Ancora ospedali sotto attacco: il ransomware Ryuk lancia l'assalto agli Ospedali UHS in tutti gli Stati Uniti

A pochi giorni dalla notizia della morte di una paziente come conseguenza diretta di un attacco ransomware (è ad ora in corso un' indagine per omicidio colposo avviata dalla Procura di Colonia), gli attacchi ransomware contro ospedali e fornitori di servizi sanitari non si fermano. Anzi, la situazione sta peggiorando. 

La nuova vittima d'eccellenza è il provider di servizi sanitari Universal Health Service (UHS): il gigante della sanità statunitense ha dichiarato pubblicamente di essere stato costretto allo shut down dei sistemi di tutti gli ospedali negli Stati Uniti in seguito ad un cyber attacco che ha colpito la rete aziendale all'alba di Domenica scorsa (27 Settembre 2020). Per rendersi conto del contesto, UHS gestisce oltre 400 tra ospedali e ambulatori negli Stati Uniti e nel Regno Unito, conta oltre 90.000 dipendenti e assiste più di 3.5 milioni di pazienti ogni anno. 11.4 miliardi di dollari il profitto annuale dichiarato, che pone UHS tra le prime 500 aziende di Fortune. 

L'attacco è iniziato durante la notte ed ha riguardato sicuramente gli ospedali UHS in California, Florida, Texas, Arizona, Washington D.C che si sono ritrovati senza accesso ai computer e ai sistemi telefonici. Ad ora e tutt'ora, gli ospedali UHS stanno dirottando le ambulanze e ricollocando i pazienti in altre strutture nei dintorni.

I dipendenti raccontano che, quando è iniziato l'attacco, sono state arrestate dagli attaccanti più

Il ransomware AgeLocker cripta i NAS QNAP...ma prima ruba i dati

Ancora un ransomware pensato per colpire nello specifico i NAS QNAP:  dopo QSnatch e QNAPCrypt, i ricercatori di sicurezza hanno individuato, già in uso in attacchi reali, un nuovo ransomware chiamato AgeLocker. 

AgeLocker mira esclusivamente i dispositivi NAS QNAP, sempre più largamente usati per lo storage di grandi quantità di dati, ma anche per i backup. Insomma, un obiettivo molto ghiotto e sicuramente più facile da colpire rispetto a sistemi di storage e backup aziendali complessi. Il copione, come detto, non è nuovo: AgeLocker cripta i dati e richiede un riscatto, ma si premura anche di rubare tutti i dati salvati sul dispositivo al momento dell'attacco. 

Per la criptazione AgeLocker usa un algoritmo di criptazione poco utilizzato, chiamato Age (Actually Good Encryption), dal quale deriva il nome del malware stesso: è un algoritmo nato allo scopo di sostituire GPG nella criptazione di file, backup e flussi. I file criptati da questo ransomware sono facilmente individuabili: al momento della criptazione infatti, AgeLocker antepone un header testuale ai dati criptati, contenente l'URL age-encryption.org

Ancora aziende italiane sotto attacco: il Gruppo Carraro paralizzato mette in cassa integrazione 700 dipendenti

A causa di un attacco informatico, ancora di tipologia non confermata da fonti ufficiali, il Gruppo Carraro ha dovuto sospendere sia produzione che amministrazione negli stabilimenti di Campodarsego e Rovigo. In tutto l'azienda si è trovata costretta a mettere in cassa integrazione oltre 700 lavoratori: 500 dipendenti di Capodarsego e 200 lavoratori della divisione Agritalia di Rovigo. La cassa integrazione durerà per il periodo necessario al ripristino dei sistemi informatici, in un'azienda altamente automatizzata la cui attività è strettamente dipendente dai sistemi informatici. Lavoro sospeso anche per molti amministrativi, che a causa della pandemia Covid19, lavorano da mesi in remoto in regime di smart working. 

 «Tutti i lavoratori a casa, tranne una residua parte produttiva tornata al lavoro manuale a bordo linea» dichiarano dal sindacato Fim- Cisl di Padova. 

I danni però si sono verificati anche oltreoceano: il blocco produttivo ed amministrativo infatti ha finito per riguardare anche altre unità produttive del gruppo, in India, Cina e Argentina. 

