Down del sito Inps: la colpa è davvero degli hacker?

I fatti sono tristemente noti: in pieno lockdown, il primo giorno della possibilità di richiedere accesso al contributo di 600 euro per le Partite Iva, il sito dell'Inps va in tilt. Impossibile visualizzare alcune pagine, rallentamenti tali da rendere impossibili le operazioni: i server sono sovraccarichi, il servizio non funziona, finchè il sito viene temporaneamente messo offline. Quando torna accessibile succede l'incredibile: gli utenti che accedono visualizzano i dati personali di altri utenti. Le aree private si mischiano, finiscono esposti nome e cognome, iban e altri dati sensibili. Il commento di Pasquale Tridico, travolto dalle polemiche è : "abbiamo ricevuto nei giorni scorsi e anche stamattina violenti attacchi hacker. Abbiamo dovuto sospendere temporaneamente il sito dell’istituto". 

Viene annunciata una commissione d'inchiesta. Da più parti la comunità di esperti di cyber sicurezza esprime aperta perplessità, quando non aperta ironia, sulle dichiarazioni di Tridico, mentre da Anonymous il commento è lapidario: "vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento".

Il report dell'Organismo di monitoraggio sulla criminalità: colpa degli hacker

Cybersecurity: l'UE si riorganizza per far fronte al cybercrime e creare il mercato unico della sicurezza

La Commissione europea e l'Enisa (Agenzia europea per la sicurezza delle reti e dell'informazione) hanno annunciato pochi giorni fa la creazione dello  Stakeholders Cybersecurity Certification Group (SCCG), un nuovo ente il cui compito sarà quello di certificare la sicurezza informatica dei prodotti e dei sistemi informatici. Una novità rispetto al passato, perché entrerà in vigore un modello unico di certificazione valido per l'Unione Europea: l'operazione diviene quindi molto meno costosa e più semplice, oltre a ridurre la frammentazione che invece fino ad oggi l'ha fatta da padrona a causa dei numerosi modelli in circolazione. 

"La certificazione svolgerà non solo un ruolo cruciale nell'aumentare la fiducia e la sicurezza dei prodotti ICT, ma fornirà anche alle aziende europee gli strumenti necessari per dimostrare che i loro prodotti e servizi rispettano degli standard di sicurezza informatica. Quest'ultimo, inoltre, consentirà loro di competere meglio nel mercato globale", ha dichiarato Thierry Breton, commissario per il mercato interno.

Faranno parte dell'SCCG rappresentati delle istituzioni europee, delle università, delle imprese, dei consumatori e delle associazioni di categoria: in tutto saranno 50 membri (nel progetto è presente anche il Politecnico di Milano). 

Il Cybersecurity Act

MassLogger passa ai fatti: campagna di spam distribuisce il malware contro utenti italiani

Lo CSIRT ci aveva visto lungo, diramando un alert specifico su un malware non ancora in diffusione ma che mostrava tutte le caratteristiche necessarie per poter fare "il salto" dalla teoria alla pratica. Parliamo del malware MassLogger, individuato nei forum dell'underground hacking in vendita a prezzi più che accessibili: un malware specializzato nel furto dati. 

Per approfondire > L'alert del CERT-AgID: il malware MassLogger si prepara alla diffusione di massa

Lo CSIRT aveva dedicato qualche giorno fa un approfondimento su questo malware, ritenendo molto alto il rischio di tentativi di diffusione anche in Italia. L'alert ha trovato, purtroppo, riscontro nella realtà. Qualche giorno fa è stato pubblicato un nuovo alert: è stata individuata una campagna di email di spam rivolta contro utenti italiani che distribuisce proprio il keylogger MassLogger. 

Stando ai dati dello CSIRT, le email di questa campagna contengono un allegato Microsoft Excel (.xls) contenenti una macro VBA dannosa. Il "gioco" è sempre lo stesso: sia il testo dell'email che il "messaggio di errore" che viene mostrato al momento dell'apertura del documento servono ad indurre l'utente ad abilitare la macro. Abilitare la macro avvia la catena d'infezione.

