giovedì 22 ottobre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 16/10
Il CERT-AgID ha individuato e analizzato 23 campagne dannose attive contro utenti italiani. 284 gli Indicatori di Compromissione messi a disposizione, disponibili sul sito ufficiale CERT-AgID.

Tra i malware più individuati troviamo, al primo posto, MassLogger, che è stato veicolato con due diverse campagne, uno a tema Pagamenti e uno a tema Contatti. 

Al secondo posto Dridex, anch'esso distribuito con due campagne, praticamente contemporanee, Mercoledì 14 Ottobre. Una delle campagne era a tema Delivery, l'altra a tema Pagamenti: si conferma il formato .xlsm come il vettore di attacco più utilizzato da Dridex. 

mercoledì 21 ottobre 2020

Luxottica ancora sotto ricatto: il team del ransomware Nefilim pubblica alcuni dati rubati

Lo scorso mese abbiamo riportato la notizia di un attacco ransomware subito dalla famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri. L'attacco ransomware aveva determinato malfunzionamenti ai siti web di Luxottica e collegati, come i siti web di Ray-Ban e Sungluss Hut, di alcuni portali interni e il blocco della produzione e della logistica. Il 22 Settembre Nicola Vanin, Information Security Manager di Luxottica, aveva confermato l'attacco con un post su Linkedin. 

Ieri l'esperto di cybersicurezza italiano Odisseus, ha dato notizia tramite il proprio profilo Twitter del fatto che il gruppo di attaccanti responsabili del ransomware Nefilim ha pubblicato una lunga lista di file che appartengono a Luxottica. 

martedì 20 ottobre 2020

Le nuove varianti del malware botnet Mirai riportano l'attenzione sulla sicurezza dei dispositivi IoT

I dispositivi IoT compromessi hanno rappresentato uno dei pericoli maggiori alla cybersecurity per i primi due trimestri del 2020, a causa del loro utilizzo in attacchi DDoS sempre più devastanti e massivi. 

L'avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, quindi gli attaccanti hanno dovuto puntare ad aumentare il numero di quelli infetti. A titolo esemplificativo ricordiamo l'attacco DDoS più rilevante nella storia recente, quello contro GitHub: sono state registrate 290.000 richieste al minuto per 13 giorni consecutivi. Hanno partecipato all'attacco più di 400.000 dispositivi IoT infetti. 

Centinaia di migliaia di dispositivi quindi, anche se meno potenti rispetto a server e pc, sono infettati quindi inseriti nella botnet e comandati da remoto affinchè producano attacchi DDoS coordinati: gioco facile per gli attaccanti, più che attaccare server e pc, dato l'ormai annoso problema della scarsissima sicurezza informatica degli IoT. E se consideriamo che dati recenti quantificano in 22 miliardi il numero di IoT presenti nel mondo, con un mercato in costante crescita che dovrebbe raggiungere i 41,6 miliardi di dollari nel 2025, si capisce velocemente come questa minaccia possa trasformarsi in un incubo nel giro di pochi anni. 

La botnet Mirai
Molte delle minacce contro i dispositivi IoT sono varianti basate sul famigerato malware Mirai (ne abbiamo già parlato qui, qui e qui) che esiste già da qualche anno ma il cui impatto si è fatto significativo a partire dal 2016, quando iniziò ad infettare centinaia di migliaia di router e videoregistratori

lunedì 19 ottobre 2020

Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale

Qualche giorno fa abbiamo dato notizia dell'attacco che Microsoft, a capo di una coalizione di ISP, esperti di cyber sicurezza e CERT nazionali, ha portato contro la famigerata botnet TrickBot. Ritenuta una minaccia aperta per le venture elezioni negli Stati Uniti, TrickBot e la sua intera infrastruttura sono stati oggetto di studio da parte di Microsoft che, una volta presentati i dati, ha ottenuto dal United States District Court for the Eastern District of Virginia l'autorizzazione necessaria per passare al contrattacco e smantellare la botnet. 

Dalle prime dichiarazioni di Microsoft il risultato sembrava essere stato pienamente raggiunto, ma analisi successive e dati telemetrici hanno indicato come la botnet sia sopravvissuta al tentativo di takedown. 

