, più importante, possono rivelare in chiaro nome utente e password degli utenti della VPN di Fortinet. 

Qualche giorno dopo viene individuato, sullo stesso forum di hacking, un data dump contenente i file "sslvpn_websession" per ognuno degli indirizzi IP presenti sulla lista: qui si trovano username, password, livello di accesso e l'IP originale non mascherato dell'utente connesso alla VPN.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 20/11
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 36 campagne dannose contro utenti italiani: 6 sono state veicolate anche in Italia, 30 avevano come target l'Italia. Sono stati ben 525 gli indicatori di compromissione pubblicati, consultabili sul sito ufficiale del CERT-AgID. 

Le famiglie di malware in diffusione sono state 9, nello specifico:

TrickBot risorge dalle ceneri e torna attivo con una nuova versione: è capace di eludere l'individuazione delle soluzioni di sicurezza

100. La nuova versione di TrickBot individuata in diffusione qualche giorno fa segna un "bel" traguardo per la cybergang dietro questo malware: è la 100° versione, rivista e migliorata soprattutto per quanto riguarda le funzionalità di evasione delle individuazioni. 

TrickBot in breve
TrickBot è un malware che viene comunemente diffuso tramite email di phishing o altri malware. Una volta installato, si esegue in background sul computer della vittima e inizia, silenziosamente, a scaricare alcuni moduli per eseguire differenti compiti: è quello che viene definito, in gergo tecnico, un malware modulare, dove ogni modulo è responsabile dell'esecuzione di una specifica funzione dannosa. Tra le attività eseguite da questi modulo ne troviamo alcune per il furto delle credenziali delle Active Directory, per la diffusione laterale nella rete, per lo screenlocking, per il furto dei cookie e delle credenziali salvate nelle password, per rubare le chiavi OpenSSH. 

Scopo principale è comunque quello di raccogliere i dati sulle macchine infette e continuare a diffondersi il più possibile nella stessa rete, per poi rivendere l'accesso ottenuto ad altri cybercriminali per la distribuzione dei ransomware Ryuk e Conti. 

Le (pessime) novità

Spotify: 300.000 account hackerati con un attacco di credential stuffing

E' già capitato molte volte, nel corso degli ultimi anni: utenti Spotify riscontrano difficoltà di accesso ai propri account, password cambiate, comparsa e scomparsa di playlist, aggiunta di utenti da altri paesi negli account. 

La nuova ondata di segnalazioni (ma non è stata affatto l'ultima) di questo tipo c'è stata questa estate, quando molteplici utenti hanno iniziato a segnare stranezze, malfunzionamenti, impossibilità di accedere ai propri account. C'è una (unica) causa scatenante? 

Forse si: un nuovo report ha rivelato che i cybercriminali stanno attivamente utilizzando un database contenente oltre 380 milioni di record, comprese credenziali di login, per accedere  agli account. Database che i ricercatori hanno individuato e acceduto poiché totalmente esposto e contenente informazioni non criptate. 

L'attacco di "credential stuffing"
Uno degli attacchi comunemente utilizzati contro gli account è detto di "credential stuffing" e, stranamente, non prevede alcun particolare accorgimento: con un attacco di credential stuffing, semplicemente, un attaccante fa uso di grandi combinazioni di credenziali (utenti e password) già trapelate in precedenti violazioni di sicurezza. Molto spesso questa tecnica funziona perché i legittimi proprietari non sono a conoscenza della violazione del proprio account, ne tantomeno che i propri dati siano in vendita nel dark web in database contenenti i dati di altri migliaia di utenti. Insomma, l'unica fatica degli attaccanti in questo caso, è quella di entrare in possesso di questi database e accedere agli account online. 

Il report del quale abbiamo accennato qualche riga fa è stato pubblicato qualche giorno fa da VPNMentor e dettaglia il ritrovamento di un database esposto online contenente oltre 380 milioni di username e password usate attivamente in attacchi di credential stuffing contro Spotify. 

Nuovo malware per Android sfrutta il nome di Immuni: dalle indagini emerge un dominio pieno di app fake

Questa storia inizia così, con le segnalazioni di alcuni utenti rimasti vittime di un attacco malware mentre tentavano di scaricare Immuni, l'app per il contact tracing scelta dal Governo italiano. 