Documenti dannosi Office: Microsoft prova a bloccare i malware con una nuova funzione

I documenti Office, ne abbiamo parlato spesso, sono tra i principali vettori di malware utilizzati dai cyber attaccanti. Da oltre venti anni, da quando cioè esiste Office, l'abitudine di nascondere malware nei documenti, sopratutto via macro, è solo cresciuta: d'altronde, nascondere i malware in questi documenti e inviarli tramite email dal contenuto ingannevole che inviti l'utente ad aprirli, resta uno dei mezzi più efficaci per i cyber attaccanti.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Microsoft ha provato spesso a mitigare il problema in vari modi: una delle più note, ad esempio, è la Visualizzazione Protetta (o Sola lettura). Molti vi sono incappati e l'hanno trovata probabilmente fastidiosa, perchè i file così aperti non sono modificabili: in realtà questa modalità serve a proteggere la sicurezza degli utenti quando un file Office viene trasmesso e scaricato via email. Questa modalità si attiva per impedire l'abilitazione di contenuti, ad esempio le macro che sono nei fatti il veicolo, nella stragrande maggioranza dei casi, del malware stesso: con questa modalità le macro ad esempio non vengono attivate a meno che l'utente non dia indicazione contraria. 

Indubbiamente questa, come altre funzionalità di protezione, hanno in parte ridotto il problema, ma gli attaccanti hanno aggirato le nuove difese, producendo tipologie diverse di malware ma, sopratutto, affinando le tecniche di ingegneria sociale per "coinvolgere" la vittima nella truffa convincendola ad abilitare volontariamente i contenuti  e le macro. 

Malware che si nascondo nella rete (e ci restano): la coppia TrickBot Ryuk

Ne abbiamo parlato ieri qui, prendendo spunto da una discussione che sta animando la comunità dei ricercatori di sicurezza: i ransomware (ma in generale i malware) non si limitano ad infettare una rete per poi scomparire una volta eseguite le attività dannose. Al contrario, molto spesso, ci restano per futuri attacchi. 

La discussione è originata dal fatto che sul sito che gli attori del ransomware Maze hanno approntato per i data leak dei file rubati alle vittime, è comparso il report scritto dal team IT di una grande azienda di Singapore, i cui tecnici hanno commesso l'ingenuità di pubblicare sulla rete ancora infetta il report (con analisi e contromosse) riguardante l'infezione ransomware. Dopo pochi giorni il report è finito in prima pagina sul sito di leak a mò di monito: "siamo ancora qui". 

Oggi arriva una ulteriore conferma, a ribadire che prima di intervenire su una rete per bloccare una infezione occorre avere la certezza che non vi siano più accessi non autorizzati: il ransomware Ryuk e il trojan TrickBot hanno iniziato ancora una volta a cooperare, come denunciano da  BleepingComputer. Di nuovo, perché non è neppure la prima volta...

Gli operatori dei ransomware si nascondono nella tua rete dopo l'attacco (e ci restano)

Quando un'azienda subisce un attacco ransomware, molte vittime pensano che l'attaccante voglia soltanto distribuire più velocemente possibile il ransomware e andarsene subito dopo per ridurre il rischio di essere scoperto. Sfortunatamente la realtà è molto diversa anzi: gli attori dietro i ransomware non sono ben disposti a rinunciare velocemente ad una risorsa per prendere il controllo della quale hanno dovuto "lavorare duramente". Gli attacchi ransomware sono, al contrario, tutt'altro che veloci: vengono preparati e condotti col tempo. Possono passare anche giorni o mesi dal momento in cui l'attaccante viola la rete a quando distribuisce il ransomware. 

