Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 04 - 10 Settembre
Nel corso della settimana 4-10 Settembre il CERT-AGID ha individuato e analizzato, attive nello scenario italiano, ben 27 campagne dannose: 23 di queste erano rivolte direttamente contro obiettivi italiani, 4 invece sono state le campagne generiche ma diffuse anche in Italia. 354 gli indicatori di compromissione (IOC) che il CERT ha messo a disposizione.

10 sono state le famiglie di malware individuate, veicolate con 13 diverse campagne. In dettaglio:

Alert del CERT: è in corso in Italia l'ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro

Nella giornata di oggi il CERT-AGID ha pubblicato un alert riguardante una campagna di attacco, limitata all'ambito universitario italiano, ideata per veicolare il malware Lokibot. La comunicazione è una email che imita una comunicazione ufficiale di due atenei: una versione è camuffata da comunicazione dell'Università di Tor Vergata, l'altra invece dell'Università di Bologna. Nel primo caso il vettore di attacco è un allegato in formato .ZIP contenente l'eseguibile in doppia estensione, nel secondo caso invece la mail reca un allegato .XLS contenente una macro dannosa. 

Lokibot è un malware non certo nuovo in Italia, ma del quale è forse interessante tratteggiare nuovamente il profilo tecnico, dato che sempre più spesso torna a colpire utenti italiani. 

Nuovo malware per il furto dati arriva in Italia con una campagna di attacco contro clienti Intesa San Paolo: ecco BRATA

Il CERT-AgID ha pubblicato un alert specifico riguardo una campagna dannosa rilevata ai danni dei clienti dell'istituto bancario Intesa San Paolo. In dettaglio, i ricercatori del CERT hanno trovato online un dominio di recentissima registrazione che imita il sito web istituzionale di Intesa San Paolo.

Trattasi di una pagina di phishing in italiano, raggiungibile solo tramite dispositivi Android, pensata per rubare le credenziali di accesso all'home baking, che finiscono registrate in un file di testo sullo stesso server che ospita il dominio. 

Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un'azienda chimica

Ha colpito due volte in un solo giorno: prima vittima, Butali S.p.A che possiede la ben più nota catena di elettronica e elettrodomestici Euronics; subito dopo sotto attacco è finita anche 3V Sigma. Parliamo di ViceSociety, una nuova campagna ransomware. Nel frattempo i dati parlano chiaro: l'attenzione dei ransomware contro le aziende e gli enti italiani è tutt'altro che scemato. Anzi, sono stati portati ulteriori tentativi di attacco contro aziende italiane da parte del ransomware Lockbit: è stato ad esempio rilevato, sempre nella giornata di ieri, un tentativo di doppia estorsione ai danni dell'azienda chimica Tovo Gomma. 

L'attacco contro Euronics è riuscito
Inutile dire che, tra i tanti, l'attacco subito da Euronics sta facendo più notizia rispetto ad altri. Intanto, una specifica: l'attacco è stato condotto contro la società Butali S.pA, che ha sede legale nei Paesi Bassi e che detiene parte della catena di elettronica di consumo. 

L'attacco è confermato dalla presenza, sul sito di leak collegato al ransomware Vice Society, di una parte dei dati rubati. 

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L'attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma "la quasi totalità delle credenziali VPN risulterebbero ancora valide" (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password. 

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l'attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all'uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come "Orange", già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove. 

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.

Server Microsoft Exchange sotto attacco: oltre a LockFile, anche il ransomware Conti sta usando ProxyShell

Qualche giorno fa abbiamo dato notizia di un nuovo ransomware, chiamato LockFile e già in diffusione in Italia, che utilizza la suite di vulnerabilità ProxyShell per bucare i server Microsoft Exchange. Ricordiamo che ProxyShell è un insieme di vulnerabilità che consente, se sfruttate con successo, di ottenere l'accesso non autenticato, quindi l'esecuzione di codice da remoto sui server vulnerabili. Per quanto già patchate da Microsoft, ulteriori dettagli tecnici su queste vulnerabilità sono state pubblicate recentemente, cosa che ha consentito agli attaccanti di usarle di nuovo in attacchi mirati. 

Le prime ondate di attacchi che hanno visto l'uso di ProxyShell distribuivano fondamentalmente webshell e backdoor, poi qualche giorno fa è stato individuato in diffusione anche il ransomware LockFile. Ora la fila si allunga, perché anche il ransomware Conti ha iniziato a sfruttare ProxyShell. 

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 - 27 Agosto

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 21 - 27 Agosto
Nel corso della settimana, sono state individuate 18 campagne dannose in diffusione nello spazio italiano: 4 di queste sono state campagne generiche, 14 invece miravano ad obiettivi Italiani. 623 gli indicatori di compromissione individuati. 

7 le famiglie malware individuate in diffusione, 12 le campagne malware totali. In dettaglio, i malware più diffusi sono stati:

Nuovo ransomware colpisce in Italia: arriva LockFile, che sfrutta la vulnerabilità ProxyShell dei server Microsoft Exchange. E' il primo a criptazione intermittente

E' stato individuato un nuovo ransomware (già attivo anche in Italia), che colpisce i Windows domain: irrompe nei server Microsoft Exchange sfruttando la suite di vulnerabilità ProxyShell. 

ProxyShell indica un insieme di tre diverse vulnerabilità: 

1. la CVE-2021-34473;
2. la CVE-2021-34523; 
3. la CVE-2021-31207. 
   

Per approfondire > Le vulnerabilità di Microsoft Exchange Server (risolte) sfruttate per distribuire ransomware: ancora poca attenzione alle patch

Le tre vulnerabilità sono già state patchate rispettivamente le prime due ad Aprile e la terza nel mese di Maggio: nel frattempo però sono stati rivelati ulteriori dettagli tecnici riguardo a ProxyShell, fatto che ha permesso di "aggiustare" e riprodurre l'exploit. Manco a dirlo, i cyber criminali hanno ricominciato a scansionare attivamente Internet in cerca di server Microsoft Exchange vulnerabili sui quali installare backdoor, da usare per futuri accessi e, appunto, un nuovo ransomware chiamato LockFile.

Disaster Recovery Plan: cosa è, perchè è necessario, come si appronta

Disaster Recovery Plan: che cosa é?
Il Disaster Recovery Plan (DRP) è parte integrante della più ampia strategia che ogni azienda dovrebbe implementare per garantire la continuità operativa (Business Continuity), ovvero la capacità di una azienda di mantenere le proprie attività nel caso si verifichi un incidente o una grave emergenza che possa compromettere i dispositivi e gli hardware, ma anche i dati, i software e i documenti ecc.. 