Così gli esperti del Cert-AgID in collaborazione con D3Lab hanno avviato le indagini per poter studiare il malware, le modalità di diffusione e  risolvere il problema annullando i rischi: inutile infatti dire quanto possa essere estremamente problematica ogni singola app fake Immuni, ovunque essa sia messa in download, dato non solo l'importanza dell'app stessa ma anche della campagna comunicativa continua per incentivare i download.

Nel corso delle indagini è stato individuato un sito fake che riproduce il repository del Google Store: il sito è ben fatto e rende piuttosto difficile, per utenti poco avvezzi, rendersi conto di stare navigando su una pagina falsa. Nell'immagine sotto è visibile la pagina di download della versione fake di Immuni. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 13/11
La scorsa settimana il CERT-AgID ha individuato e analizzato oltre 32 campagne dannose contro utenti italiani. Ben 485 gli indicatori di compromissione pubblicati, disponibili sul sito del CERT-AgID. Sono state analizzate 8 diverse famiglie malware attive nello spazio italiano:

• immancabile Ursnif, in diffusione con ben 5 diverse campagne dannose. Tra gli allegati utilizzati troviamo il formato archivio .zip e l'estensione Excel .xls. I temi delle campagne sono stati vari, tra i quali INPS, Mise (a tema Covid), Enel e Delivery, ma gli IoC non sono cambiati;

API e sicurezza: quali sono le vulnerabilità più comuni?

Una API, Application Programming Interface, fornisce a sviluppatori e proprietari di siti web codice sorgente da applicazioni già esistenti: molto semplicemente li aiuta a velocizzare il proprio lavoro, poiché consente di riutilizzare lo stesso codice per esigenze specifiche, integrandolo nelle funzioni aziendali e nei siti web esistenti per migliorare l'esperienza dell'utente, anziché doverlo scrivere da zero. 

Essendo strumenti ormai essenziali per ogni business online sono divenuti, come ogni cosa essenziale, un bersaglio privilegiato per i cyber attaccanti. Disporre del codice necessario per attaccare e violare una API è molto profittevole per un cyber attaccante, perché molto probabilmente potrà eseguire lo stesso attacco in tutti i siti o applicativi che utilizzano quella data API. Ma quali sono le più comuni vulnerabilità presenti nelle API e le modalità con cui solitamente sono attaccate? Quali rischi corrono gli utenti che utilizzano siti web o web app contenenti API?

Code Injection
Questo è uno dei sistemi di attacco contro le API più usato in assoluto, per "requisire" una API e fargli fare ciò che si vuole.  Tra i "code injection" più comuni troviamo SQl, XML, RegEX: pezzi di codice sono iniettati nell'API al fine di far eseguire operazioni dannose come  la condivisione dei dati sensibili degli utenti, credenziali e password, ma anche per installare malware e spyware sui dispositivi. Solitamente, la presenza della funzione base64_decode all'inizio di uno script è un comune segnale di script injection. 

Gli IoT compromettono la cybersecurity: l'UE costretta a correre ai ripari emanando specifiche raccomandazioni

Abbiamo parlato spesso di un'evidenza tenuta in scarsa attenzione sia da utenti che, purtroppo, dai vendor: parliamo del fatto che, al diffondersi sempre più massivo di dispositivi IoT, non è seguito di pari passo un trend di messa in sicurezza degli stessi e non si è visto neppure un aumento generale di consapevolezza, in termini di rischi, dei milioni di utenti che ne fanno uso. 

L'avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti, ad esempio, del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, ma gli attaccanti hanno semplicemente puntato ad aumentare il numero di quelli infetti. Recentemente abbiamo riproposto il problema, parlando di botnet: lo scorso mese infatti abbiamo parlato della famigerata botnet Mirai, responsabile di migliaia attacchi DDoS e massive campagne di spam. La botnet Mirai, vive esiste e si nutre di bot che altro non sono che centinaia di migliaia di dispositivi IoT vulnerabili o protetti con credenziali deboli. 

Insomma, i dispositivi IoT sono diventati l'anello debole della catena della cyber security e ciò è ormai talmente manifesto da aver spinto l'ENISA (European Union Agency for Cybersecurity) ad emanare specifiche linee guida in materia di sicurezza dei dispositivi IoT, allo scopo di sensibilizzare sul problema e fornire utili spunti per minimizzare i rischi.

Il ransomware LockBit colpisce duramente in Italia: cosa è importante sapere?