L'irruzione nella rete è il preludio di ogni attacco ransomware e può avvenire tramite servizi di desktop remoto esposti, vulnerabilità nei software (in particolare in questo periodo sono sotto attacco i software VPN) oppure sfruttando backdoor e accessi remoti lasciati da infezioni precedenti. Quest'ultimo caso merita due parole in più: vi sono dei malware che, una volta espletate le proprie funzioni (furto informazioni, credenziali ecc..) lasciano sulle macchine infette un accesso, molto spesso una backdoor: questi accessi, spesso non individuati per anni, restano nella rete e possono essere riutilizzati in qualsiasi momento. TrickBot, Dridex, QakBot sono tre esempi di malware che lasciano backdoor sulle macchine infette e le offrono ad altri malware (spesso dietro pagamento "del servizio"). 

Torna FTCODE: il ransomware distribuito via PEC contro utenti italiani

L'alert dello CSIRT è di ieri pomeriggio: è stata individuata una campagna di email di spam, avviata ieri alle ore 6.30 circa tramite email PEC. Mira a utenti privati e ad alcune strutture della Pubblica Amministrazione. 

Per ora pare una sola la tipologia di email in circolazione, recante come oggetto "Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}": avverte la vittima di un fantomatico contenzioso civile, ovviamente inesistente. L'email è resa più credibile dalla presenza, nel corpo email, di nomi afferenti a personale che realmente opera presso il Tribunale di Napoli. 

Fonte: https://csirt.gov.it/

Italia sotto attacco: dopo l'attacco a Enel, Geox paralizzata da un ransomware

Ne parliamo da un pò di tempo: il cybercrime punta ai dati e a fare più soldi possibili con questi. Da questo punto di vista attaccare l'utente home, col suo pc o cellulare e le foto delle vacanze, non è più così redditizio. Bucare i database di una azienda permette da mettere le mani sui dati di migliaia di persone contemporaneamente, mentre è molto più probabile pretendere e ottenere un riscatto molto alto da una azienda colpita da ransomware che ottenere un pagamento (comunque basso) dall'utente home. Insomma, il mirino è puntato direttamente sulle aziende. 

Per approfondire >> Ransomware: Sodinokibi e Ryuk fanno lievitare le richieste di riscatto - parte 2

Il trend dei ransomware è chiaro, ma se questo triste destino sembrava riservato agli Stati Uniti (dove ogni giorno aziende di ogni dimensione sono colpite da vari ransomware), ormai l'Italia non può più dirsi al riparo. Giusto qualche giorno fa abbiamo parlato dell'attacco ransomware subito da Enel, i cui effetti sono stati fortunatamente contenuti dalle misure di sicurezza: oggi ci risiamo. Il Mattino di Padova ha dato notizia ieri di un attacco ransomware che ha colpito duramente i sistemi di Geox, la multinazionale delle calzature con sede a Montebelluna. L'attacco è avvenuto nella notte tra Domenica e Lunedì. 

L'alert del CERT-AgID: il malware MassLogger si prepara alla diffusione di massa

L'alert è stato diramato direttamente dal CERT-AgID per mettere gli utenti italiani in guardia rispetto ad una minaccia che, nel prossimo futuro, potrebbe prendere di mira l'Italia. L'alert è un dettagliato report del malware MassLogger, che ha funzionalità di furto dati e keylogging scoperto poco tempo fa da alcuni ricercatori di sicurezza: un malware nuovo, ancora non diffuso, ma già circolante nei forum dell'underground hacking e pronto a colpire. 

E' un malware scritto in .NET ed ha un funzionamento che pare prendere direttamente spunto da un altro ben noto malware, diffuso giusto qualche giorno fa in Italia, ovvero AgenTesla. Nei vari canali dove viene presentato e messo in vendita non si trova l'intero codice, ma solo immagini e porzioni del codice stesso: questi però sono sufficienti a farsi un'idea del tipo di minaccia. 