Il Disaster Recovery Plan altro non è che la formalizzazione di una serie di misure sia tecniche che organizzative da seguire per il ripristino più tempestivo possibile delle infrastrutture e dei sistemi di dati necessari per le attività aziendali. Precisiamo subito che il DRP non riguarda soltanto la minimizzazione del tempo in cui sistemi e dipendenti non possono essere operativi, ma anche la quantità di dati persi che un disastro può causare. 

Disaster Recovery Plan: perché è necessario?
Le notizie di aziende colpite duramente da attacchi malware o ransomware rimbalzano sempre più spesso, quindi non c'è troppo bisogno di dilungarsi sull'urgenza di inserire il cyber crime tra i rischi aziendali. Quel che forse è meno chiaro è che ormai non basta più il backup dei dati per riportare l'azienda all'operatività: dopo un incidente infatti si rende necessario non solo ripristinare i file, ma anche tutti i software e le funzionalità. Ad esempio, se un server è reso inattivo da un incidente, non basterà ripristinare i dati, ma sarà necessario reinstallarlo e/o riconfigurarlo. 

Il ransomware Ragnarok va in pensione: sospese le operazioni e rilasciata la master key

Come accade ogni tanto, il gruppo di cyber criminali responsabili delle operazioni del ransomware Ragnarok ha annunciato la sospensione di tutte le attività e rilasciato la master key tramite il quale divengono risolvibili tutte le infezioni dovute a questo malware. 

Contrariamente a come succede di solito, non c'è una dichiarazione "ufficiale" del gruppo riguardo alla sospensione delle attività: le uniche tracce sono sul sito di leak, quello usato dagli estorsori per rendere pubblici i dati rubati delle vittime che si sono rifiutate di collaborare. Il sito di leak è stato svuotato di tutte le immagini e i contenuti. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 24 - 30 Luglio
Nel corso delle analisi, sono state individuate in diffusione 3 famiglie di malware, per un totale di 4 campagne malware. In dettaglio:

• il malware più diffuso è stato Ursnif, con due diverse campagne, una a tema Rimborso e una a tema Documenti. Gli allegati vettore erano in formato .XSLM e .ZIP;
• StrRat torna in diffusione in Italia dopo tre mesi dalla prima rilevazione. La campagna è stata a tema Delivery, recante un file .JAR come vettore. Le analisi hanno mostrato che il campione diffuso è la versione 1.4 del malware;
• Lokibot è stato diffuso con una campagna mirata contro utenti italiani: il tema delle email era Ordine, allegato vettore in formato .XLSX.

StrRat in breve:

Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le puntate precedenti:
1. Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)
2. Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

Si allarga il "perimetro" dell'attacco che ha colpito e messo in paralisi i sistemi informatici e i data center della Regione Lazio: ERG ha infatti fatto sapere di aver subito solo alcune piccole interruzioni della propria infrastruttura IT a seguito di un attacco ransomware lanciato contro i loro sistemi. 

Secondo Repubblica, il ransomware in questione sarebbe LockBit, diffuso nella versione 2.0.

"Riguardo ai recenti rumors circolati sui media riguardo l'attacco hacker che ha colpito istituzioni e imprese, ERG riporta di aver subito soltanto piccole e minori disfunzioni sull'infrastruttura ICT, attualmente in via di superamento grazie al tempestivo dispiegamento e attuazione delle procedure interne di cyber security" si legge nella nota pubblicata da ERG ."L'azienda conferma che tutti gli impianti stanno funzionando correttamente e non c'è stata alcuna interruzione, garantendo così la continuità delle operazioni" concludono.

Questo attacco è da vedersi collegato a quello che ha colpito la Regione Lazio?

Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

Col trascorrere delle ore emergono nuove informazioni e dettagli rispetto al gravissimo attacco ransomware subito dal data center dei sistemi informatici della Regione Lazio. 

La situazione è ancora ben lungi da tornare alla normalità e già ieri si parlava della necessità di oltre 15 giorni per ripristinare correttamente i sistemi: d'altronde, l'unico backup dei sistemi informatici regionali era online ed ha anche questo subito la criptazione, così non può essere utilizzato per ripristinare la rete e i servizi. Inoltre, ogni tentativo di riportare online la rete termina con la riattivazione del ransomware. Zingaretti ha annunciato ieri che stanno procedendo al trasferimento dei dati necessari per i servizi sanitari essenziali verso un sistema in cloud esterno: in pratica stanno provando ad allestire un sistema informatico alternativo a quello in paralisi per l'attacco. D'altronde sono bloccati servizi sanitari di grande importanza: non solo è in blocco l'intero sistema di gestione della campagna vaccinale, ma non è neppure possibile prenotare online visite specialistiche, effettuare Pap test e mammografie ecc.. Bloccato anche il sistema di gestione del Green Pass, la possibilità di pagare bolli e di ottenere autorizzazioni sia sanitarie che edilizie. 

Galeotta fu la VPN...
Le verifiche della Polizia Postale hanno portato ad individuare almeno il punto di accesso, ovvero una falla nella VPN utilizzata dai dipendenti della Regione per accedere da remoto alla rete. In dettaglio, i dati hanno portato a concentrare l'attenzione sul computer in uso ad un impiegato della Regione residente a Frosinone: l'accesso degli attaccanti alla rete è avvenuto proprio sfruttando le sue credenziali rubate. L'escalation verticale di privilegi è stato poi ottenuto grazie all'uso del famigerato trojan Emotet: a quel punto, l'accesso rubato al dipendente ha consentito tutti i privilegi necessari per eseguire operazioni più profonde nella rete, come, appunto, la distribuzione del ransomware. 

Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

Dalla nottata di ieri i sistemi informatici della Regione Lazio sono bloccati: l'attacco va avanti da oltre 40 ore e già ieri la Regione ne dava comunicazione tramite le proprie pagine Twitter e Facebook. Sono irraggiungibili ad ora il sito web della Regione, ma anche la piattaforma online per la prenotazione sia dei vaccini che dei tamponi molecolari (il portale Salute Lazio). In generale sono irraggiungibili tutti i servizi online connessi alla sanità regionale, Green Pass compreso, ma anche i servizi correlati al sistema degli appalti pubblici. 

