Conoscere il passato, prepararsi al futuro: riepilogo delle campagne di attacco nell'ultimo quadrimestre in Italia (e non solo)

C'è aria di Capodanno e, nonostante tutte le difficoltà di questo 2020, la lista dei buoni propositi sarà già nel cassetto. La nostra grande speranza è che in questa lista la cybersecurity occupi un posto di rilievo, perché sarebbe probabilmente imperdonabile non cogliere i segnali che questo anno ci ha mandato e lasciare tutto così, come nulla fosse, affrontando un 2021 che si preannuncia un vero e proprio campo di (cyber) battaglia. Le notizie di hacking, data breach e data leak si susseguono a velocità impressionante e quindi, per chiudere l'anno, pensiamo sia utile una panoramica di quel che è recentemente successo nel mondo e, più in dettaglio, negli ultimi 4 mesi in Italia. 

Nessuna volontà allarmistica, nessuna intenzione di peggiorare la realtà per instillare ansia e paura: al contrario la consapevolezza della realtà, la conoscenza del recente passato sono quegli strumenti necessari ad organizzare il futuro e non fare come, purtroppo, succede spesso ovvero affrontare i disastri quando ormai è già tardi. Sapendo che quella contro il cybercrime è una lotta complessa, ma non una battaglia impossibile e non è più neppure rimandabile: la digitalizzazione è irrimandabile ed è compito di tutti (aziende e home user) creare un cyberspazio più sicuro possibile.

La panoramica si divide in due, una prima breve lista degli attacchi più recenti (e più importanti) avvenuti nelle ultime settimane e un breve riassunto del report che il nostro Cert-AgID ha pubblicato riepilogando le campagne che hanno interessato l'Italia nell'ultimo quadrimestre. 

La "Top hacking" di Dicembre
Evitando di ripercorrere la vicenda del gravissimo attacco di cyberspionaggio che ha riguardato Solarwind (che merita una narrazione a parte, ne abbiamo accennato qui e qui ), gli ultimi giorni sono stati un vero e proprio stillicidio. 

- Il ransomware Nefilim "buca" la Whirpool
Whirpoool, proprietaria anche di KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit ha subito un attacco ransomware da parte del gruppo di cybercriminali dietro a Nefilim. La riuscita dell'attacco è già stata confermata dalla pubblicazione, nel relativo sito di leak, di una parte dei dati rubati tra i quali documenti relativi ai benefit degli impiegati, informazioni mediche, protocolli interni ecc...

Emotet is back: massiccia campagna mondiale di malspam ruba contatti email, credenziali e diffonde il trojan Trickbot

La quantità di truffe, cyber attacchi (di phsihing, ransomware, DDoS ecc..)  e data breach registrati durante questo periodo natalizio è stata altissima: è praticamente impossibile elencarli tutti, ma tra questi una specifica campagna di malspam merita attenzione sia per l'estesione (a livello globale) della sua diffusione sia per i suoi "protagonisti" ovvero la botnet Emotet e il trojan Trickbot. 

Dopo due mesi di silenzio completo infatti, durante i quali i ricercatori non hanno individuato alcuna attività proveniente dalla botnet, Emotet è tornata a farsi vivo proprio la sera della Vigilia di Natale con un payload aggiornato. Alla prima analisi è risultato che 

"le modifiche apportate al payload dannoso distribuito via email sono finalizzate ad aiutare Emotet ad evadere l'individuazione non solo da parte delle vittime, ma anche delle difese di rete. A parte questi aggiornamenti, il targeting, le tattiche e i payload secondari sono rimasti invariati rispetto ai precedenti periodi di attività (di Emotet)". Questo è quanto si legge nel report dei ricercatori di Cofense, che hanno pubblicato una dettagliata analisi di questa campagna, disponibile qui.

Questo improvviso ritorno in attività della botnet non ha, in realtà, sorpreso i ricercatori poiché la botnet Emotet è si la più prolifica infrastruttura nell'invio di email dannose quando è attiva, ma ha anche sempre mostrato lunghi e regolari periodi durante i quali rimane completamente dormiente. In questo 2020, ad esempio, uno dei periodi di inattività è durato da Febbraio a metà Luglio: una delle pause più lunghe mai osservate riguardo alla botnet Emotet. Da Luglio ad Ottobre 2020 la botnet è tornata in attività, poi di nuovo in dormienza fino, appunto alla Vigilia di Natale. 