Enel colpita da attacco ransomware: i sistemi di difesa funzionano e l'infezione viene bloccata

La compagnia energetica italiana Enel Group ha subito un attacco ransomware pochi giorni fa, a breve distanza di tempo da un attacco molto simile che ha colpito la casa produttrice di automobili e moto Honda. Il ransomware che gli attaccanti hanno cercato di diffondere potrebbe essere SNAKE, conosciuto anche come Ekans. 

L'attacco contro Enel ha effettivamente impattato la rete interna dell'azienda, che è andata in down, subendo un'interruzione. Tuttavia Enel ha dichiarato che i sistemi di cyber difesa aziendali hanno funzionato e l'infezione non si è diffusa. 

Questa la nota inviata da Enel alla redazione di Bleeping Computer:

"Enel Group informa che Domenica sera si è verificata un'interruzione della rete IT interna, conseguente all'individuazione da parte del sistema antivirus di un ransomware. In forma precauzionale l'Azienda ha temporaneamente isolato la rete aziendale per poter effettuare tutti gli interventi necessari  ad eliminare qualsiasi rischio residuale.  La connessione è stata ripristinata in sicurezza Lunedì mattina. Enel informa che non si sono verificati problemi critici riguardo i sistemi di controllo da remoto degli asset di distribuzione delle centrali elettriche e che i dati dei clienti non sono stati esposti a terzi".

Come si è svolto l'attacco?

Utenti italiani sotto attacco: due campagne di email di spam distribuiscono il malware Agent Tesla

E' con un doppio alert (il primo il 9 Giugno, il secondo di oggi 11 Giugno) che il Computer Security Incident Response Team - Italia (CSIRT) avvisa gli utenti italiani di una campagna di email di spam che distribuisce il malware Agent Tesla. 

Agent Tesla è un trojan specializzato nel furto dati, dotato di funzionalità di spyware e keylogger: è in diffusione con due diverse campagne di email di spam, entrambe mirate contro utenti italiani. Vediamole in dettaglio

Zorab: il falso tool di decriptazione ransomware che in realtà è un ransomware

Quando non riescono a farsi "un mercato proprio", alcuni ransomware sfruttano quello di altri. E' quanto sta succedendo col ransomware Zorab (fondamentalmente sconosciuto e poco efficace, a giudicare dal numero di infezioni) che ha deciso di sfruttare un ransomware di ben maggiore peso, STOP Djvu, per infettare più  utenti. 

Riportiamo l'alert del ricercatore Michael Gillespie, non solo perchè le vittime del ransomware STOP  Djvu sono centinaia di migliaia nel mondo, alcune centinaia anche in Italia, ma anche perchè Zorab è pubblicizzato come tool funzionante 100% per decriptare gratuitamente i file criptati da STOP, le cui ultime versioni non hanno soluzione. 

Di siti web che promettono il recupero dei file tramite fantomatici tool di recovery, ripristino e pulizia del sistema ve ne sono a centinaia, spesso indicizzati così bene sui motori di ricerca da comparire per primi tra i risultati, ben prima di siti afferenti a realtà serie e realmente capaci di offrire soluzioni senza cedere al ricatto del riscatto. In questo caso però si promette un decryptor, esattamente come fanno i più seri vendor e realtà impegnate nella lotta ai ransomware, e, per di più, di un ransomware per il quale da molto tempo non esiste una soluzione gratuita o alternativa al pagamento del riscatto: un modo piuttosto brutale di guadagnare sfruttando la disperazione delle vittime.  Il punto è che STOP non riscuote molta attenzione da parte dei grandi vendor, perchè colpisce principalmente utenti home che commettono l'errore (e il reato) di scaricare software craccati ai quali è collegato il ransomware. 