I siti web ad ora offline: 

• https://prenotavaccinocovid.regione.lazio.it/welcome
• http://www.consiglio.regione.lazio.it/
• http://www.regione.lazio.it
• https://www.salutelazio.it/
• https://www.salutelazio.it/campagna-di-vaccinazione-anti-covid-19

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 16 campagne dannose attive nello spazio italiano: 12 di queste sono state mirate contro obiettivi italiani, 4 invece generiche veicolate anche in Italia. 284 sono stati gli indicatori di compromissione individuati. 

I malware della settimana 17 - 23 Luglio
Le famiglie malware individuate sono state 6, distribuite con 8 diverse campagne di attacco. Ecco il dettaglio:

• Formbook è stato diffuso con 3 diverse campagne a tema Pagamenti, Forniture e Documenti. Le email hanno veicolato il malware tramite allegati archivio .tar e .xz;
• Hancitor è stato di nuovo individuato in diffusone in una campagna italiana a tema Documenti. L'allegato compromesso è un file .xls contenente la solita macro dannosa che, se attivata, installata il malware FickerStealer;
• Oski è stato distribuito con una campagna a tema Ordine contenente allegati PPT. La campagna ha visto anche l'uso di account PEC compromessi in precedenza. Oski è un malware poco diffuso, un infostealer nel dettaglio, specializzato nel furto di dati personali e credenziali di accesso;
• AgenTesla e ASTesla sono stati distribuiti con 2 campagne a tema Pagamenti con allegati .zip contenenti, a loro volta, l'eseguibile .exe;
• Guloader torna in diffusione con una campagna a tema Preventivo.

Per approfondire > Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Quanto costa un data breach? Lo studio IBM calcola 3 milioni di euro di danni in Italia nel 2020

Lo studio "Cost of a Data Breach Report”, condotto dal Ponemon Institute e da IBM Security, parla chiaro: in media, i data breach costano alle aziende 4,24 milioni di dollari a incidente. L'aumento dei costi è legato all'impennata registrata nel numero di violazioni dei dati: il contesto pandemico ha fatto da volano, spinto dal ricorso massivo (e caotico) al lavoro da remoto nonché al rapido passaggio delle aziende al cloud per garantire la business continuity. 

Cost of a Data Breach in Italia
Nel 2020 in Italia, si legge nel report, il costo complessivo di una violazione dei dati è salita non poco, arrivando a 3,03 milioni di Euro: ogni dato rubato è valutabile, in media, 135 euro. Basti pensare che tale valore è praticamente raddoppiato nell'ultimo decennio, a ribadire quanto i dati siano oggi un bene preziosissimo e quindi a rischio. 

Per quanto i data breach siano ormai un problema che riguarda tutti i settori economici e produttivi, i settori più colpiti sono stati ovviamente quello dei servizi finanziari, il settore energetico e quello farmaceutico. In tali settori ogni informazione rubata costa rispettivamente 171 Euro per il settore finanziario, 165 per quello energetico e 164 per quello farmaceutico. I dati esplicitano anche un altro grave problema: la pandemia ha reso più palesi ed evidenti le difficoltà di quelle aziende poco digitalizzate o in estremo ritardo sulla digitalizzazione. Queste sono le più esposte ad attacchi informatici e ne subiscono maggiormente i danni: se le aziende ad avanzata digitalizzazione subiscono un costo medio per data breach di 2,72 milioni di euro, quelle poco digitalizzate e in ritardo invece pagano in media 3.75 milioni di euro a data breach. 

Colpisce l'elevatissimo numero di giorni ad ora mediamente necessari per individuare e contenere un attacco informatico: siamo ancora sui 250 giorni circa, anche se si registra una lieve contrazione delle tempistiche rispetto agli ultimi anni.

Cost of a Data Breach nel mondo

Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Del ransomware Lockbit abbiamo già parlato qualche tempo fa perchè è stato ripetutamente in diffusione in Italia. In diffusione già dal Settembre 2019, ha subito varie evoluzioni ed è attualmente approdato alla forma organizzativa del ransomware as a service. Negli anni è stato piuttosto attivo, mentre i suoi gestori sono molto attenti sia alla promozione del servizio sia a fornire supporto. 

Qualche mese fa però c'è stato un cambiamento: alcuni dei principali forum di hacking, solitamente utilizzati dai gruppi ransomware per promuoversi e per cercare nuovi affiliati, hanno iniziato a bannare e rimuovere gli annunci collegati ai RaaS. Sulla scia di quanto deciso dai gestori di Exploit (uno dei principali forum di hacking), la scelta è stata giustificata dal fatto che i gruppi ransomware, attaccando indiscriminatamente in tutto il mondo, "attraggono troppa attenzione".  Dopo l'attacco ransomware al Colonial Pipeline, ma anche ospedali, scuole ed enti pubblici / governativi è difficile dare loro torto.  Lockbit ha subito questo trattamento assieme a "colleghi" di altrettanta fama come REvil, Darkside, Netwalker ecc... 

Dal momento del ban, il gruppo di Lockbit ha iniziato a promuovere il nuovo servizio RaaS LockBit 2.0 sfruttando direttamente il proprio sito di leak. 

Il sito di leak di LockBit 2.0

Quali sono le novità?

Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende

A giudicare dall'andamento di questi anni, l'intero paradigma "di attacco" contro le aziende pare essersi evoluto (e ancora si sta evolvendo) verso una riduzione delle tipologie di attacco e maggiori investimenti nella ricerca e produzione di tool di accesso e attacco: insomma meno tipologie di attacco con cui confrontarsi, ma portate con strumenti molto insidiosi che richiedono investimenti e rodaggio. Di conseguenza, è ancora più importante per i cyber attaccanti, garantire che tali strumenti siano effettivamente capitalizzabili e quanto più possibile monetizzabili: colpire meno obiettivi, ma più grossi sembra il nuovo orizzonte.

Ecco che virus e worm, pur sempre presenti, perdono di importanza (molti report parlano di una riduzione intorno al 50%, rispetto allo scorso anno di questi classici strumenti di attacco) rispetto alle tecniche di ingegneria sociale e ai malware di nuova generazione. In questo momento a farla da padrone sono proprio gli attacchi di ingegneria sociale e malware di vario tipo (downloader e infostealer principalmente), che ormai spesso si combinano con attacchi ransomware (questi ultimi segnano un +62% rispetto allo scorso anno).