Nell'immagine sotto è visibile una delle (tante) email di spam collegate alle campagne di questi giorni:

Cyber Warefare: attacco a SolarWinds, spunta una seconda backdoor (Supernova) appartenente ad attori diversi dalla prima

Nel corso delle indagini sull'attacco alla supply-chain di SolarWinds Orion , i ricercatori di sicurezza hanno scoperto, incredibilmente, una seconda backdoor che, quasi sicuramente, appartiene ad un secondo attore, diverso dal primo gruppo di attaccanti. 

Per approfondire >> Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain.

Ribattezzato Supernova, il malware altro non è che una webshell inserita nel codice della piattaforma di monitoraggio delle reti e delle applicazioni Orion e consente ad una terza parte non autorizzata la possibilità di eseguire code arbitrario sulle macchine, avviando la versione trojanizzata del software. 

La webshell è una variante trojanizzata della libreria legittima .NET (app_web_logoimagehandler.ashx.b6031896.dll) presente nel software Orion, che è stata modificata in maniera tale da riuscire ad evadere i meccanismi automatici di difesa delle reti attaccate. Non solo, stando al report tecnico pubblicato da Palo Alto Network la scorsa settimana, il malware potrebbe sfuggire anche a tentativi di analisi manuale, poiché il codice implementato nella DLL legittimo è innocuo e "relativamente di alta qualità". 

"La peculiarità di Supernova è, drammaticamente, quella di prendere un valido programma .NET come parametro. Classe, metodo, argomenti e dati nel .NET sono compilati ed eseguiti in memoria. Non vengono scritti sul disco ulteriori artefatti forensi, a parte stage webshell low-level e non c'è neppure bisogno di ilteriori richieste alla rete a parte la richiesta C2 iniziale. In parole semplici, gli attaccanti hanno costruito una API .NET praticamente invisibile, integrata direttamente in un binario Orion il cui utente è, in genere, altamente privilegiato e posizionato con un altro grado di visibilità entro la rete aziendale" si legge nel report di Palo Alto Network. In questa maniera gli attaccanti possono inviare codice arbitrario ai dispositivi infatti ed eseguirli nel contesto dell'utente. 

Google: ecco le spiegazioni ufficiali del down mondiale di Youtube, Gmail e tutti gli alti servizi

Google ha finalmente dichiarato, in maniera ufficiale, le motivazioni dietro al down mondiale subito dal loro sistema di autenticazione: down che ha riguardato praticamente tutti gli utenti di questi servizi lo scorso Lunedì. La causa è da  rintracciarsi in un problema interno con la quota storage che ha determinato un interruzione di 45 minuti al sistema di autenticazione. In parole semplici, il fallimento del sistema di autenticazione ha impedito agli utenti di poter fare login nei propri account e accedere ai servizi in Cloud. 

Il risultato, come sappiamo, è stato l'impossibilità di accedere per qualche ora a Gmail, Youtube, Google Drive, Google Maps, Google Calendar e moltissimi altri servizi Google. In dettaglio, gli utenti non potevano inviare email tramite l'app mobile di Gmail o ricevere email via POP3 per il client desktop, mentre gli utenti di Youtube hanno visualizzato un errore "There was a problem with the server (503) - Tap to retry."

L'impatto del down e le cause

Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain.

E' di qualche giorno fa la notizia dell'individuazione di una massiccia campagna di cyberspionaggio contro numerose agenzie governative e organizzazioni pubbliche e private statunitensi in tutto il mondo. L'attacco è condotto distribuendo un malware tramite la supply chain degli aggiornamenti della suite Orion di SolarWinds. L'attacco ha permesso la sottrazione di molteplici informazioni riservate, sia tra agenzie federali che comunicazioni interne ai dipendenti. 

Il problema è così grave da aver portato il Department of Homeland Security’s – Cybersecurity & Infrastructure Security Agency (DHS-CISA) a emettere una direttiva di emergenza, che ordina a tutte le agenzie di “scollegare o spegnere immediatamente i prodotti SolarWinds Orion (versioni dalla 2019.4 alla 2020.2.1 HF1),  dalla loro rete". Ma non tutti stanno seguendo il consiglio: è di ieri la notizia che, tra le vittime di questa campagna, risultano le reti della National Nuclear Security Administration (NNSA) e dell'US Department of Energy (DOE).  Anche organizzazioni di peso come l'FBI, la CISA, l'US Department of Homeland Security hanno confermato ufficialmente il breach. 