Da qualche giorno ci stanno contattando molte aziende italiane per richiederci assistenza  in seguito ad attacchi del ransomware LockBit. Data la situazione e nell'evidenza che il team di cybercriminali che gestisce LockBit ha deciso si colpire in Italia, riteniamo utile fornire alcune informazioni tecniche su questo ransomware. 

LockBit è stato individuato in diffusione per la prima volta nel Settembre 2019, ma con un nome differente ovvero "ABCD Ransomware". Ha continuato poi ad essere sviluppato ed affinato divenendo una minaccia malware complessa: le versioni recenti sono passate dall'uso dell'estensione di criptazione .abcd all'estensione di criptazione .lockbit, alla quale si deve il nome attuale del malware. Come tutti i ransomware, il suo unico scopo è quello di criptare i dati presenti in una rete, impedendone così l'accesso ai legittimi proprietari per poter così richiedere in cambio una somma di denaro in riscatto. Al contrario di altri ransomware però, ha sempre preferito colpire aziende ed enti governativi piuttosto che utenti finali. 

Come si diffonde
E' piuttosto complesso analizzare il comportamento di LockBit poiché lascia veramente poche tracce utili per eseguire analisi di tipo forense. Si sa che è imparentato per parti di codice e funzionamento con i ransomware LockerGoga e MegaCortex, è che è un RaaS (ransomware as a service), ovvero uno strumento di attacco che chiunque può affittare nel dark web, condividendone i proventi con i gestori e gli affiliati alla rete (per approfondire vedi qui). Si diffonde in tre diverse modalità:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 06/11
Nel corso della settimana il CERT-AgID ha individuato 25 campagne dannose attive contro utenti italiani. Sono stati 223 gli indicatori di compromissione (IoC) messi a disposizione. 

Sei le famiglie di malware individuate in distribuzione:

• Dridex è il malware più individuato. E' stato diffuso con due diverse campagne in lingua inglese a tema "Pagamenti". Le email contengono un allegato in formato .xlsm contenente la classica macro dannosa;
• AgenTesla è stato diffuso con due diverse campagne, delle quali una scritta in lingua italiana. La campagna in lingua italiana reca con se in allegato due file .exe, mentre quella inglese reca un file .lha compromesso contenente un file eseguibile .exe;
• Lokibot, Qrat e Remcos sono le altre famiglie malware individuate in diffusione nel corso di campagne a tema "Pagamenti" e "Informazioni": hanno destato poca preoccupazione, poichè le campagne di diffusione sono state sporadiche. I file usati come allegati erano nei formati .ace, .zip e .ico.

I ransomware sbarcano su Linux: ecco RansomExx

Come ripetiamo spesso, i cyber criminali non riposano mai ed escogitano sempre nuovi metodi di attacco per poter ampliare le cosiddette "superfici di attacco", i bersagli potenziali. Quindi era solo questione di tempo, ma i ransomware sarebbero sicuramente sbarcati su Linux: ed ora è successo. D'altronde, agli attaccanti non è servito altro che prendere consapevolezza di quello che, nel mondo aziendale, è una normalità ovvero l'uso di un ambiente server misto Linux e Windows. Insomma, è ormai da tempo che sono aumentati gli sforzi  del cybercrime per creare malware adatti alle versioni Linux, così da garantire la criptazione dei dati indipendentemente dall'ambiente in cui sono ospitati. 

RansomExx non è un nuovo ransomware: è già balzato agli onori delle cronache per attacchi di un certo peso, quello contro la rete governativa del Brasile, ma anche contro il Dipartimento dei Trasporti del Texas, contro Konica Minolta, IPG Photonics e altri... Quel che è stato individuato recentemente in diffusione, è che poi costituisce novità, è una nuova versione, chiamata anche Defray777, che ha le capacità di colpire e criptare anche i server Linux. 

Stando alle analisi dei ricercatori, quando viene attaccato un server Linux, gli operatori del ransomware distribuiscono anche un eseguibile ELF (Executable and Linkable format) chiamato "svc.new": è questo file il responsabile della criptazione dei file sui sistemi Linux.  Nell'eseguibile Linux sono integrati anche una chiave di criptazione pubblica RSA-4096, la nota di riscatto e un'estensione di criptazione che verrà applicata ai file criptati e che prenderà il nome della macchina della vittima. 