Oltre a ciò, l'emergere di nuovi settori e nuove tecnologie richiede la scelta di strumenti di attacco mirati: il Cyber Threat Report 2021 di Sonicwall, ad esempio, rivela una vera e propria impennata di attacchi contro l'Internet of Things, che si attestano a 56,9 milioni con una crescita del 66% rispetto allo scorso anno.

La novità degli ultimi due anni, non perchè questa tipologia non fosse già diffusa quanto per il peso politico ed economico che hanno avuto i recenti attacchi, è quella degli attacchi cosiddetti Supply chain. Questa tipologia di attacchi consiste nel colpire una o più aziende contemporaneamente individuando e colpendo l'anello debole della catena della sicurezza: gli eventi che hanno riguardato SolarWinds e Kaseya sono solo la punta dell'iceberg di un rischio sempre più diffuso e insidioso, e che tavolta si mischia anche col social engineering (tecniche di ingegneria sociale sono ormai usate nel 96% degli attacchi).

Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer

Nel corso di svolgimento delle regolari attività di monitoraggio e analisi delle campagne di attacco nel cyber spazio italiano il CERT-Agid ha individuato per la prima volta in diffusione un nuovo malware, chiamato Hancitor. Il malware è stato osservato in distribuzione in due campagne diverse a tema Pagamenti: le email presentano un link che punta al download di un file .doc dotato di macro. Manco a dirlo, abilitare la macro attiva la catena di installazione di un altro malware, anche questo nuovo in Italia, ovvero FickerStealer. Hancitor quindi è un malware downloader che però, come dimostrato dalle analisi tecniche, è anche un infostealer. 

Una nuova campagna di diffusione di Hancitor e FickerStealer risale al 21 Luglio e si differenzia dalle precedenti perché utilizza un allegato .XLS al posto di un DocuSign fake confermando la diffusione in Italia.

Attacco ai server Aruba: esposti dati anagrafici, dati di fatturazione e password.

Aruba, uno dei giganti italiani dei servizi Internet e web, ha informato pochi giorni fa i clienti della violazione dei propri server: l'evento risale al 23 Aprile e ha comportato, così si legge nella comunicazione che Aruba sta inviando ai clienti l'esposizione di "dati anagrafici di fatturazione e quelli di login”. I clienti che sicuramente hanno visto esposti i propri dati hanno ricevuto una comunicazione specifica, ma la notifica è stata inviata a tutti i clienti.

La comunicazione che Aruba ha inviato a tutti i clienti

Una prima rassicurazione: i dati di login sono già stati disabilitati. I dati anagrafici però non sono

Come i cyber criminali diffondono malware per il furto dati tramite gli annunci pubblicitari PPC di Google

I malware infostealer, deputati al furto di informazioni dai dispositivi infetti, non sono affatto una novità, anzi: una volta avuto accesso ad un pc, comunicano agli attaccanti i dati relativi alla macchina, ma anche tutte le informazioni che possono raccogliere sull'utente, comprese credenziali, documenti, dati dai browser e, in alcuni casi, laddove siano presenti funzionalità di keylogging, perfino le battiture della tastiera. Inutile dire che questa tipologia di malware predilige il furto di credenziali bancarie e in generale di qualsiasi tipo di dato che possa essere rivenduto con profitto. Non è una novità neppure l'utilizzo da parte degli attaccanti di annunci pubblicitari per distribuire questi malware, ma da qualche tempo c'è un vero e proprio boom degli annunci pubblicitari PPC (pay per click) di Google: sono, per capirsi, quegli annunci che compaiono in cima ai risultati di ricerca mostrati da Google quando sono ricercate determinate parole chiave. 

I ricercatori di Morphisec hanno ricostruito questa catena di attacco, studiando e monitorando proprio la diffusione di 3 info stealer "di successo" come Redline, Taurus e Tesla ecc.. 

Come funziona la catena di attacco

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 29 campagne dannose con obiettivi Italiani. Soltanto 67 gli indicatori di compromissione (IoC) messi a disposizione.

I malware della settimana 5 - 11 Giugno
E' stata una settimana, quella scorsa, quanto mai tranquilla. Sono state individuate in distribuzione soltanto due famiglie malware, che sono state:

Antivirus gratis o a pagamento? Quali sono le differenze?

La domanda è: un antivirus free, cioè gratuito, offre lo stesso livello di protezione di un antivirus a pagamento? Se ciò fosse vero, il dubbio sarebbe presto risolto. Perché pagare per ottenere protezione se posso avere lo stesso livello di sicurezza senza pagare?  La realtà è che non è proprio così: ovvero no, gli antivirus gratuiti non offrono la stessa protezione degli antivirus a pagamento. Questa affermazione netta si basa su alcune considerazioni che vogliamo condividere con voi.

I principali vendor...

hanno, praticamente tutti, una loro versione gratuita. Offrono cioè una suite completa (antivirus più ulteriori funzioni aggiuntive) a pagamento e una versione "light" gratuita, spesso composta dal solo antivirus. Qui si ha la prima grande differenza: sono rarissime (se non quasi del tutto assenti) le versioni gratuite che contengano (non in trial, ma integrate nel software antivirus) le funzioni di protezione aggiuntiva al solo antivirus. Limitandosi quindi alla sola funzione antivirus, la differenza tra quelli a pagamento e quelli gratuiti ha a che fare più con il vendor quindi, che con la versione.

Ma le nuove minacce?

La miglior difesa? L'attacco! Arrestati i membri di un gruppo ransomware in Ucraina mentre il Dipartimento di Giustizia USA chiude il più grande marketplace online di credenziali rubate

La svolta di Biden nel trattare armi in pugno il problema ransomware, ma potremmo dire in generale il cyber crime, sembra concretizzarsi sempre più e fa già scuola. Qualche giorno fa il Dipartimento di Giustizia USA ha annunciato che una operazione di dimensioni internazionali ha messo offline Slilpp, il più grande mercato online di credenziali di login rubate. 

L'operazione è stata compiuta da una task force di agenti dagli Stati Uniti, dalla Germania, dall'Paesi Bassi e dalla Romania che ribadisce l'importanza della cooperazione internazionale contro il cyber crime: sono stati sequestrati i server usati per ospitare l'infrastruttura del marketplace illegale e i nomi dominio. I siti web collegati al marketplace sono ora stati sostituiti con un banner di sequestro nel web "emerso", mentre non sono più raggiungibili nel dark web. 