I server di comando e controllo di Trickbot e tutti i domini che sono stati messi offline la scorsa settimana sono già stati sostituiti: in pochissime ore cioè l'intera infrastruttura di Trickbot è stata sostituita. Aziende e ricercatori di sicurezza che monitorano da tempo l'attività di Trickbot hanno dichiarato che gli effetti del takedown sono stati "temporanei e limitati": molti però gli elogi per Microsoft e partner, per lo sforzo e il tentativo indipendentemente dai risultati effettivi.

Alcune fonti interne alla coalizione che ha messo sotto attacco la botnet hanno spiegato che fin dall'inizio era esclusa la possibilità di ottenere lo shut down totale della infrastruttura: la cosa sarebbe provata anche dal fatto che la campagna anti TrickBot già prevede dei passaggi da ripetere, come la messa in down dei nuovi domini. Insomma, gli esperti della coalizione si aspettavano già una pronta risposta da parte degli attori dietro a TrickBot, al punto da aver già previsto alcune mosse da giocare non appena gli attaccanti avessero rimesso online l'intera infrastruttura. Sono centrali, da questo punto di vista, le parole di Tom Burt di Microsoft: "come abbiamo già visto nel corso di precedenti operazioni, i risultati di uno shut down globale che coinvolge più partner si manifestano in più fasi. Abbiamo già previsto che gli operatori di TrickBot tenteranno di riavviare le proprie operazioni. Se necessario quindi adotteremo ulteriori misure tecniche e legali per fermali".

giovedì 15 ottobre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 09/10
La scorsa settimana il CERT-AgID ha individuato e analizzato 33 campagne dannose attive nello scenario italiano e rivolte contro utenti italiani: 224 sono gli indicatori di compromissione (IoC) messi a disposizione. 

Ursnif è stato il malware più individuato, distribuito con ben 4 diverse e massive campagne di email di spam: tra queste, due erano a tema INPS mentre due imitavano comunicazioni del corriere Bartolini. Gli allegati usati in tutte le quattro campagne erano in formato XLS e XLSm. Nell'analisi di queste campagne, gli esperti del CERT si sono imbattuti in alcune interessanti peculiarità. 

mercoledì 14 ottobre 2020

Microsoft assedia e sconfigge TrickBot: 'è un rischio per le elezioni USA'

Non è la prima volta che Microsoft decide di passare all'azione per combattere il cybercrime in prima persona, attaccando direttamente i cyber attaccanti. Nel Marzo di quest'anno Microsoft ha preso il controllo della botnet Necurs, responsabile dell'invio di 3.8 milioni di messaggi di spam contro oltre 46 milioni di target in appena 50 giorni di analisi. Nei primi giorni di Luglio di quest'anno, invece, Microsoft ha annunciato con un dettagliato report di aver effettuato e concluso una vasta campagna di attacco per prendere il controllo e mettere offline una serie di domini usati in quel periodo per lanciare massivi attacchi di phishing, la maggior parte dei quali a tema Covid. 

Da pochi giorni si è conclusa un'altra operazione simile, avente come obiettivo principale quello di smantellare la botnet TrickBot e l'intera infrastruttura dedicata alla sua gestione. 

Per iniziare: TrickBot in breve
Abbiamo parlato spesso di TrickBot, sopratutto da quando, a partire dallo scorso anno ha iniziato a fare "coppia fissa" col ranomsware Ryuk e ad essere diffuso piuttosto regolarmente anche in Europa (italia compresa). TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.  

martedì 13 ottobre 2020

Nuovo ransomware colpisce i Nas QNAP anche in Italia: arriva Solve

Per ora non ci sono molte informazioni: questo ransomware è stato segnalato direttamente da utenti vittime meno di un mese fa. E' però utile segnalarlo, perchè stiamo ricevendo richieste di assistenza al nostro servizio di decriptazione https://www.decryptolocker.it da parte di utenti italiani. 

Il ransomware è stato ribattezzato Solve prendendo spunto dalla nota di riscatto che lascia nelle cartelle contenenti i file criptati, ovvero "SOLVE ENCRYPTED FILES.txt". Dalle segnalazioni per ora ricevute mira principalmente i NAS: la quasi totalità delle vittime, ad ora, hanno subito l'infezione su NAS QNAP. 

Qualche dettaglio tecnico
Il ransomware Solve cripta i dati degli utenti con l'algoritmo AES256, mentre la chiave è protetta da algoritmo RSA. Richiede in riscatto circa 400 dollari in Bitcoin: un riscatto molto basso rispetto a quelli a cui siamo attualmente abituati e il fatto dipende dall'evidenza che questo ransomware non è pensato per attacchi mirati contro grandi aziende, ma contro utenti home e piccoli uffici o aziende. E' scritto in linguaggio GO ed sembra ottimizzato per sistemi Linux. 