ASTesla: l'analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

Come raccontato qualche giorno fa, tra i nuovi malware in diffusione in Italia, il CERT-AgID ha individuato quello che pare a tutti gli effetti un "parente" del già noto AgentTesla. Il nostro team di cyber sicurezza nazionale ha individuato per la prima volta questo nuovo malware in distribuzione in una email a tema DHL e scritta il lingua inglese: l'email conteneva un allegato dannoso con estensione .GZ dal nome DHL STATEMENT OF ACCOUNT – 1606411788.  Su questo malware il CERT-AgID ha pubblicato un apposito report consultabile qui: ne rendiamo i punti salienti. 

L'archivio è un file .RAR in realtà, che è effettivamente un formato più adatto a Windows: all'interno è contenuto un file eseguibile con lo stesso nome. L'immagine sotto mostra l'email oggetto di analisi da parte del CERT-AgID. 

Attacco ransomware contro Luxottica: interrotta produzione e logistica

La famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri, ha subito un cyber attacco che ha obbligato allo stop delle operazioni sia in Italia che in Cina. Parliamo della più grande azienda al mondo di occhiali, con oltre 80-000 dipendenti e che genera profitti per 9.4 miliardi l'anno. 

I primi effetti dell'attacco sono divenuti visibili Venerdì mattina scorso, quando alcuni utenti hanno iniziato a segnalare malfunzionamenti di siti web collegati come quello di Ray-Ban, di Sunglass Hut di EyeMed ecc... 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 18/09

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 18/09
Il Cert-AgID ha riscontrato e condotto analisi su circa 20 diverse campagne di attacco dirette contro utenti italiani, per le quali l'agenzia ha prodotto circa 307 indicatori di compromissione  (IoC). 

Tra i malware più individuati spicca Emotet, che è stato rilevato in distribuzione con ben 5 diverse campagne. E' stato quindi il malware più attivo questa settimana, diffuso col solito schema di distribuzione ovvero attraverso un file .doc contenente una macro dannosa. In alcuni casi il file Office è contenuto in archivio compresso ZIP. Il dato grave è che un repository dove è ospitato il malware è posizionato su un sottodominio compromesso appartenente ad una Pubblica Amministrazione. 

Qakbot, sLoad e Masslogger confermano una presenza sporadica e di poco rilievo, mentre la vera novità è l'individuazione di un nuovo malware che, dopo analisi, è ritenuto un'evoluzione del ben già noto AgentTesla: il Cert-AgID lo ha ribattezzato ASTesla proprio per le somiglianze con AgenTesla. Su questo malware il CERT-AgID ha prodotto un dossier di approfondimento, consultabile qui: ne pubblicheremo un breve sunto nei prossimi giorni. 

Le campagne di phishing della settimana 18/09

Attacco ransomware contro un ospedale in Germania porta alla morte di un paziente

Non che i ricercatori di sicurezza non avessero esplicitamente allertato rispetto a questo rischio, ma a tutt'oggi era ritenuta una possibilità piuttosto remota e comunque ancora non verificatasi: la realtà però, come spesso accade, supera anche le peggiori fantasie e, qualche giorno fa, si è registrato il primo morto "di ransomware". 

L'attacco e la vulnerabilità di Citrix
L'University Hospital Düsseldorf (UKD), in Germania, ha subito un attacco ransomware dopo che alcuni attaccanti sono riusciti a fare irruzione nella sua rete a causa di una vulnerabilità presente in un software add-on commerciale comunemente usato a livello globale. Stando all'agenzia di cybersecurity Bundesamt für Sicherheit in der Informationstechnik (BSI), gli attaccanti hanno sfruttato la vulnerabilità CVE-2019-19781 di Citrix ADC, già conosciuta e risolta nel Gennaio 2020. 

A seguito dell'attacco la rete interna è andata in down e la direzione ospedaliera si è trovata costretta a comunicare, nella tarda mattinata del 10 Settembre, la decisione di sospendere tutti i trattamenti programmati e ambulatoriali e di dirottare tutti i pazienti in condizioni gravi e critiche verso altri ospedali. I media tedeschi riferiscono anche che la polizia postale locale si è messa in contatto con gli attaccanti seguendo le indicazioni contenute nella nota di riscatto: hanno spiegato loro che l'obiettivo del cyber attacco era un ospedale e che la cosa stava pregiudicando e mettendo a rischio la salute e la vita di molte persone. La polizia infatti ha inizialmente pensato ad un errore, dato che le note di riscatto rilasciate su tutti i server criptati erano indirizzate alla Heinrich Heine University. Dopo i contatti con la polizia, gli attaccanti hanno ritirato la richiesta di riscatto (ammontante a circa 900.000 euro in Bitcoin) e fornito la chiave di decriptazione, cosa che ha permesso all'ospedale di tornare lentamente alla normalità. 