Il ransomware Avaddon è risolvibile: interrotte le operazioni e rese disponibili le chiavi di decriptazione

Il gruppo di cyber attaccanti responsabili del ransomware Avaddon (ne abbiamo parlato qui) ha deciso di sospendere tutte le operazioni collegate al ransomware. Sono state rese disponibili anche le chiavi di decriptazione, anche se con uno stratagemma peculiare: qualche giorno fa infatti la redazione della rivista specializzata Bleeping Computer ha ricevuto un messaggio anonimo il cui mittente affermava di far parte dell'FBI. Il messaggio recava con se un file archivio .ZIP protetto da password e contenente le chiavi di decriptazione per tutte le vittime del ransomware Avaddon:

Fonte: https://www.bleepingcomputer.com

Le chiavi sono effettivamente funzionanti e quindi è ora possibile procedere alla decriptazione dei file criptati senza cedere al ricatto degli attaccanti e pagare il riscatto. Chi avesse bisogno di assistenza può contattarci all'indirizzo email alessandro@nwkcloud.com o tramite il sito https://www.decryptolocker.it

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 31 campagne dannose con obiettivi Italiani: 319 sono stati gli indicatori di compromissione (IOC) individuati. 

I malware della settimana 29 Maggio - 4 Giugno
Le famiglie malware individuate in diffusione sono state 5, per un totale di 7 campagne.  Ecco la lista dei malware:

Vulnerabilità critiche in VMware: attacchi già in corso?

VMware ha pubblicato, a fine Maggio, un alert urgente che invita i suoi utenti a patchare urgentemente alcune vulnerabilità che impattano i vCenter Server: l'alert rivela l'esistenza delle vulnerabilità contestualmente alla pubblicazione delle patch, nella speranza che i cyber attaccanti non abbiano il tempo di sfruttarle. Ecco perchè l'alert invita caldamente gli utenti a patchare prima possibile le vulnerabilità, collegandole direttamente al rischio ransomware. 

vCenter Server è una soluzione di gestione dei server che aiuta gli amministratori IT a gestire macchine virtuali e host virtualizzati negli ambienti aziendali tramite una console centralizzata. 

La prima vulnerabilità, la CVE-2021-21985 impatta i vCenter Server  6.5, 6.7 e 7.0: qui è consultabile l'avviso di sicurezza. Questa vulnerabilità può essere sfruttata da remoto da un attaccante non autenticato tramite un attacco piuttosto semplice che non richiede alcuna interazione da parte dell'utente. 

"il vSphere Client (HTML5) contiene una vulnerabilità di esecuzione di codice da remoto dovuto alla mancata validazione degli input nel plugin Virtual SAN Health Check, che è abilitato di default nei vCenter Server" spiegano da WMware. "Un attaccante con accesso alla porta 443 può sfruttare questa vulnerabilità per eseguire comandi con privilegi illimitati nel sistema operativo ospitato dal vCenter Server". 

Il problema riguarda chiunque usi vCenter Server, perchè, in uso o meno, Virtual SAN Health Check è abilitato di default. 

La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

Non è tutta "colpa" dell'attacco ransomware al gasdotto Colonial Pipeline, ma non è improprio dire che quell'evento sia stato la goccia che ha fatto traboccare il vaso e portato il Governo degli Stati Uniti ad impugnare sul serio le armi contro la minaccia ransomware: minaccia che, per scelta di Biden, è divenuta un affare di sicurezza nazionale che si interseca con le relazioni estere e la politica internazionale. 

D'altronde scoprire che milioni di statunitensi hanno rischiato di rimanere senza carburanti mentre il prezzo del gasolio superava per la prima volta i 3 dollari al litro, tutto a causa di una password VPN rubata e acquistata nel dark web (questa pare essere stata la breccia sfruttata dai gestori del ransomware Darkside per violare la rete del sistema Colonial Pipeline) è un duro colpo: da una sola password può dipendere l'approvvigionamento di carburante o acqua a milioni di persone, da una sola falla può dipendere l'efficienza o meno di un ospedale o di un interno sistema sanitario (come tristemente ci insegna la vicenda che ha riguardato il sistema sanitario irlandese). 

La nuova strategia antiransomware del governo USA

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 22-28 Maggio
La scorsa settimana il CERT-AgID ha riscontrato e analizzato 34 campagne dannose attive in Italia e mirate contro utenti italiani. 486 sono stati gli indicatori di compromissione individuati. Le famiglie di malware individuate in diffusione sono state 4: 10 le campagne dannose complessive. Ecco la lista dei malware:

• Formbook è stato il malware più diffuso, con 6 diverse campagne, con 3 temi diversi:  Ordine, Documenti e Pagamenti. Gli allegati vettore sono stati in formato .7Z, .DOC, .ISO. Oltre 130 gli indicatori di compromissione resi disponibili.
• Flubot è ancora in diffusione, sempre via SMS. Due sono state le campagne di diffusione della scorsa settimana, entrambe a tema Delivery con emulazione di comunicazioni ufficiali del corriere DHL. Il corpo messaggio contiene un link accessibile solo da mobile con sistema operativo Android: scopo del link è indurre l'utente a scaricare l'APK malevolo. Ricordiamo che a questo link è disponibile la dettagliatissima guida del CERT su questa minaccia e come risolverla. 
• Lokibot è stato diffuso con una campagna in italiano a tema Pagamenti: l'allegato vettore è un archivio .ZIP contenente a sua volta un file .ISO. 
• Adwin è stato individuato in diffusione con una prima campagna email che veicolava allegati JS: l'allegato JS conduceva al download di un file. ZIP contenente anche un file .JAR. La campagna odierna, in corso, utilizza invece un file .ZIP in allegato. 

Le patch, queste sconosciute: ecco Epsilon Red, il nuovo ransomware che bersaglia i server Microsoft Exchange (ancora) vulnerabili a ProxyLogon

La vicenda legata a Proxylogon, l'insieme di vulnerabilità che affliggono i server Microsoft Exchange e che sono state usate per violare vittime di alto livello (ma non solo), pare essere ancora lontana dal trovare una soluzione. Paradossalmente, perché le 4 vulnerabilità che costituiscono ProxyLogon sono state già risolte da Microsoft ormai tempo fa: il problema quindi, di nuovo, sta nel fatto che gli utenti non installano la patch. La situazione si è fatta così grave e preoccupante, sia per la tipologia che per il numero di attacchi portati sfruttando ProxyLogon, da aver obbligato qualche tempo fa l'NSA a intervenire in prima persona rimuovendo le web shell dai server compromessi addirittura senza avvisare i proprietari.

