C'è aria di Capodanno e, nonostante tutte le difficoltà di questo 2020, la lista dei buoni propositi sarà già nel cassetto. La nostra grande speranza è che in questa lista la cybersecurity occupi un posto di rilievo, perché sarebbe probabilmente imperdonabile non cogliere i segnali che questo anno ci ha mandato e lasciare tutto così, come nulla fosse, affrontando un 2021 che si preannuncia un vero e proprio campo di (cyber) battaglia. Le notizie di hacking, data breach e data leak si susseguono a velocità impressionante e quindi, per chiudere l'anno, pensiamo sia utile una panoramica di quel che è recentemente successo nel mondo e, più in dettaglio, negli ultimi 4 mesi in Italia.
Nessuna volontà allarmistica, nessuna intenzione di peggiorare la realtà per instillare ansia e paura: al contrario la consapevolezza della realtà, la conoscenza del recente passato sono quegli strumenti necessari ad organizzare il futuro e non fare come, purtroppo, succede spesso ovvero affrontare i disastri quando ormai è già tardi. Sapendo che quella contro il cybercrime è una lotta complessa, ma non una battaglia impossibile e non è più neppure rimandabile: la digitalizzazione è irrimandabile ed è compito di tutti (aziende e home user) creare un cyberspazio più sicuro possibile.
La panoramica si divide in due, una prima breve lista degli attacchi più recenti (e più importanti) avvenuti nelle ultime settimane e un breve riassunto del report che il nostro Cert-AgID ha pubblicato riepilogando le campagne che hanno interessato l'Italia nell'ultimo quadrimestre.
La "Top hacking" di Dicembre
Evitando di ripercorrere la vicenda del gravissimo attacco di cyberspionaggio che ha riguardato Solarwind (che merita una narrazione a parte, ne abbiamo accennato qui e qui ), gli ultimi giorni sono stati un vero e proprio stillicidio.
- Il ransomware Nefilim "buca" la Whirpool
Whirpoool, proprietaria anche di KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit ha subito un attacco ransomware da parte del gruppo di cybercriminali dietro a Nefilim. La riuscita dell'attacco è già stata confermata dalla pubblicazione, nel relativo sito di leak, di una parte dei dati rubati tra i quali documenti relativi ai benefit degli impiegati, informazioni mediche, protocolli interni ecc...
L'attacco in realtà risale ai primi di Dicembre, ma gli attaccanti hanno pubblicato i dati solo qualche giorno fa, segno forse che le trattative per il pagamento del riscatto non stanno andando per il verso giusto, secondo i cyber attaccanti. I sistemi dell'azienda sono stati completamente ripristinati, ora il punto è scongiurare la pubblicazione di dati sensibili e riservati.
- Violate le email dei membri del Parlamento Finlandese
"Alcuni account email appartenenti al Parlamento finlandese sono stati compromessi in conseguenza di un cyberattacco: tra questi ve ne sono anche alcuni appartenenti a Parlamentari" : questa la dichiarazione di alcuni funzionari del Parlamento. Le attività dannose sono state individuate dal team di cybersecurity del Parlamento e sono sembrate situazioni fotocopia e molto simili ad altri due attacchi che hanno riguardato il parlamento norvegese e i quello tedesco.
- Il Dipartimento del tesoro USA lancia un alert sugli attacchi ransomware mirate alle ricerche sul vaccino Covid19
Lo US Treasury Department's Financial Crimes Enforcement Network (FinCEN) ha pubblicato uno specifico alert riguardante il rischio di attacco ransomware contro le ricerche e gli studi sul vaccino Covid19. L'alert consegue ad una serie di attacchi ransomware preceduti da furto dati che hanno riguardato molteplici centri di ricerca: uno di quelli più gravi ha riguardato l'EMA (European Medicines Agency) ed ha comportato il furto dei materiali relativi al vaccino Covid della PFIZER/BioNTech, ovvero il vaccino scelto dall'Unione Europea e dagli Stati Uniti.
I ransomware non sono comunque l'unico problema per il vaccino: IMB qualche settimana fa ha individuato e reso pubblica una campagna di attacco rivolta contro la cosiddetta "cold chain", cioè l'insieme di quelle aziende specializzate nel trasporto con mezzi refrigerati. La campagna ha attraversato ben 6 diverse nazioni.
Infine merita trattare delle truffe collegate al Covid, che nei soli Stati Uniti hanno riguardato oltre 275.000 persone (stima al ribasso comunque, dato che questo è solo il numero di coloro che hanno denunciato di aver subito un a truffa) comportando perdite economiche di oltre 211 milioni di dollari.
- Kawasaki individua un data breach e comunica un potenziale dataleak
L'azienda giapponese Kawasaki Heavy Industries ha annunciato una violazione della sicurezza e un potenziale data leak dopo aver individuato accessi non autorizzati ai server della compagnia da molte sedi (Filippine, Thailandia, Stati Uniti). Per quanto non risultino, almeno adesso, data leak (dato che non c'è traccia di questi dati nel darkweb), il breach è confermato ed è in corso un audit interno per dettagliare l'accaduto. Poco tempo fa anche altri giganti giapponesi (Mitsubishi Electric, NEC, Kobe Steel) hanno dichiarato incidenti di sicurezza e, in alcuni casi, pubblicato prove di data leak.