Una donna è morta: si può parlare di omicidio?

Doppia estorsione sempre più diffusa: il ransomware LockBit lancia il proprio sito per i data leak

Il gruppo di attaccanti che ha sviluppato il ransomware LockBit ha lanciato da pochissimi giorni il proprio sito di leak, aggiungendosi quindi all'elenco delle famiglie ransomware che hanno optato per la strada della doppia estorsione: riscatto per riportare in chiaro i file criptati e secondo riscatto per non diffondere i dati rubati prima della criptazione.

Questo sistema di doppio ricatto è l'ennesima rivoluzione nel mondo dei ransomware e origina dalla decisione, operata dalla gran parte dei gestori delle più critiche famiglie di ransomware a partire dal 2019, di non limitarsi alla criptazione dei dati, ma di procedere prima al furto degli stessi da usare poi come ulteriore strumento di pressione sulle vittime sotto minaccia di pubblicazione. 

Il sito di leak di LockBit circola da qualche giorno ed è stato postato su alcuni forum di hacking russi: ecco come appare

Il governo inglese pubblica un utile toolkit per la procedura di divulgazione delle vulnerabilità

Il National Cyber Security Center (NCSC) ha pubblicato una serie di linee guida per aiutare le aziende a implementare un processo quanto più efficace possibile per la segnalazione delle vulnerabilità. Chiamato "The Vulnerability Disclosure Toolkit", il documento sottolinea e spiega l'importanza che assume per le aziende di qualsiasi dimensione l'implementazione di un meccanismo responsabile di "caccia e segnalazione" dei bug. 

Una procedura di individuazione e segnalazione celere delle vulnerabilità ha oggi perfettamente senso, considerando che una fetta veramente importante degli attacchi informatici riescono proprio  a causa di problematiche di sicurezza: non a caso i ricercatori di sicurezza individuano costantemente nuovi bug. Il problema è che, spesso, è molto difficoltoso riuscire a segnalare un bug e sono necessari non pochi sforzi per trovare un contatto che possa realmente approntare una patch e risolvere il problema. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 11/09
La scorsa settimana il CERT-AgID ha individuato 13 campagne di attacco contro utenti italiani, per i quali l'agenzia ha prodotto ben 321 indicatori di  compromissione (IoC). Tra i malware, i più attivi della settimana sono stati FormBook e MassLogger. 

MassLogger è un keylogger molto diffuso, acquistabile da chiunque nel dark web alla modica cifra di 45 dollari per una licenza a vita. Questo lo ha reso un malware molto gettonato, uno strumento conveniente ma molto efficace nel furto di dati, sopratutto di dati sensibili e credenziali di accesso. E' distribuito via email, tramite apposite campagne di phishing. Qui è disponibile un approfondimento del CERT-AgID

E' in corso una guerra tra cybercriminali per il controllo di più di 300.000 siti WordPress vulnerabili

Diversi gruppi di cyber attaccanti stanno attivamente sfruttando una vulnerabilità critica di esecuzione codice da remoto che riguarda oltre 300.000 siti WordPress che eseguono versioni vulnerabili del plugin File Manager. Una volta ottenuto il controllo di un sito vulnerabile, gli attaccanti si preoccupano di metterlo al sicuro da ulteriori attacchi: una modalità piuttosto inusuale, ma un chiaro segno del fatto che è in corso una vera e propria guerra tra cyber criminali per ottenere il controllo di quanti più siti WordPress vulnerabili possibili impedendone l'accesso ad altri attori. 

La vulnerabilità in questione consente ad un attaccante non autenticato di caricare file dannosi PHP ed eseguire codice dannoso dopo la violazione della falla: il team di sviluppatori di File Manager ha già risolto il problema col rilascio della versione 6.9 del File Manager (se hai un sito WordPress che esegue il File Manager consigliamo il passaggio a questa versione prima possibile). 

La falla è stata corretta pochissime ore dopo che gli sviluppatori sono stati informati del problema: la falla era infatti una 0-day, segnalata dal ricercatore Ville Korhnen che stava conducendo analisi sugli attacchi in corso. Il team di Wordpress ha comunque individuato più di 1.7 milioni di siti web esaminati da vari autori di malware e attacchi informatici tra il 1 e il 3 settembre 2020. In un report sulla questione recentemente aggiornato, l'azienda di sicurezza Defiant ha spiegato che gli attaccanti non hanno affatto cessato l'assedio, anzi il numero totale dei siti web WordPress potenzialmente attaccabili è salito a 2.6 milioni. 