Per approfondire > Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

ProxyLogon è stato ampliamente pubblicizzato e, una volta capite le potenzialità di queste falle, cyber criminali in tutto il mondo hanno iniziato a scansionare a tappeto il web in cerca di server che mostrassero queste vulnerabilità. Il perché è semplice: ProxyLogon è una vera e propria porta aperta sui server Microsoft e può essere sfruttata (e già lo è) per portare svariate tipologie di attacchi, ransomware compresi. E qui che entrano in gioco DearCry e, la scorsa settimana, Red Epsilon. 

Nuova variante della campagna email sLoad si diffonde via PEC: il CERT interviene e la blocca prima che possa diffondersi

La scorsa settimana, sLoad è stato messo in distribuzione tramite email di spam veicolate entro il circuito PEC: la campagna era mirata contro utenti italiani, le email veicolavano un allegato  .ZIP contenente, a sua volta, un altro allegato .ZIP. 

La campagna è stata a tema "Pagamenti", oggetto email era [RAGIONE_SOCIALE]: entro l'allegato .ZIP è annidato uno script WSF usato come dropper, per scaricare appunto il malware sLoad. La cosa interessante è stata che questa campagna malware è stata contrastata grazie al contributo dei gestori PEC coinvolti.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 15-21 Maggio
La scorsa settimana il CERT ha individuato e analizzato 42 campagne dannose attive in Italia: 38 hanno mirato direttamente obiettivi italiani, 4 sono state invece campagne generiche veicolate anche in Italia. 298 sono stati gli indicatori di individuati.

Le famiglie di malware individuate in diffusione sono state 10, per un totale complessivo di 12 campagne. 

• Qakbot è distribuito con campagne che, dalla scorsa settimana, non si sono interrotte. Le più recenti sono due campagne email mirate per utenti italiani, a tema Documenti. L'allegato vettore è un archivio .ZIP contenente un file XLSM o un file XLS con macro dannosa;
• Formbook torna in diffusione con due campagne, a tema Ordini e Contratti. La prima è una campagna generica, che è stata però veicolata anche in Italia: in questo caso l'allegato vettore era un archivio .ZIP contenente un eseguibile .EXE. L'altra campagna email è invece stata mirata contro utenti italiani e utilizzava un allegato .ISO;
• Lokibot non ha mai interrotto la campagna di diffusione avviata, ormai, ben due settimane fa. Il file vettore è sempre in formato .ISO,  ma è cambiato il tema passato da "Ordini" a "Pagamenti";
• Dharma - torna in diffusione in Italia il ransomware Dharma. La campagna, mirata contro utenti italiani, sfrutta allegati .ZIP contenenti un HTA che funge da dropper. E' questo file che scarica il ransomware Dharma da un dominio compromesso, localizzato in Spagna: la particolarità di questa variante di Dharma è che riporta, hard-coded, le credenziali del database mysql del server di comando e controllo;

Ransomware Qlocker: QNAP conferma l'uso di HBS come backdoor, ma Qlocker ha già chiuso i battenti

QNAP ha sollecitato gli utenti ad aggiornare l'app di disaster recovery Hybrid Backup Sync - HBS3 per impedire al ransomware Qlocker di colpite i propri NAS QNAP esposti su Internet. 

"Il ransomware conosciuto come Qlocker sfrutta la vulnerabilità CVE-2021-28799 per attaccare i NAS QNAP che eseguono certe versioni di HBS3" hanno fatto sapere con apposito avviso di sicurezza. 

Insomma, per impedire a Qlocker di infettare il proprio NAS QNAP basta aggiornate HBS3 all'ultima versione disponibile. 

La vulnerabilità CVE-2021-28799
E' una vulnerabilità che conduce ad autorizzazioni improprie sul dispositivo. Se correttamente sfruttata,  agisce, nei fatti, come un account backdoor che consente all'attaccante di accedere a dispositivi che eseguono versioni obsolete di HBS3. Questa vulnerabilità è già stata risolta per le versioni HBS3:

Il trojan bancario Bizarro sta colpendo oltre 70 banche in Europa e Sud America: prese di mira anche banche italiane

Bizarro è un trojan bancario nato in Brasile ma che, da qualche settimana, ha varcato i confini e sta bersagliando i clienti di oltre 70 diversi istituti bancari in Europa e in Sud America. Una volta che è riuscito a violare un sistema Windows, questo trojan cerca in ogni modo di ingannare gli utenti a inserire le proprie credenziali bancarie e, tramite varie tecniche di ingegneria sociale, a convincerli a diffondere i codici di autenticazione a due fattori. 

La diffusione
Bizarro è un trojan piuttosto pericoloso perchè è costantemente in sviluppo: i suoi gestori allungano continuamente la lista delle banche bersaglio e implementano a cadenza molto ravvicinata molte tecniche per prevenire l'individuazione da parte di soluzioni di sicurezza ma anche per rendere più complicata possibile l'analisi del codice da parte dei ricercatori di sicurezza. 

Stando ai dati telemetrici ad ora disponibili, Bizarro sta colpendo gli utenti di istituti bancari in nazioni nelle quali la sua presenza non era mai stata registrata: in Europa il trojan si concentra sui clienti di istituti bancari tedeschi, spagnoli, portoghesi, francesi ed italiani, mentre in Sud America i più colpiti sono i clienti di banche cilene, argentine e brasiliane. 

La campagna di attacco
Bizarro viene diffuso con la più classica email di phishing che, prodotta in più lingue, riferisce comunque allo stesso tema: le email sono mascherate da messaggi ufficiali che riferiscono a fantomatici ammanchi e obblighi fiscali. Il corpo del messaggio contiene un link dal quale viene scaricato, in formato .MSI, il trojan. 

Una volta avviato, il malware scarica un archivio .ZIP con i componenti dannosi dei quali necessita collegandosi a server appositamente compromessi sui servizi WordPress, Amazon e Azure.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 8-14 Maggio
Questa settimana il CERT-AGID ha individuato e analizzato ben 41 campagne dannose attive: 4 di queste sono state generiche ma veicolate anche in Italia, mentre 37 miravano esplicitamente ad obiettivi italiani. 217 sono stati gli indicatori di compromissione messi a disposizione.