“L’incidente potrebbe avere conseguenze devastanti” ha dichiarato Pierluigi Paganini senior researcher presso il Cyber Security and International Relations Studies (CCSIRS) – Università degli Studi di Firenze. "Si tratta di un attacco estremamente complesso alla supply chain dell’azienda SolarWinds, che fornisce le sue soluzioni a centinaia di migliaia di clienti, tra cui le agenzie di intelligence ed aziende di medie e grandi dimensioni. Il patrimonio informativo esfiltrato attraverso questa metodica di attacco è potenzialmente illimitato ed impatta ogni settore”. 

“Gli attacchi alle supply chain sono complessi da realizzare, ma ancora di più da individuare, in quanto il fornitore legittimo dei software è compromesso. L’unico modo di individuare attacchi alla supply chain dei fornitori di software consiste nel verificare puntualmente ogni componente del codice fornito, ivi compresi i continui aggiornamenti rilasciati." ha proseguito.

Cosa è successo: il breach SolarWinds

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 11/12
La scorsa settimana il CERT-AgID ha individuato e proceduto ad analisi di 25 campagne dannose attive nello scenario italiano: 20 di queste prevedevano esplicitamente obiettivi italiani, 5 invece sono state campagne generiche veicolate anche in Italia. Gli indicatori di compromissione (IoC) pubblicati sono 489,consultabili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono soltanto 4 e, almeno questa settimana, non figurano novità:

Google down: interruzioni e disservizi per Gmail, Youtube e tutti gli altri servizi di Big G.

Gli utenti Google stanno riscontrando problemi in tutto il mondo: centinaia di migliaia di persone non riescono ad accedere a Gmail, YouTube, Google Drive, Google Maps, Google Calendar e altri servizi Google. Anche centinaia di scuole nel mondo che utilizzano i servizi Google per la Didattica a Distanza (DaD) hanno dovuto sospendere le attività.

Al momento di accedere a YouTube, gli utenti visualizzano una schermata di caricamento e un messaggio di errore "There was a problem with the server (503) - Tap to retry".

Messaggi di errore simili vengono visualizzati anche per i tentativi di accesso a Gmail da Android e iOS. Interessati dalla problematica anche l'accesso POP3 a Gmail e al sito web di Gmail.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 04/12
Nel corso della scorsa settimana il CERT-AGiD ha individuato e analizzato 25 diverse campagne dannose, rivolte contro utenti italiani e veicolate nello spazio italiano: 3 erano generiche campagne, veicolate anche in Italia, 22 invece hanno mirato precisamente obiettivi italiani. Ne sono risultati 386 indicatori di compromissione, disponibili sul sito ufficiale del CERT. 

Sei le famiglie di malware individuate in diffusione, poche novità e tante conferme:

Si scatena lo shopping online...e i truffatori: campagna malware per rubare le carte di credito prende di mira gli e-commerce che usano Magento

Si sono mossi per tempo, iniziando a bersagliare e infiltrare store online basati su Magento fino dall'Aprile 2020: parliamo del gruppo di cyber truffatori famosi per il loro attacco Magecart. E' così che sono riusciti a compromettere un altissimo numero di store online in tempo per quella stagione matta degli acquisti che inizia col Black Friday e si conclude con le festività natalizie. Scopo dell'attacco? Rubare le carte di credito di quelle migliaia e migliaia di persone che, anche spinte dal contesto pandemico, decideranno di acquistare regali online. 

Magecart in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantoché la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero "il carrello dei maghi". 

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot, la Warner Music Group (WMG) ecc...) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell'attacco, tecnicamente definito come "web skimming": il Javascript resta attivo sull'e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poiché le violazioni MageCart sono molto difficili da individuare

La campagna di attacco: qualche dettaglio in più

Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

E' piuttosto nuovo, è accreditato come il successore del temibile ransomware Maze (che ha annunciato il cessata attività poche settimane fa), ha già colpito bersagli di peso estremamente rilevante (il sistema metropolitano di Vancover, la catena di rivendita libri statunitense Barnes & Noble, la catena di grandi magazzini Kmart, la famosa casa produttrice di videogiochi Ubisoft ecc...) soprattutto negli Usa, ma si contano attacchi e violazioni anche in Europa. In Italia ha colpito duramente il Gruppo Carraro che,  paralizzato dall'attacco, ha addirittura dovuto mettere in cassa integrazione 700 dipendenti per il tempo necessario a mitigare gli effetti dell'attacco. 