Campari e Capcom Ko: il ransomware RagnarLocker irrompe nelle reti aziendali

Geox, Enel, Carraro, Luxottica e ora Campari Group, il colosso italiano dell'aperitivo: i ransomware colpiscono forte in tutto il mondo e ormai dovrà ricredersi, sulla loro pericolosità, anche chi ha sempre pensato che l'Italia fosse in salvo. 

L'attacco contro Campari Group è iniziato domenica 1 Novembre: si parla di circa 2TB di dati non criptati rubati, gran parte della rete IT in down e una richiesta di riscatto di 15 milioni di dollari. Down anche i siti web, il sistema di email interno, le linee telefoniche.  L'attacco è stato attribuito al gruppo ransomware RagnarLocker: il ricercatore malware che corrisponde al nome di Pancak3 ha infatti condiviso con la redazione della rivista specializzata online ZDNet la nota di riscatto inviata a Campari, dove è esplicitata la tipologia di ransomware utilizzato:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 30/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 19 campagne dannose attive nel panorama italiano: a fronte di un numero di campagne minori rispetto alle settimane scorse, si presenta invece molto alto il numero di Indicatori di Compromissione (IoC), oltre 454. 

Sei sono state le famiglie ransomware individuate, in dettaglio:

Emotet è stato il malware più diffuso, distribuito con ben 3 diverse campagne nella sola giornmata di Lunedì 26. Le email sono in lingua italiana, 3 i temi: "Documenti", "Evento", "Salute". L'allegato dannoso è in formato .doc. Una quarta campagna Emotet è stata individuata nella giornaa di Venerdì scorso: differisce per temi, ma è identica ad una campagna a tema "Sociale" già individuata Venerdì 30 Ottobre. 

Dridex se la gioca a pari merito con Emotet: è stato diffuso soltanto i primi tre giorni della settimana, ma con ben 4 diverse campagne contemporaneamente. I temi sono stati "Pagamenti" e "Spedizioni", gli allegati dannosi sono in formato .xsls e .doc.

Pochi segnali di attività invece da Ursnif che, a differenza della scorsa settimana, è stata diffusa con una sola campagna dannosa, che imita comunicazioni ufficiali di Enel e reca un file .xls in allegato. Segnali di attività anche per Lokibot, AgenTesla e Zloader, attivi solo nei primi tre giorni della settimana con campagne diverse a tema "Spedizioni" o "Pagamenti". 

Attacco ransomware: non solo danni economici, ma anche conseguenze legali. Il caso Blackbaud

Blackbaud è un'gigante high tech statunitense, provider di servizi in cloud: ha clienti e svolge le proprie operazioni in tutto il mondo, ma il grosso dei clienti si concentra tra Stati Uniti, Regno Unito, Australia e Canada. 

Il 16 Luglio 2020 l'azienda ha subito un attacco ransomware i cui effetti hanno impattato i dati e i servizi di migliaia di clienti, comprese organizzazioni di carità e no profit, fondazioni, università e altre aziende dagli Usa al Canada fino all'Olanda. La società aveva dichiarato di essere riuscita ad impedire agli attaccanti di criptare completamente i sistemi, ma non prima che gli attaccanti fossero riusciti a mettere le mani su un sottoinsieme dei dati aziendali da un ambiente self-hosted. Per riportare in chiaro la porzione di file criptati, l'azienda ha optato per il pagamento del riscatto, una volta saputo però del furto dei dati: probabilmente il riscatto è stato pagato più per non far pubblicare i dati rubati che per riportare in chiaro quelli criptati. 

Le cause legali e le richieste di informazioni da parte delle Autorità Garanti
Se per la maggior parte delle aziende un attacco ransomware si conclude quando i dati sono tornati in chiaro e gli attaccanti sono stati espulsi dalla rete, la realtà è però ben diversa e il caso di Blackbaud lo dimostra. Sulla Blackbaud sono infatti piovute ben 23 class action da parte dei clienti. 

Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

Analizzando alcune recentissime campagne di attacco del ransomware Ryuk, alcuni ricercatori di sicurezza hanno individuato in diffusione il malware Buer: Buer, conosciuto già dall'Agosto 2019, è in affitto nel dark web come malware-as-a-service, in dettaglio con la funzionalità di downloader. Nel dark web è conosciuto come Modular Buer Loader. 