Le famiglie malware individuate in diffusione sono state 7, distribuite con 11  diverse campagne. In dettaglio:

Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

Certo, non è una novità: sono molteplici gli strumenti legittimi che vegono "piegati" a finalità illegittime da parte dei cyber attaccanti. Caso eclatante, putroppo già da qualche anno e Microsoft non sembra riuscire a porre rimedio al problema, è quello che riguarda BitLocker: BitLocker Drive Encryption è una funzionalità di protezione dei dati che consente di criptare parti oppure intere partizioni del sistema operativo. Nato quindi come strumento di sicurezza è in uso già da qualche anno come vero e proprio ransomware.

Ora ci siamo di nuovo: alcuni ricercatori di sicurezza hanno individuato e analizzato una campagna di distribuzione malware che sfrutta il tool di sviluppo Microsoft Build Engine (MSBuild) per distribuire prima il RAT Remcos, quindi, ottenuto il controllo remoto del sistema target, il malware infostealer e per il furto di credenziali RedLine. La campagna è iniziata ad Aprile ma è tutt'ora in corso ed è estremamente preoccupante perchè riesce ad eludere i controlli delle soluzioni antivirus più diffuse.

I protagonisti
Microsoft Build Engine (MSBuild) in breve
è uno strumento creato da Microsoft per sviluppare applicazioni tramite file di progetto .XML: ha funzionalità che consentono l'attività inline, rendendo possibile compilare codice ed eseguirlo direttamente in memoria. E' proprio questa capacità di eseguire codice in memoria che ha aperto la strada ad usi illegittimi del tool, garantendo agli attaccanti, in estrema semplicità la possibilità di sferrare attacchi fileless: gli attacchi fileless sono estremamente difficili da individuare perchè non scaricano alcun file sul sistema, ma anche perchè non lasciano tracce sulla macchina infetta.

Rispetto a questa campagna di attacco, i ricercatori non hanno chiare lemodalità con cui sono distribuiti i file progetto di MSBuild (file formato .proj), ma sono stati determinati con certezza i payload distribuiti, ovvero RAT Remcos e lo Stealer RedLine.

Remcos RAT in breve:

La settimana nera dei ransomware: Darkside chiude i battenti mentre il ransomware Conti paralizza il sistema sanitario irlandese

 
Ransomware scatenati, ransomware ovunque, ransomware che alzano sempre più il tiro: le ultime due settimane sono state costellate di attacchi ransomware di peso. Forse troppo, a giudicare dalla vicenda di Darkside.

Darkside l'ha fatta troppo grossa: operazioni interrotte, infrastruttura down dopo operazione delle forze dell'ordine
Del ransomware Darkside abbiamo parlato qualche giorno fa, quando si è reso protagonista dell'attacco ad una delle più importanti infrastrutture degli Stati Uniti: parliamo dell'oleodotto Colonial Pipe. Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. L'attacco ransomware lo ha paralizzato, costringendo il presidente Joe Biden a dichiarare lo stato di emergenza e attuare una serie di misure volte ad evitare la mancanza di carburante in una parte estesa del paese. L'azienda ha deciso subito di pagare il riscatto, ma il governo statunitense ha scatenato una vera e propria caccia all'uomo in cerca dei responsabili.

A rivelare notizie interessanti sul fatto è stato UNKN, uno dei portavoce della gang ransomware rivale di Darkside, ovvero Revil. UNKN ha fatto sapere che gli sviluppatori di Darkside hanno completamente perso l'accesso alla parte pubblica della loro infrastruttura: in dettaglio non possono più accedere al blog, ai server DOS, al server di pagamento a seguito di un attacco sferrato contro la loro infrastruttura dalle forze dell'ordine statunitensi. Agli operatori di Darkside non è rimasto altro da fare che sospendere le attività e interrompere il programma di affiliazione.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 1-7 Maggio
La scorsa settimana il CERT-AgiD ha individuato e analizzato 28 campagne dannose: di queste 3 sono state generiche e veicolate anche nello spazio italiano mentre 25 sono state mirate contro obiettivi italiani. 163 sono stati gli indicatori di compromissioni (IOC). 

Le famiglie di malware individuate sono state 4, soltanto 6 le campagne malware. Ecco i punti salienti:

• Raccoon: è stato individuato in diffusione in Italia per la prima volta, con due diverse campagne a tema pagamenti. Le email contenevano allegati in formato .XLSB. E' un malware che, fino ad ora, ha colpito quasi esclusivamente negli Stati Uniti;
• Formbook è stato in diffusione anche questa settimana, con due diverse campagne email: una a tema pagamenti e una a tema ordine. Le email utilizzavano allegati in formato .ZIP e .GZ;
• AgentTesla è stata veicolata con una sola campagna a tema Pagamenti: le email contenevano allegati in formato .ZIP;
• Urnsif è stato rilevato in diffusione con una sola campagna malware a tema Delivery: le email veicolavano il malware via allegato .XLSM. 

Raccoon in breve:

Il Garante tedesco blocca Facebook: non potrà usare i dati di Whatsapp per tre mesi. La vicenda arriva nelle mani del Garante europeo

Il Garante tedesco è stato chiaro ed estremamente rigido: l'ordinanza emessa qualche giorno fa impone a Facebook Ireland lo stop all'uso dei dati raccolti dalla sua controllata Whatsapp. Motivazione? L'Autorità di Amburgo ravvede, nell'uso da parte di Facebook dei dati personali raccolti da Whatsapp , di "scopi privati": manca cioè quello che può essere definito come un interesse legittimo a trattare tali dati. 

"La decisione - spiega il Garante tedesco - ha lo scopo di salvaguardare i diritti e le libertà di quei milioni di utenti tedeschi che hanno rifiutato di approvare i nuovi termini di utilizzo".

Lo stop di 3 mesi si deve anche al fatto che il Garante tedesco si rivolgerà al Garante Europeo (EDPS) allo scopo di estendere il blocco a questo trattamento in tutti i 27 stati UE. La procedura d'urgenza durerà appunto 3 mesi. Il Garante tedesco ha fatto anche sapere di aver inviato una richiesta "per indagare sulle attuali pratiche di data sharing" alla Commissione per la Protezione dei Dati irlandese, ma questa non è stata presa in considerazione (e così rinfocolano le polemiche sul Garante irlandese, colpevole secondo alcuni di eccessivo lassismo verso le Big Tech). 

L'ordinanza del Garante segue la decisione, preannunciata da Whatsapp, di una progressiva restrizione delle funzioni degli account Whatsapp di quegli utenti che hanno rifiutato di rinunciare al controllo dei propri dati decidendo di non condividerli con Facebook a partire dal 15 maggio 2021. La decisione iniziale per coloro che non avranno accettato la nuova policy di Whastsapp era quella di cancellare tali account, ma con l'aggiornamento della policy della scorsa settimana è stato fatto un passo indietro, introducendo la "sanzione" delle funzioni ridotte. 