L'estensione che Solve aggiunge al nome dei file criptati è .encrypted

lunedì 12 ottobre 2020

Gli allegati email più usati per infettare Windows

L'esperto di cyber sicurezza Lawrance Abrams ha pubblicato una breve guida sugli allegati email che sono comunemente usati per colpire il sistema operativo Windows: ormai, spiega nel testo, è necessario che tutti abbiano la capacità di riconoscere almeno i più comuni schemi di attacco di phishing via email e gli allegati dannosi più usati. Come abbiamo infatti scritto spesso, gli antivirus e le soluzioni di sicurezza non sono bastanti a sé stesse: l'anello debole della catena della sicurezza informatica resta infatti l'utente, che può essere convinto con l'inganno ad eseguire una macro o collegarsi ad un dominio compromesso, scavalcando anche gli alert che le soluzioni di cybersecurity possono mostrare. Insomma la consapevolezza dell'utente è e rimane una componente essenziale della cybersecurity. 

La catena di attacco
Pur differendo nei temi, questa tipologia di attacco si ripete con uno schema comune e consolidato: che si parli di fatture, invii, ritardi nei pagamenti, informazioni di spedizione, verifiche amministrative, protocolli sanitari anti Covid, verifica account poco conta. L'email di phishing classica ha un oggetto e testo finalizzati solo a convincere l'utente al download e all'apertura di un allegato compromesso, molto spesso in formato Word o Excel, oppure al clic su un link che consente il download degli stessi allegati dannosi. Se l'utente attiva la macro contenuta, si avvia l'infezione.

Prima di eseguire una macro in Word o Excel, Office chiede conferma all'utente, invitandolo a cliccare su "Modifica contenuti" o "Abilita macro",  con uno specifico alert di sicurezza

Questo passaggio di sicurezza, creato appositamente per allertare l'utente, è un ostacolo per gli attaccanti: questo è il motivo per il quale molti di questi documenti mostrano testo o immagini che indicano un problema di visualizzazione. Per risolvere questo fantomatico problema di visualizzazione, l'utente dovrebbe approvare la macro: una tecnica truffaldina che però ha grande successo.

giovedì 8 ottobre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 02/10
Il CERT-AgID ha individuato circa 20 campagne dannose contro utenti italiani: sono circa 394 gli indicatori di compromissione (IoC) pubblicati. Per gli IoC rimandiamo al sito web ufficiale del CERT-AgID.

Il malware più diffuso è stato Dridex, dominatore indiscusso della settimana con più campagne in inglese, ma veicolate in Italia. La particolarità è che il CERT ha riscontrato due somiglianze con le campagne di diffusione di Emotet: l'uso di file .doc contenenti macro dannose come vettore del malware e la stessa codifica PowerShell del payload. 

  • Dridex in breve:
    è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E' pensato per il furto dati e dellE credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware. 

mercoledì 7 ottobre 2020

Ransomware: una infezione, tripla estorsione. L'attacco DDoS usato come ulteriore livello di ricatto

Già da tempo abbiamo dato risalto al cambiamento di strategia dell'universo ransomware: attenzione che si è spostata dalle vittime home user alle aziende (capaci di pagare riscatti ben più alti) e doppia estorsione, ovvero un riscatto per poter riportare in chiaro i file criptati e un riscatto per scongiurare la pubblicazione dei dati rubati al momento dell'ingresso in rete degli attaccanti. 

La novità, che indica chiaramente come il cybercrime abbia deciso di alzare ulteriormente il tiro contro le proprie vittime, è stata scoperta e denunciata da Malware HunterTeam: gli attori dietro al ransomware SunCrypt hanno aggiunto un terzo livello di estorsione, collegato ad attacchi DDoS

In dettaglio, gli attori di SunCrypt per la prima volta hanno lanciato un attacco DDoS contro il sito dell'azienda sotto ricatto, per convincere i suoi dirigenti a sedere al tavolo delle trattative. Gli attaccanti hanno deciso di ricorrere a questo ulteriore livello di attacco quando le trattative con la vittima si sono arenate. La vittima, loggando sul sito Tor per il pagamento, visualizzava un messaggio con il quale gli attaccanti la avvisavano di aver lanciato un attacco DDoS che sarebbe continuato fino alla riapertura delle trattative. 