Il riepologo del CERT-AgID e le cyber minacce che riguardano l'Italia
Il report del Cert-AgID (consultabile in forma estesa qui) prende in considerazione un periodo di 4 mesi che va da fine Agosto 2020 ad oggi. In questo lasso di tempo sono state osservate 421 campagne malevole che hanno riguardato l'Italia, che hanno sfruttato 34 diverse tematiche e utilizzato 36 tipologie di file allegati dannosi.
Il grafico sottostante suddivide le campagne in due tipologie: quelle mirate a target italiani (353) e quelle internazionali che hanno riguardato anche l'Italia (68)
Oltre a questa suddivisione "geografica", il CERT-AgiD ha operato una ulteriore suddivisionhe che spacca praticamente in due le 421 campagne analizzate: il 52,5% (ovvero 221) delle campagne hanno veicolato malware mentre le restanti 200 (il 47,5%) sono state campagne di phishing.
I malware individuati appartengono a 29 diverse famiglie
Le famiglie più individuate sono state, in ordine:
- 39 campagne Ursnif, veicolato usando formati file .xls, .zip, .xlsm, .doc;
- 38 campagne Emotet veicolato usando formati file .doc e .zip;
- 28 campagne Dridex veicolato usando formati file .xlsm, .doc, .xls, .zip;
- 25 campagne AgentTesla veicolato usando formati file .gz, .zip, .xlsx, .rar;
- 22 campagne FormBook veicolato usando formati file .zip, .rar, .img, .exe, .iso, .r00, .gz, .xlsx.
Soltanto 16 sono state le campagne malware che non hanno sfruttato file dannosi allegati, preferendo sfruttare un link alla risorsa malevola. Un dato che rende un'evidenza: la questione degli allegati email resta uno dei più urgenti e cogenti problemi rispetto alla sicurezza delle comunicazioni email.
I temi più usati per ingannare gli utenti e cercare di condurli alla risorsa dannosa sono stati:
- 80 a tema Pagamenti;
- 41 a tema Delivery;
- 11 a tema Inps;
- 6 a tema Agenzia Entrate e Salute;
- 5 a tema Resend.
Le campagne di phishing sono state 200, di cui anche 19 veicolate tramite SMS. 43 i brand coinvolti, con IntesaSanPaolo che si rivela come la vittima preferita dei cyber attaccanti.
I top malware in breve
- Urnsif :
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online). Per approfondire > Ursnif, il malware che minaccia l'Italia: vediamolo da vicino
- Emotet:
è una infrastruttura estremamente complessa, costituita da più componenti, ritenuta ad oggi la più pericolosa versione di botnet/malware esistente. Questa botnet colpisce target aziendali con ondate di email di spam. Queste email contengono un documento Office (in vari formati, talvolta Excel, talvolta Word) oppure link che conducono al relativo documento: il testo dell'email è pensato per convincere l'utente a scaricare il file quindi abilitare la macro contenuta. La macro avvia l'esecuzione di uno script che scarica il malware Emotet e altre sue componenti: molte di queste componenti sono ospitate e scaricate tramite siti WordPress hackerati. - Dridex:
è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E’ pensato per il furto dati e dellE credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware.
Per concludere
C'è un dato interessante sottolineato dal CERT-AGID nelle conclusioni del report: i dati riportati dal CERT riferiscono solo a campagne classificate come "a circolazione non limitata", cioè campagne di una certa massività e non mirate, ma lanciate nel cyberspazio italiano secondo il principio di "colpire nel mucchio". In 4 mesi non vi sono state evidenze di campagne di questa tipologia che abbiamo veicolato ransomware. I ransomware sono quindi scomparsi? No, assolutamente no. Anzi, i nostri laboratori di assistenza per le vittime ransomware hanno ricevuto molte segnalazioni, prime tra tutti un susseguirsi di violazioni ransomware su NAS QNAP. I dati semplicemente ribadiscono un trend e confermano un vero e proprio "cambiamento di rotta in atto dagli autori dei ransomware".
"Poiché le organizzazioni sono sempre più preparate con le attività di mitigazione basate sul ripristino dei dati da copie di backup, i criminali hanno di recente seguito una strategia differente: i ransomware non vengono veicolati via email ma vengono inoculati successivamente alla compromissione ed eventuale esfiltrazione dei dati. Ne è dimostrazione il fatto che negli ultimi mesi dell’anno abbiamo assistito ad un importante incremento di attacchi di tipo double extortion" si legge nelle conclusioni del report a riconferma di quanto ormai sosteniamo da oltre un anno, almeno dalla comparsa sulle scene del ransomware Maze.
Nessun commento:
Posta un commento