Scopo principale è quello di fornire un primo punto di accesso ad una macchina target a successivi attaccanti, compromettendo sistemi Windows dei quali rivendono gli accessi ad altri gruppi di cyber attaccanti. E' esattamente quanto sta già avvenendo con TrickBot e Emotet i quali, oltre a rubare credenziali e dati sensibili, installano sulle macchine infette delle backdoor che poi vengono rivendute ad altri attaccanti, soprattutto gang ransomware: gli attaccanti ransomware quindi non devono occuparsi di cercare un punto di accesso ad una macchina violandone la sicurezza, ma sfruttano accessi già presenti.

La novità recente riguardo a Buer è che se fino a poco tempo fa era usato solo per distribuire malware bancari, oggi è usato anch'esso negli attacchi ransomware: il numero dei malware che collaborano con i ransomware quindi cresce e possiamo definitivamente parlare della triade Emotet, TrickBot e Buer. 

Qualche dettaglio tecnico

Prospettive: l'e-commerce è in crescita e resterà in voga anche ben oltre la pandemia

I profitti registrati da Amazon, dalle aziende di food delivery, ma anche da shop di piccole e medie dimensioni parlano chiaro da quasi un anno: la pandemia è stata una di quelle "crisi da sfruttare" per un settore che ha garantito alle persone di poter fare acquisti pur rinchiuse dentro casa o con forti limitazioni agli spostamenti. 

Il sondaggio pubblicato da IZI in collaborazione con Comin&Partners però ci permette di fare una riflessione mirata e specifica per l'Italia, entro un trend che comunque, come detto, è stato valido e riscontrato in tutto il mondo. A partire dal +20% registrato dal settore nel nostro paese dall'inizio della pandemia. 

Intanto un primo dato: delle oltre 1.000 persone intervistate tra il 6 e il 9 Ottobre 2020, quasi il 60% ha dichiarato che continuerà ad acquistare online anche al termine dell'emergenza. Il 68% si aspetta di eseguire online lo stesso volume di acquisti online che già effettua oggi, con particolare interesse nei settori libri (+29%), elettronica (+25%) e abbigliamento. Un dato notevole, se consideriamo anche che prima dell'emergenza oltre l'85% degli italiani acquistava vestiario solo in punti di vendita fisici e oggi, a meno di 10 mesi di distanza, questa percentuale si è contratta fino al 64%. 

Una buona notizia: il ransomware Maze cessa le operazioni

I ransomware sono più numerosi e sempre più complessi, nel funzionamento dell'attacco e nella gestione dell'estorsione ma, ogni tanto, ci sono anche buone notizie e quella di oggi è davvero una Buona Notizia: il temibile ransomware Maze, capofila delle nuove tecniche di estorsione a doppio riscatto (uno per la chiave di decriptazione e uno per non vedere pubblicati online i dati rubati) sta sospendendo le operazioni di attacco. 

Maze ha rivoluzionato il mondo dei ransomware
E' significativo che Maze stia sospendendo le operazioni non solo per il livello raggiunto (in termini di importanza delle vittime e di ammontare dei riscatti), ma anche perchè Maze ha apportato modifiche così sostanziali alla metodologia di attacco ransomware da averla, nei fatti rivoluzionata. Ad esempio, prima del debutto di Maze sulla scena del cybercrime  nessun gruppo di cybercriminali aveva mai concesso interviste e risposto alle domande poste dai ricercatori di sicurezza e dei giornalisti: tutto è cambiato nel Novembre 2019, quando i gestori di Maze hanno deciso di contattare le redazioni di una serie di riviste online specializzate in cybersecurity, BleepingComputer su tutte, per diffondere la notizia che, per la prima volta, il loro attacco alla Allied Universal non aveva solo comportato la criptazione dei dati, ma anche il loro furto. Per la prima volta cioè, un gruppo di attaccanti ha spiegato alla stampa il proprio attacco, mettendone anche a conoscenza il mondo. In quel caso, da Maze spiegavano che la scelta di contattare le redazioni e informare dell'attacco dipendeva dalla volontà di aumentare la pressione estorsiva contro un'azienda che si stava rifiutando di partecipare alle trattative e pagare il riscatto.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 23/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose ai danni di utenti italiani: 382 gli indicatori di compromissione (IoC) resi disponibili. Le famiglie di malware individuate in diffusione sono state 9, in dettaglio:

Enel di nuovo sotto attacco ransomware: richiesti 14 milioni di dollari di riscatto

L'italiana Enel Group è stata colpita da attacco ransomware per la seconda volta nel corso di quest'anno. Questa volta responsabile dell'attacco è il gruppo ransomware Netwalker, che ha richiesto ben 14 milioni di dollari in Bitcoin per l'invio della chiave di decriptazione e per scongiurare la pubblicazione di terabyte di dati rubati. 

