Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 18 - 24 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 21 campagne dannose: praticamente tutte sono state mirate contro utenti italiani, mentre una sola campagna è stata generica ma veicolata anche in Italia. La principale minaccia, spiegano dal CERT resta comunque la vulnerabilità Log4Shell di Log4j, per la quale sono stati resi disponibili più di 26800 indicatori di compromissione (IoC).

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Per approfondire > CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

4 sono state le famiglie malware individuate in diffusione e c'è la conferma definitiva che Emotet è rinato dalle proprie ceneri:

• Emotet è stato individuato in diffusione  con una campagna che sfrutta comunicazioni fake della Pubblica Amministrazione: nel corpo email un link che punta al download di un file in formato XLS. Alcune di queste email sono state inviate ad account PEC da falsi account PEC;
• Formbook è stato in diffusione con una campagna a tema Pagamenti: le email veicolano un allegato .ZIP dannoso;
• Dridex è stato ancora in diffusione tramite la vulnerabilità Log4Shell;
• Diamondfox è stato in diffusione in Italia con una campagna a tema Covid-19: lo schema di infezione prevede il download di un file .ZIP contenente il malware. Il server di comando e controllo è sul dominio altervista.org.

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

DiamondFox in breve:

NAS QNAP: il ransomware eChoraix (QNAPcrypt) di nuovo in diffusione. Già molti attacchi in Italia

Ne danno notizia i siti e i portali di informazione specializzati e possiamo purtroppo confermare la cattiva notizia, visto il numero di professionisti, aziende e home user che ci stanno contattando per supporto: il ransomware eChoraix, conosciuto anche come QNAPcrypt, è di nuovo in diffusione. Siamo alla ennesima campagna di diffusione, nonostante ormai da 2 anni QNAP abbia pubblicato appositi avvisi di mitigazione e upgrade. 

Per approfondire > NAS QNAP sotto attacco: campagna di diffusione del ransomware QNAPCyrpt

La nuova ondata di attacchi ha approfittato delle festività
I primi dati disponibili provengono dal servizio di analisi ransomware IDransomware: i suoi gestori spiegano come vengano riportati regolarmente attacchi di eChoraix contro NAS QNAP e Synology, ma dal 20 Dicembre in poi si è registrato un vero e proprio boom di invii al servizio. Si può dire che il boom di attacchi sia iniziato il 19 Dicembre e terminato il 26 Dicembre. 

Fonte: IDransomware

Insomma, copione già visto, gli attaccanti hanno atteso il periodo delle festività per scatenare gli attacchi, sapendo di avere maggiori possibilità di colpire professionisti o aziende chiuse o comunque sotto organico. 

Quale vettore di infezione?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 11 - 17 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose attive nel cyber spazio italiano. Ovviamente il report del CERT cita la vulnerabilità critica Log4Shell di Log4J, sicuramente la minaccia più pericolosa al momento. Qui i 5114 IoC resi disponibili dal CERT per mitigare questa minaccia. 

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

3 sono state le famiglie malware trovate in diffusione, alla quale vanno aggiunti però gli attacchi portati tramite Log4SHell per distribuire altri malware (Dridex e non solo).

Dridex, il malware bancario più diffuso in Italia, è l'ennesima minaccia che sfrutta la vulnerabilità di Log4j

E' una presenza fissa dei bollettini informativi settimanali del CERT-AgID: basta cercare "Dridex" nella barra di ricerca del sito https://cert-agid.gov.it per vedere confermata la sua circolazione in Italia dai dati telemetrici. La novità, preoccupante, è che Dridex non viene più diffuso soltanto tramite email di phsihing ma, come gran parte del cyber crime, sta approfittando della grave vulnerabilità Log4Shell della libreria Java Log4j. Andiamo con ordine.

Dridex in breve
Dridex è un malware bancario: è in diffusione dal 2011, ma ha subito negli anni vari upgrade divenendo una minaccia molto sofisticata. Nel 2020 è entrato nella lista dei top10 malware più diffusi al mondo. In Italia è una presenza fissa ormai, tantoché il nostro paese è considerato uno di quelli maggiormente impattati da questa cyber minaccia. 

Nato come malware finalizzato al furto di credenziali bancarie online si è evoluto nel tempo fino a divenire un downloader: viene usato cioè per scaricare e attivare vari moduli che eseguono diverse attività dannose come installare ulteriori payload, diffondersi su altri dispositivi, fare screenshot e fungere da keylogger ecc..  Note e famigerate sono ormai le sue collaborazioni con i ransomware: Dridex funge da downloader dei ransomware BitPaymer e DopplePaymer permettendo di monetizzare al massimo un attacco. 

Dridex: come si diffonde?

Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

I CSIRT vengono da lontano: iniziamo dal 1988
Nel 1998, un laureato fresco di studi ad Harward decide di lanciare sull'Internet del tempo il suo codice dannoso: è un worm, che lo studente Robert Morris lancia su una rete che al tempo contava 60.000 computer connessi tra enti governativi, militari ed universitari. In meno di 24 ore cadono vittime del worm oltre 6000 macchine e Morris raggiunge il suo obiettivo: dimostrare la totale inadeguatezza delle misure poste a protezione della rete. 

Morris, per fortuna, non è un cybercriminale e, di fronte al dilagare del suo worm, abbozza il primo tentativo mai registrato di Incident response: invia infatti in forma anonima le istruzioni necessarie non solo per rimuovere il suo worm, ma anche per impedire che possa di nuovo infettare le macchine bersaglio. Peccato che la rete sia in totale paralisi per il suo attacco e le informazioni non arrivino in tempo. Il worm continua a fare danni e diventano palesi l'assenza totale di coordinamento tra i vari "nodi" della rete nonché i problemi comunicativi.