"Al momento il tuo sito web è down in conseguenza agli sforzi dei nostri tecnici. Sei pregato di inviarci un messaggio prima possibile o prenderemo ulteriori provvedimenti", questo l'avviso degli operatori di SunCrypt. 

Stando alla ricostruzione di MalwareHunterTeam, l'azienda bersaglio (il cui nome è stato giustamente omesso dai report) ha chiesto spiegazioni sul perchè di un attacco DDoS, dato che questa modalità è del tutto inusuale per i ransomware, almeno per i modelli di attacco per ora consueti. La risposta degli sviluppatori di SunCrypt è stata chiarissima: l'attacco DDoS è stato condotto al mero scopo di forzare le trattative per il pagamento. 

lunedì 5 ottobre 2020

Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi

L'alert viene dai ricercatori di sicurezza di Mitiga, azienda di cybersicurezza: un gruppo di cyber attaccanti specializzato in truffe del tipo BEC (Business Email Compromise) è riuscito a racimolare circa 15 milioni di dollari colpendo più di 150 aziende in giro per il mondo in pochissimi mesi. Tutto questo utilizzando sempre lo stesso schema e nonostante gli alert (sia da parte delle Authority nazionali competenti sia da parte di privati) che, pur essendo sempre più ricorrenti, non sono ancora riusciti a creare la giusta consapevolezza intorno a questa tipologia di attacco. 

La truffa BEC in breve
Per truffa BEC si intende una tipologia di cyber truffa che viene portata esclusivamente contro aziende. Gli attaccanti falsificano o compromettono gli account aziendali di dirigenti o dipendenti di alto livello che hanno accesso alle finanze aziendali e sono abilitati ad eseguire bonifici bancari, per sfruttarli al fine di far eseguire pagamenti truffaldini. Gli account aziendali vengono compromessi con attacchi di phishing o con keylogger, ma non è affatto raro che vengano anche appositamente creati sfruttando le informazioni personali rintracciabili sul web della persona che gli attaccanti vogliono impersonificare. 

Lo schema classico prevede che gli attaccanti inviino dall'account email compromesso / falso di un dirigente (spesso il CEO aziendale) all'account di un dipendente abilitato ad eseguire bonifici, una email in cui viene richiesto di eseguire urgentemente un pagamento verso un soggetto terzo. Il dipendente che non riconosce la truffa, finisce per eseguire bonifici su conti anonimi collegati agli attaccanti e molto spesso è assai difficile, se non quasi impossibile, rintracciare quei soldi.

venerdì 2 ottobre 2020

Arriva la rete europea di risposta rapida ai cyber incidenti: ecco CyCLONe.



“Cyber Crisis Liaison Organisation Network”, ovvero CyCLONe: si chiamerà così la rete creata per rispondere in maniera tempestiva ed efficace ad ogni tipologia di attacco informatico che dovesse colpire o coinvolgere uno qualsiasi dei paesi membri UE. La rete è stata lanciata in occasione della 2° edizione di un'esercitazione di cyber security a livello operativo chiamata Blue OLEx promossa dall'ENISA (l'Agenzia Europea per la cyber security) e dalla Commissione Europea.


“Le crisi informatiche non hanno confini. L’Agenzia dell’UE per la cibersicurezza è impegnata a sostenere l’Unione nella risposta agli incidenti informatici. È importante che le cyber agenzie nazionali si uniscano per coordinare il processo decisionale a tutti i livelli. Il gruppo CyCLONe vuole essere questo anello mancante”
, queste le parole con cui Juhan Lepassaar, direttore esecutivo dell’ENISA, ha commentato la nascita di CyCLONe. 

giovedì 1 ottobre 2020

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 25/09

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 25/09
Anche questa settimana è Emotet il malware più attivo. E' stato distribuito a cadenza praticamente giornaliera con campagne principalmente a tema sanità o pagamento fatture: lo schema è sempre lo stesso, ovvero l'uso di documenti Office .doc contenenti macro dannosa. In alcuni casi il documenti era contenuto in archivio .ZIP protetto da una password indicata nel corpo email. 

Al secondo posto dei malware più attivi troviamo Ursnif, diffuso con più campagne. Tra queste, una è stata molto più intensa delle altre, ovvero quella a tema Agenzia delle Entrate.