Il precedente
Lo scorso Giugno, la rete interna di Enel era stata attaccata e violata dal ransomware Snake, conosciuto anche come Ekans, ma il tentativo di diffondere il malware nella rete era stato bloccato dai sistemi di cyber sicurezza. Abbiamo parlato più dettagliatamente dell'episodio qui.

Il 19 ottobre un ricercatore di sicurezza ha scovato e inviato alla redazione di Bleeping Computer la nota di riscatto che il gruppo di Netwalker ha inviato ad Enel Group. 

Data leak e data breach: i dieci giorni dell'orrore

Notizie di data leak e data breach si susseguono ormai senza sosta: che dipenda da un attacco informatico, da dipendenti infedeli, da cattive configurazioni poco importa, la scorsa settimana si è registrato un numero impressionate di violazioni e furto di dati. Nell'impossibilità di raccontare tutti gli eventi, ci concentriamo su alcuni in particolare, importanti dal punto di vista della quantità di dati violati e per le modalità di violazione.

- Il data breach di Nitro PDF
Nitro PDF è un sistema molto usato dalle aziende per creare, modificare e firmare digitalmente PDF e altri tipi di documenti digitali: dichiara più di 10.000 clienti aziendali e 1.8 milioni di utenti su licenza. E' utilizzato da aziende del calibro di Microsoft, Apple, Google ma anche da centinaia di aziende italiane ed europee. 

Il 21 Ottobre, Nitro Software ha inviato un alert all'Australia Stock Echange per notificare un "incidente di sicurezza a basso impatto": nell'alert si specificava che nessuno dei dati dei clienti era stato violato. La realtà non è affatto questa, purtroppo: l'azienda di cybersicurezza Cyble ha fatto sapere di aver rintracciato, in vendita nel dark web, i dati dei clienti e più database di documenti, per un totale circa di 1TB di documenti rubati. Tutti i dati sono stati sottratti dal servizio in cloud che Nitro Software offre ai clienti di Nitro PDF. L'intero pacchetto è in vendita all'asta con una base d'asta iniziale di 80.000 dollari. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 16/10
Il CERT-AgID ha individuato e analizzato 23 campagne dannose attive contro utenti italiani. 284 gli Indicatori di Compromissione messi a disposizione, disponibili sul sito ufficiale CERT-AgID.

Tra i malware più individuati troviamo, al primo posto, MassLogger, che è stato veicolato con due diverse campagne, uno a tema Pagamenti e uno a tema Contatti. 

Al secondo posto Dridex, anch'esso distribuito con due campagne, praticamente contemporanee, Mercoledì 14 Ottobre. Una delle campagne era a tema Delivery, l'altra a tema Pagamenti: si conferma il formato .xlsm come il vettore di attacco più utilizzato da Dridex. 

Luxottica ancora sotto ricatto: il team del ransomware Nefilim pubblica alcuni dati rubati

Lo scorso mese abbiamo riportato la notizia di un attacco ransomware subito dalla famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri. L'attacco ransomware aveva determinato malfunzionamenti ai siti web di Luxottica e collegati, come i siti web di Ray-Ban e Sungluss Hut, di alcuni portali interni e il blocco della produzione e della logistica. Il 22 Settembre Nicola Vanin, Information Security Manager di Luxottica, aveva confermato l'attacco con un post su Linkedin. 

Ieri l'esperto di cybersicurezza italiano Odisseus, ha dato notizia tramite il proprio profilo Twitter del fatto che il gruppo di attaccanti responsabili del ransomware Nefilim ha pubblicato una lunga lista di file che appartengono a Luxottica. 

Le nuove varianti del malware botnet Mirai riportano l'attenzione sulla sicurezza dei dispositivi IoT

I dispositivi IoT compromessi hanno rappresentato uno dei pericoli maggiori alla cybersecurity per i primi due trimestri del 2020, a causa del loro utilizzo in attacchi DDoS sempre più devastanti e massivi. 

L'avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, quindi gli attaccanti hanno dovuto puntare ad aumentare il numero di quelli infetti. A titolo esemplificativo ricordiamo l'attacco DDoS più rilevante nella storia recente, quello contro GitHub: sono state registrate 290.000 richieste al minuto per 13 giorni consecutivi. Hanno partecipato all'attacco più di 400.000 dispositivi IoT infetti. 