Attacco ransomware blocca il più grande oleodotto negli Stati Uniti: Biden dichiara lo stato di emergenza

I ransomware non fanno, ormai, più sconti a nessuno: se l'ondata verso le piccole e medie aziende non si è arrestata mai (e Ryuk continua a fare da protagonista), la scorsa settimana c'è stato un vero e proprio picco di attacchi contro laboratori e strutture sanitarie un pò in tutto il mondo. D'altronde, come dichiarato recentemente dagli appartenenti alla banda Revil, attualmente la più pericolosa famiglia ransomware in attività, gli ospedali sono bocconi prelibati perché deboli in termini di cyber sicurezza, ma con una necessità estrema di rientrare in possesso dei dati e riattivare i sistemi fosse anche solo per tutelare vite umane. 

Ha fatto però notizia sui media di tutto il mondo un attacco ransomware in particolare, i cui effetti hanno davvero messo in ginocchio gli States costringendo addirittura il Presidente Biden a dichiarare lo stato di emergenza: parliamo dell'attacco ransomware che ha colpito il Colonial Pipeline, il più grande oleodotto del paese.

Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 24 - 30 Aprile
Questa settimana il CERT-AgID ha individuato e analizzato 39 campagne dannose: una sola generica ma veicolata anche in Italia, mentre 38 sono state mirate contro obiettivi italiani. Addirittura 504 sono stati gli indicatori di compromissione messi a disposizione. 

Sette sono state le famiglie malware individuate, in diffusione con 17 diverse campagne malware. Ecco i dettagli:

WeSteal, il primo malware as a service made in Italy venduto nel World Wide Web

Gli esperti di sicurezza della unit24 di Palo Alto Network hanno lanciato, qualche giorno fa, un alert riguardante un nuovo malware chiamato WeSteal. Da quella che doveva essere una comune analisi di un malware nuovo, come succede tutti i giorni, sono però emersi particolari molto interessanti che puntano i riflettori sull'Italia. 

Infatti WeSteal, del quale rendiamo sotto un riassunto dell'analisi tecnica, è prodotto e distribuito secondo la forma organizzativa del malware as a service (MaaS) da ComplexCodes, una programmatore che vende questi prodotti nel World Wide Web ed ha sede in Italia (il sito wesupply.to è attualmente irraggiungibile). 

Come funzionano le truffe Business Email Compromise? Come la Polizia postale ha sventato una truffa contro un'azienda di Gorizia

Degli attacchi BEC abbiamo parlato spesso come una delle evoluzioni delle truffe via email contro le aziende. Gli attaccanti falsificano o compromettono uno o più account aziendali di dirigenti o dipendenti di alto livello che hanno accesso alle finanze aziendali e sono abilitati ad eseguire bonifici bancari, per sfruttarli al fine di far eseguire pagamenti truffaldini. Gli account aziendali vengono compromessi con attacchi di phishing, con malware e altre forme di attacco, ma non è affatto raro che vengano anche appositamente creati sfruttando le informazioni personali rintracciabili sul web della persona che gli attaccanti vogliono impersonificare. 

Lo schema classico prevede che gli attaccanti inviino dall'account email compromesso / falso di un dirigente (spesso il CEO aziendale) all'account di un dipendente abilitato ad eseguire bonifici, una email in cui viene richiesto di eseguire urgentemente un pagamento verso un soggetto terzo. Il dipendente che non riconosce la truffa, finisce per eseguire bonifici su conti anonimi collegati agli attaccanti e molto spesso è assai difficile, se non quasi impossibile, rintracciare quei soldi. Ugualmente è anche possibile che gli attaccanti impersonifichino un fornitore comunicando un "semplice cambio di IBAN". 

Per approfondire > Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi 

La truffa contro l'azienda agricola di Gorizia
La vicenda in oggetto trae origine dalla denuncia, da parte di un'azienda agricola di Gorizia, di una frode informatica che aveva portato al dirottamento di un bonifico per il pagamento di una fattura da circa 60.000 euro. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 17 - 23 Aprile
Nel corso della settimana, il CERT ha individuato e analizzato 42 campagne dannose: solo 4 di queste sono state generiche ma veicolate anche in Italia, mentre le restanti 38 erano mirate contro obiettivi italiani. Oltre 550 gli indicatori di compromissione individuati. 

Le famiglie malware individuate sono state 8, circolanti con 16 campagne complessivamente. 

Finisce un'era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell'ordine smantellano definitivamente la botnet

Emotet è (stata) una delle più pericolose botnet mai esistite, responsabile di campagne di spam di proporzioni epocali. Il malware Emotet è stato individuato per la prima volta nel 2014 ed aveva una sola definizione possibile: era un trojan bancario, specializzato nel furto di credenziali bancarie e dei dati delle carte di credito. E' poi, piano piano, evoluto in una botnet usata da uno specifico gruppo di attaccanti (TA542, anche detti Mummy Spider) per distribuire ulteriori payload malware di secondo stadio. Tra questi, Emotet ha distribuito sulle macchine delle proprie vittime i payload dei trojan QakBot e TrickBot (quest'ultimo, a sua volta, ha accordi di distribuzione con i gestori dei ransomware Ryuk e Conti).

Per dirla in breve, con le parole dell'Europol: "l'infrastruttura di Emotet agiva essenzialmente come apri porta principale sui sistemi informatici su scala globale. Una volta stabilito l'accesso non autorizzato, questo viene venduto ad altri gruppi di cyber attaccanti di alto livello per svolgere ulteriori attività illecite come il furto dati o l'estorsione ransomware".

Ora, finalmente, si può dire che il problema è risolto: l'infrastruttura è definitivamente smantellata perchè il malware, a partire da domenica, si sta auto cancellando da ogni dispositivo infetto, liberando i pc - bot e determinando il collasso della botnet stessa. Ciò è stato reso possibile da una operazione congiunta delle forze dell'ordine che, a Gennaio, sono riusciti a prendere il controllo del server di Emotet e a sabotare le operazioni malware. L'operazione condusse anche all'arresto, da parte della polizia ucraina, di 2 persone sospettate di aver gestito e mantenuto l'infrastruttura di Emotet  per anni e che, ad ora, rischiano 12 anni di carcere. 

"Questo malware si autodistruggerà in 3,2,1..."