Qualche dettaglio sull'attacco in corso

Tor Vergata: attacco ransomware contro l'Università colpisce le ricerche sul Covid e blocca la didattica a distanza

La notizia è di ieri: l'Università di Tor Vergata a Roma, uno dei principali atenei d'Italia, è stata vittima di un attacco ransomware. L'intrusione nei sistemi dell'ateneo è avvenuta Venerdì sera a partire da un server, poi gli attaccanti sono riusciti ad espandere la loro presenza nella rete e a diffondere un ransomware. Finiscono criptati materiale didattico e di ricerca, compresi tutti i materiali relativi a ricerche e terapie per la cura del Covid19, ma l'attacco obbliga anche al blocco delle attività di didattica a distanza. In pratica sono finiti criptati tutti i materiali presenti sui dischi rigidi, ma anche nel sistema in cloud: oltre 100 i computer compromessi, incalcolabile il numero di dati sensibili e personali che è stato violato, anche se non c'è ancora certezza che i dati siano stati rubati prima di finire criptati. Non è stata neppure avanzata, almeno per ora, alcuna richiesta di riscatto. 

Compromessi gli e-commerce della Warner Music: probabile furto di carte di credito

La Warner Music Group (WMG) ha scoperto un data breach che ha riguardato le informazioni personali e finanziarie di decine di store e-commerce statunitensi: i siti e-commerce sono stati violati nell'Aprile 2020 con quello che sembra, a tutti gli effetti, un attacco MageCart. Il rischio quindi di aver subito il furto di dati personali e finanziari riguarda quindi milioni di utenti, non solo statunitensi: la WMG ha avvertito che tutti coloro che hanno inserito informazioni sui loro store online possono aver subito il furto dati ad opera di una terza parte non autorizzata e tutt'ora sconosciuta. 

MageCart:  cos'è in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantochè la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero "il carrello dei maghi". 

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot ecc...) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell'attacco, tecnicamente definito come "web skimming": il Javascript resta attivo sull'e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poichè le violazioni MageCart sono molto difficili da individuare. 

Gli store Warner Music compromessi da Aprile

Windows 10: risolto il bug che accorciava la vita degli SSD

Microsoft ha risolto un bug nella funzione Ottimizza Unità della versione 2004 di Windows 10 che causava la deframmentazione troppo frequente dei drive SSD. Il problema è stato individuato nel Giugno 2020 assieme ad un ulteriore problema dello stesso tool di manutenzione, ovvero l'uso da parte del comando TRIM anche sui drive non SSD (hard disk), che non supportano questo tipo di operazioni. 

Windows 10 smemorato
Se l'uso del comando TRIM su unità non SSD si risolve in un errore del Visualizzatore Eventi, l'altro bug invece faceva si che la funzione di Manutenzione Automatica eseguisse troppo spesso, più di quanto necessario, il defrag dell'SSD. 

La funzione di Manutenzione Automatica esegue varie operazioni di manutenzione con cadenza dipendente dalla calendarizzazione impostata sul sistema operativo. Tra le varie operazioni, c'è anche quella di ottimizzazione (deframmentazione e Trim), la verifica di eventuali update, varie scansioni di sicurezza e altre tipologie di diagnosi del dispositivo e dei software. 

Solitamente Windows 10 esegue il defrag dei dischi SSD una volta al mese, ma appunto il bug causava il defrag ad ogni riavvio di Windows: la funzione di Manutenzione Automatica infatti non ricordava la data dell'ultima ottimizzazione, quindi avviava una deframmentazione ad ogni riavvio comportando una drastica riduzione della longevità delle unità SSD. Il bug è stato riportato da alcuni utenti, alcuni dei quali hanno denunciato guasti, in alcuni casi irrisolvibili, alle unità SSD: in particolare gli utenti notavano come, pur vedendo salvata correttamente la data dell'ultima manutenzione sui dischi, il tool mostrasse comunque tutti gli SSD come impostati su "Ottimizzazione necessaria". 

Il bug è stato risolto

Ransomware: gli exploit più usati sono i bug delle VPN, ma gli attacchi RDP restano sul podio

Per tutta la prima parte del 2020 gli attacchi ransomware contro le aziende si sono mantenuti a livelli costantemente alti. Per quanto ogni gruppo ransomware operi secondo un proprio set di competenze, la maggior parte degli attacchi ransomware nel primo trimestre del 2020 può essere attribuita ad un numero ridottissimo di vettori di intrusione. 