Centinaia di migliaia di dispositivi quindi, anche se meno potenti rispetto a server e pc, sono infettati quindi inseriti nella botnet e comandati da remoto affinchè producano attacchi DDoS coordinati: gioco facile per gli attaccanti, più che attaccare server e pc, dato l'ormai annoso problema della scarsissima sicurezza informatica degli IoT. E se consideriamo che dati recenti quantificano in 22 miliardi il numero di IoT presenti nel mondo, con un mercato in costante crescita che dovrebbe raggiungere i 41,6 miliardi di dollari nel 2025, si capisce velocemente come questa minaccia possa trasformarsi in un incubo nel giro di pochi anni. 

La botnet Mirai
Molte delle minacce contro i dispositivi IoT sono varianti basate sul famigerato malware Mirai (ne abbiamo già parlato qui, qui e qui) che esiste già da qualche anno ma il cui impatto si è fatto significativo a partire dal 2016, quando iniziò ad infettare centinaia di migliaia di router e videoregistratori. 

Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale

Qualche giorno fa abbiamo dato notizia dell'attacco che Microsoft, a capo di una coalizione di ISP, esperti di cyber sicurezza e CERT nazionali, ha portato contro la famigerata botnet TrickBot. Ritenuta una minaccia aperta per le venture elezioni negli Stati Uniti, TrickBot e la sua intera infrastruttura sono stati oggetto di studio da parte di Microsoft che, una volta presentati i dati, ha ottenuto dal United States District Court for the Eastern District of Virginia l'autorizzazione necessaria per passare al contrattacco e smantellare la botnet. 

Dalle prime dichiarazioni di Microsoft il risultato sembrava essere stato pienamente raggiunto, ma analisi successive e dati telemetrici hanno indicato come la botnet sia sopravvissuta al tentativo di takedown. 

I server di comando e controllo di Trickbot e tutti i domini che sono stati messi offline la scorsa settimana sono già stati sostituiti: in pochissime ore cioè l'intera infrastruttura di Trickbot è stata sostituita. Aziende e ricercatori di sicurezza che monitorano da tempo l'attività di Trickbot hanno dichiarato che gli effetti del takedown sono stati "temporanei e limitati": molti però gli elogi per Microsoft e partner, per lo sforzo e il tentativo indipendentemente dai risultati effettivi.

Alcune fonti interne alla coalizione che ha messo sotto attacco la botnet hanno spiegato che fin dall'inizio era esclusa la possibilità di ottenere lo shut down totale della infrastruttura: la cosa sarebbe provata anche dal fatto che la campagna anti TrickBot già prevede dei passaggi da ripetere, come la messa in down dei nuovi domini. Insomma, gli esperti della coalizione si aspettavano già una pronta risposta da parte degli attori dietro a TrickBot, al punto da aver già previsto alcune mosse da giocare non appena gli attaccanti avessero rimesso online l'intera infrastruttura. Sono centrali, da questo punto di vista, le parole di Tom Burt di Microsoft: "come abbiamo già visto nel corso di precedenti operazioni, i risultati di uno shut down globale che coinvolge più partner si manifestano in più fasi. Abbiamo già previsto che gli operatori di TrickBot tenteranno di riavviare le proprie operazioni. Se necessario quindi adotteremo ulteriori misure tecniche e legali per fermali".

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 09/10
La scorsa settimana il CERT-AgID ha individuato e analizzato 33 campagne dannose attive nello scenario italiano e rivolte contro utenti italiani: 224 sono gli indicatori di compromissione (IoC) messi a disposizione. 

Ursnif è stato il malware più individuato, distribuito con ben 4 diverse e massive campagne di email di spam: tra queste, due erano a tema INPS mentre due imitavano comunicazioni del corriere Bartolini. Gli allegati usati in tutte le quattro campagne erano in formato XLS e XLSm. Nell'analisi di queste campagne, gli esperti del CERT si sono imbattuti in alcune interessanti peculiarità. 