Zorab se ne approfitta: doppia criptazione

Il malware TrickBot si aggiorna ancora: nuovo, pericolosissimo, modulo di propagazione worm

Siamo nuovamente a parlare di TrickBot, non solo perché a intervalli irregolari viene diffuso anche in Italia (principalmente contro aziende ed enti pubblici), ma anche perché continua ad essere una delle più longeve e costanti minacce a livello mondiale. 

TrickBot: un pò di storia, in breve

Anzitutto TrickBot è un malware per il furto di informazioni che, tra le altre cose,  offre servizi ad altri malware: quando infetta un dispositivo, oltre a rubare le informazioni, installa backdoor che poi sono messe a disposizione di altri malware per infettare lo stesso dispositivo con altre minacce.  

E' considerato l'evoluzione del trojan bancario Dridex, infatti la sua funzione primaria è il furto di credenziali bancarie. Si è poi evoluto costantemente, divenendo nei fatti una minaccia polimorfica composta da diversi moduli, ognuno dei quali responsabile di differenti funzioni di compromissione: una delle più recenti funzioni chiave che vi sono state aggiunte è la possibile di propagarsi da un client Windows infetto a un Domain Controller vulnerabile. 

Il 6 Marzo c'è stata l'ultima campagna di massa di diffusione contro utenti italiani: è stata una delle molteplici campagne che hanno sfruttato il tema Covid come copertura.

Per approfondire >> Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware 

NAS QNAP sotto attacco: campagna di diffusione del ransomware QNAPCyrpt

Il ransomware QNAPCrypt è stato individuato per la prima volta nel Giugno 2019, ma è stato quasi subito "sconfitto": dopo le segnalazioni di alcuni utenti colpiti dall'infezione ransomware, alcuni ricercatori avevano prodotto un tool capace di decriptare i file. L'algoritmo di criptazione presentava dei bug, nella nota di riscatto era presente la chiave pubblica di criptazione: tutti strumenti che furono utili al tempo per scardinare la criptazione e riportare i file in chiaro senza pagare il riscatto.

Per approfondire >> Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!

In questi giorni è in corso però una nuova campagna di diffusione del ransomware: i dati provenienti da ID-Ransomware (servizio di supporto alle vittime di ransomware), parlano chiaro. Dal 1°Giugno è in corso una campagna di diffusione di una nuova versione del ransomware e le segnalazioni hanno subito una forte impennata. 

Gli attacchi sono mirati:  l'operatore di QNAPCrypt tenta di accedere ai dispositivi sia sfruttando vulnerabilità conosciute ma anche col più classico attacco di brute-forcing di credenziali deboli. Una volta ottenuto l'accesso, procede all'installazione del ransomware, che si attiva subito e cripta tutti i file presenti nel dispositivo. L'estensione di criptazione aggiunta ai file criptati non è cambiata dalla versione precedentemente in diffusione ed è ancora .encrypted: il nome file invece non viene modificato.

Nasce il cartello delle estorsioni: gli operatori ransomware di gruppi diversi si coalizzano

Vari gruppi attivi negli attacchi ransomware si stanno coalizzando per formare un vero e proprio "cartello delle estorsioni": la piattaforma del ransomware Maze è diventata una vera e propria infrastruttura condivisa dove alcuni gruppi di cyber criminali pubblicano i dati rubati alle vittime e condividono tattiche di attacco, di ricatto e intelligence. 

Dalla criptazione dei dati al data breach

Era il Novembre 2019 quando gli operatori del ransomware Maze pensarono di anticipare la criptazione vera e propria (l'attacco ransomware) con un furto dati (data breach): in quell'occasione, poichè la vittima si era rifiutata di pagare il riscatto per riavere i file in chiaro, gli attaccanti avevano proceduto alla pubblicazione di una parte dei dati rubati in una fase dell'attacco precedente alla della criptazione stessa. Una specie di doppio ricatto: con la criptazione la vittima viene "esclusa" dall'accesso ai propri file, ma se si rifiuta di pagare, questi file vengono anche resi pubblici oltre che inaccessibili al proprietario.