Tra i primi tre metodi di intrusione più utilizzati troviamo gli endpoint RDP non protetti, le email di phishing e gli exploit di applicazioni VPN aziendali. 

RDP: ancora sul podio
Sul gradino più alto del podio dei vettori usati per attacchi ransomware troviamo il Remote Desktop Protocol (RDP).  I dati provenienti dal report di Coveware, azienda specializzata in risposta agli attacchi ransomware e nella negoziazione con gli attaccanti, parlano chiaro: l'RDP è il punto di ingresso più comunemente sfruttato negli attacchi ransomware avvenuti quest'anno. 

DarkSide: ecco il nuovo ransomware che colpisce solo le aziende

E' stata individuata una nuova famiglia di ransomware, chiamata DarkSide: come ogni ransomware "che si rispetti", quelli del calibro di Conti, Ryuk e Maze per capirsi, è pensato per eseguire attacchi mirati contro le aziende e richiedere poi riscatti milionari. 

Le operazioni di diffusione sono iniziate attorno al 10 Agosto 2020 e sono state annunciate a "mezzo stampa": il gruppo di cyber attaccanti ha infatti pubblicato, pochi giorni prima dell'avvio delle operazioni, un comunicato stampa nel quale gli autori si affermano di essere esperti di operazioni ransomware, avendo già "lavorato" nel settore con proventi milionari. Non trovando però un RaaS che soddisfacesse appieno le loro esigenze, gli attaccanti hanno optato per sviluppare in proprio la nuova arma: nasce così DarkSide. Nel comunicato viene anche puntualizzato che DarkSide colpirà solo ed esclusivamente le aziende, confermando che i tempi degli attacchi ransomware di massa sparati nel mucchio degli utenti finali sono davvero agli sgoccioli. 

La Tesla di Elon Musk si salva da un attacco ransomware grazie ad un dipendente fedele

I numeri ne danno conferma schiacciante: una fetta importante dei cyber attacchi ha successo a causa dell'errore umano. Non a caso, c'è un vecchio detto nella comunità dei ricercatori di sicurezza: l'anello debole della cyber sicurezza sta tra il pc e la sedia. Questo però è il caso in cui, al contrario, la fedeltà di un singolo dipendente ha salvato un'azienda del peso della Tesla di Elon Musk dal subire una gravissima infezione ransomware. 

Il dipendente, che opera nella Gigafactory di Sparks in Nevada, è stato contattato da un cyber attaccante di origine russa: il tentativo era di convincerlo a iniettare un malware nella rete aziendale, un ransomware appunto. Una volta criptati i file, l'attaccante avrebbe avanzato una gigantesca richiesta di riscatto, minacciando anche la pubblicazione dei dati rubati: al dipendente sarebbe stata riservata una percentuale del riscatto per l'aiuto prestato. Il sospetto attaccante si chiama Egor Igorevich Kriuchkov ed è stato arrestato dall'FBI qualche giorno fa, dopo aver tentato una precipitosa fuga lontano dagli Stati Uniti. 

Aumentano i casi della "truffa del Ceo" in Italia: i consigli degli esperti dello Csirt

Lo CSIRT italiano lancia l'allarme riguardo ad una tipologia di attacco molto particolare, detta "truffa dl CEO": l'allarme viene in conseguenza dell'evidente aumento nel nostro paese del numero di questi attacchi. Lo CSIRT spiega che "È stata recentemente rilevata un’intensificazione delle attività cyber malevole note come “truffa del CEO” ai danni di importanti aziende e amministrazioni pubbliche italiane". 

La truffa del CEO in breve
Per descriverla in breve, la truffa del CEO è una tipologia di attacco di phishing nella quale un attaccante impersona un dirigente dell'azienda o pubblica amministrazione inviando una comunicazione, solitamente via email, ad un dipendente abilitato al trasferimento di fondi affinchè questi esegua un bonifico urgente. L'urgenza è solitamente ben ribadita sia nell'oggetto che nel corpo email ed è, questa, una comunissima forma di ingegneria sociale: il senso di urgenza riduce l'attenzione del destinatario e lo porta ad eseguire azioni senza raccoglie troppe informazioni di contesto e senza verificare la legittimità della comunicazione. In inglese questa tecnica di attacco è conosciuta come BEC, ovvero "Business Email Compromise". Nell'immagine sotto un esempio di truffa BEC riportato direttamente dallo CSIRT.