Microsoft assedia e sconfigge TrickBot: 'è un rischio per le elezioni USA'

Non è la prima volta che Microsoft decide di passare all'azione per combattere il cybercrime in prima persona, attaccando direttamente i cyber attaccanti. Nel Marzo di quest'anno Microsoft ha preso il controllo della botnet Necurs, responsabile dell'invio di 3.8 milioni di messaggi di spam contro oltre 46 milioni di target in appena 50 giorni di analisi. Nei primi giorni di Luglio di quest'anno, invece, Microsoft ha annunciato con un dettagliato report di aver effettuato e concluso una vasta campagna di attacco per prendere il controllo e mettere offline una serie di domini usati in quel periodo per lanciare massivi attacchi di phishing, la maggior parte dei quali a tema Covid. 

Da pochi giorni si è conclusa un'altra operazione simile, avente come obiettivo principale quello di smantellare la botnet TrickBot e l'intera infrastruttura dedicata alla sua gestione. 

Per iniziare: TrickBot in breve
Abbiamo parlato spesso di TrickBot, sopratutto da quando, a partire dallo scorso anno ha iniziato a fare "coppia fissa" col ranomsware Ryuk e ad essere diffuso piuttosto regolarmente anche in Europa (italia compresa). TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.  

Nuovo ransomware colpisce i Nas QNAP anche in Italia: arriva Solve

Per ora non ci sono molte informazioni: questo ransomware è stato segnalato direttamente da utenti vittime meno di un mese fa. E' però utile segnalarlo, perchè stiamo ricevendo richieste di assistenza al nostro servizio di decriptazione https://www.decryptolocker.it da parte di utenti italiani. 

Il ransomware è stato ribattezzato Solve prendendo spunto dalla nota di riscatto che lascia nelle cartelle contenenti i file criptati, ovvero "SOLVE ENCRYPTED FILES.txt". Dalle segnalazioni per ora ricevute mira principalmente i NAS: la quasi totalità delle vittime, ad ora, hanno subito l'infezione su NAS QNAP. 

Qualche dettaglio tecnico
Il ransomware Solve cripta i dati degli utenti con l'algoritmo AES256, mentre la chiave è protetta da algoritmo RSA. Richiede in riscatto circa 400 dollari in Bitcoin: un riscatto molto basso rispetto a quelli a cui siamo attualmente abituati e il fatto dipende dall'evidenza che questo ransomware non è pensato per attacchi mirati contro grandi aziende, ma contro utenti home e piccoli uffici o aziende. E' scritto in linguaggio GO ed sembra ottimizzato per sistemi Linux. 

L'estensione che Solve aggiunge al nome dei file criptati è .encrypted

Gli allegati email più usati per infettare Windows

L'esperto di cyber sicurezza Lawrance Abrams ha pubblicato una breve guida sugli allegati email che sono comunemente usati per colpire il sistema operativo Windows: ormai, spiega nel testo, è necessario che tutti abbiano la capacità di riconoscere almeno i più comuni schemi di attacco di phishing via email e gli allegati dannosi più usati. Come abbiamo infatti scritto spesso, gli antivirus e le soluzioni di sicurezza non sono bastanti a sé stesse: l'anello debole della catena della sicurezza informatica resta infatti l'utente, che può essere convinto con l'inganno ad eseguire una macro o collegarsi ad un dominio compromesso, scavalcando anche gli alert che le soluzioni di cybersecurity possono mostrare. Insomma la consapevolezza dell'utente è e rimane una componente essenziale della cybersecurity. 

La catena di attacco
Pur differendo nei temi, questa tipologia di attacco si ripete con uno schema comune e consolidato: che si parli di fatture, invii, ritardi nei pagamenti, informazioni di spedizione, verifiche amministrative, protocolli sanitari anti Covid, verifica account poco conta. L'email di phishing classica ha un oggetto e testo finalizzati solo a convincere l'utente al download e all'apertura di un allegato compromesso, molto spesso in formato Word o Excel, oppure al clic su un link che consente il download degli stessi allegati dannosi. Se l'utente attiva la macro contenuta, si avvia l'infezione.

Prima di eseguire una macro in Word o Excel, Office chiede conferma all'utente, invitandolo a cliccare su "Modifica contenuti" o "Abilita macro",  con uno specifico alert di sicurezza

Questo passaggio di sicurezza, creato appositamente per allertare l'utente, è un ostacolo per gli attaccanti: questo è il motivo per il quale molti di questi documenti mostrano testo o immagini che indicano un problema di visualizzazione. Per risolvere questo fantomatico problema di visualizzazione, l'utente dovrebbe approvare la macro: una tecnica truffaldina che però ha grande successo.