Il nome deriva da "eggregora" che, nel mondo dell'occulto, indica quell'entità incorporea che si produce dall'unione delle energie di singole persone unite collettivamente nel perseguimento di uno scopo comune: si, descrive perfettamente un gruppo di operatori ransomware. E' attivo da pochissimo tempo, individuato la prima volta in diffusione a metà Settembre del 2020, e specializzato in attacchi mirati contro target aziendali. Non risultano, ad ora, infezioni o attacchi contro utenti non aziendali. 

Come tutti i ransomware di nuova generazione, è orientato al modello del doppio riscatto: nella foto sotto è possibile vedere il sito di leak che i suoi sviluppatori utilizzano per pubblicare i dati rubati di quelle aziende che rifiutano di pagare il riscatto o anche solo di avviare una trattativa.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27/11
La scorsa settimana il CERT-AgID ha individuato e analizzato 14 campagne dannose attive, di cui 2 veicolate anche in Italia mentre 12 erano apertamente rivolte verso obiettivi italiani. 243 sono stati gli indicatori di compromissione individuati,disponibili sul sito ufficiale del CERT.

Le famiglie malware individuate in diffusione sono state 7, con Ursnif che, senza alcuna novità, occupa di nuovo il primo posto, seguito da QnodeService e sLoad che ritorna sulla scena dopo mesi di assenza

ATM e Postamat hackerati: truffatori rubano 800.000 Euro in Italia

Un'organizzazione di (cyber)criminali ha sottratto denaro da almeno 35 ATM bancari e Postamat usando una tecnica di attacco chiamata Black Box. La truffa è stata scoperta dai Carabinieri di Monza: sono 12 le persone identificate, 6 sono già state tradotte in arresto, 4 sono ancora all'estero mentre 2 non sono attualmente rintracciabili. 

Le indagini si sono svolte in più città (Monza e Brianza, Milano, Bologna, Modena, Vicenza, Mantova e Parma) a seguito di un decreto di fermo emesso dalla Procura della repubblica di Monza verso un indiziato: le accuse sono di associazione a delinquere finalizzata alla commissione di furti aggravati. 800.000 euro sarebbe l'ammontare complessivo dei soldi sottratti dagli ignari utenti degli sportelli bancomat italiani in appena 7 mesi. 

L'attacco Black Box, qualche dettaglio tecnico
L'attacco detto "Black Box" è tipologia di attacco piuttosto recente che, però, sta riscontrando già grande successo nel mondo criminale: l'idea di fondo è quella di hackerare un sistema ATM e forzarlo a erogare soldi col semplice invio di una serie di comandi tramite scheda Raspberry Pi, smartphone o laptop. Raspberry Pi / laptop / smartphone che, in questo attacco, sono usati all'unico scopo di inviare comandi da remoto all'ATM: una volta che gli attaccanti si sono accreditati come "amministratori di sistema", hanno la possibilità di continuare a controllare la macchina pur senza la presenza fisica. 

Dentro Ursnif, il trojan bancario più diffuso in Italia

Da qualche tempo abbiamo cercato di dare spazio e risalto ai report riguardanti le utilissime analisi che il CERT-AgID svolge ogni settimana sui malware e le campagne di phishing più diffuse contro gli utenti italiani e nello spazio italiano. Cambiano i malware in diffusione, le tecniche di attacco, i contenuti delle truffe ma da mesi ormai c'è una presenza fissa, quella di Ursnif, un malware che nel Giugno del 2020 è entrato per la prima volta nella top 10 delle minacce rilevate, ottenendo uno stabile 5° posto. In Italia invece è stato il malware più diffuso nel primo semestre del 2020, con un impatto sulle aziende del 14% (mentre a livello mondiale si ferma al 2%): per fare un esempio, solo tra il 28 e il 30 Luglio 2020 sono stati inviati oltre 40.000 messaggi fake compromessi con Ursnif ad aziende italiane di ogni tipo. La campagna successiva contro utenti italiani, durata solo 1 giorno e mezzo dal 4 al 6 Agosto 2020, ha generato un flusso di oltre 25.000 email. 

Insomma, abbiamo ritenuto utile un piccolo approfondimento, nella consapevolezza che questo malware non ha alcuna intenzione di andarsene e prenderà di mira aziende e professionisti ancora per molto tempo. 

URSNIF: che cosa fa