L'agenzia USA DARPA, che finanzia progetti di ricerca di sicurezza nazionale, colpita profondamente dalle azioni di Morris, istituisce il primo centro di incident response per la risposta coordinata ai cyber attacchi. E' il primo CERT - Computer Emergency Response Team Coordination Center della storia, che poi si evolverà negli CSIRT- Computer Security Incident Response Team.

CERT e CSIRT sono poi stati istituzionalizzati in tutto il mondo.

La Direttiva NIS plasma il volto della cyber security europea
Approvata nel 2016, la  Direttiva Europea 1148/2016, detta Direttiva NIS mira a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

Log4Shell: prima installazione ransomware sfruttando la vulnerabilità di Java Log4j (risolvibile!)

La CVE-2021-44228 in breve
La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria. 

In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.15.0.

Nota Bene: la  vulnerabilità è stata risolta nella versione Log4j 2.16.0, scaricabile qui. Consigliamo l'update prima possibile!

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Il primo exploit di Log4Shell per installare ransomware
I ricercatori di sicurezza hanno riportato ieri martedì 14 Dicembre la notizia della prima famiglia ransomware che sta attivamente sfruttando l'exploit della CVE-2021-44228 per installare ransomware. 

Nel caso in oggetto, l'exploit scarica una classe Java da hxxp://3.145.115[.]94/Main.class: questa classe viene caricata ed eseguita nell'applicazione L0g4j. Una volta caricata, questa scarica un binario .NET dallo stesso server per installare il nuovo ransomware, chiamato Khonsari.

Il nome Khonsari deriva dall'estensione che il ransomware stesso appone alla fine del nome del file e ricorre anche nella nota di riscatto

Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

N.B: consigliamo la lettura dell'aggiornamento in fondo all'articolo

Ci siamo presi del tempo prima di scrivere qualcosa rispetto a questa gravissima vulnerabilità che affligge Log4j, sviluppato dalla Apache Foundation e che è utilizzato sia per le app che per i servizi cloud nelle aziende di tutto il mondo. E' stato necessario del tempo perché si placassero chiacchiericcio, isteria e panico, che hanno determinato una buona fetta di disinformazione. Il panico non è mai utile, soprattutto nella cybersecurity dove avere le idee chiare è condizione necessaria (anche se non sufficiente) ad approntare efficaci mitigazioni ed evitare il peggio.

Qui non ci prendiamo l'onere di trattare l'argomento con completezza ma il fatto che questa vulnerabilità 0-day, registrata come CVE-2021-44228, abbia ottenuto un punteggio di 10/10 sulla scala CVSSv3 ribadisce la sua criticità e pericolosità: descrivere i punti salienti e fornire ulteriori materiali di approfondimento (ben verificandone le fonti) è quindi dovuto e necessario. D'altronde è un dato di fatto: Java è ovunque, quindi anche questa vulnerabilità è ovunque. E già circolano exploit e si registra un picco di attacchi verso la libreria Log4j. Ma andiamo con ordine

La CVE-2021-44228: dettagli tecnici
La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto nella libreria Java Log4j. Log4J è una libreria basata su Java che è utilizzata come tool di logging per strumenti ed applicazioni varie. 

Log4Shell è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria. 

In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.15.0.

ULSS Padova, Comune di Torino, Alia Servizi ambientali Toscana, Clementoni: continua il cyber bombardamento contro aziende, enti e istituzioni italiane

Non c'è tregua: aziende, enti e istituzioni italiane continuano ad essere sotto un fitto cyber bombardamento. Certo, attacchi contro Comuni e Aziende sanitarie fanno molto notizia, ma quel che fa meno notizia sono gli attacchi contro piccole e medio grandi aziende italiane. Il sito Double Extortion, il cui gestore monitora i siti di leak dei principali ransomware attualmente attivi, riporta molti attacchi in Italia, molti più di quelli che hanno fatto notizia:

Fonte: https://doubleextortion.com

Le novità di queste ultime settimane sono l'attacco con estorsione ad Alia Servizi ambientali Toscana, la pubblicazione del primo sample di dati sottratti al Comune di Torino, l'attacco contro Clementoni e l'ULSS di Padova. 

1. Alia servizi Ambientali: 400.000 euro di riscatto

Cybersecurity: eppur si muove! Gli investimenti delle aziende italiane sono aumentati del 134%

Certo, la pandemia ha giocato un ruolo importante nella faccenda: il picco di attacchi informatici che si è visto scatenarsi in questi ultimi due anni era futuribile, ma forse neppure noi addetti al settore potevamo prevedere un volume tale di attacchi. Futuribile però perchè, con l'aumentare del ricorso allo smart working e al tele lavoro, i dipendenti da remoto hanno concorso all'aumento della superficie di attacco: aggiungiamoci i tanti che hanno lavorato da casa con pc e tablet proprio, mischiando vita privata e vita lavorativa, magari con macchine osbolete o eseguenti software vulnerabili e il gioco è fatto.

Non solo smart working comunque: in generale il cyber crime ha affilato le armi, si è fatto sempre più pericoloso per tipologia di attacchi, efficacia degli stessi al punto da aver prodotto un volume di "affari" pari al 6% del PIL mondiale.

Per approfondire > Rapporto Clusit 2021: +12% di attacchi informatici nel mondo. Il cybercrime produce il 6% del PIL mondiale

Uno scenario che non ha fatto sconti a nessuno, Italia compresa: i dati della Polizia Postale parlano chiaro, con un +246% di attacchi informatici nel 2020. E il 2021 non sta andando meglio: dati del Viminale parlano di una media di 800 cyber attacchi al giorno solo nella prima metà di quest'anno.

Lo stato della cybersecurity nelle aziende italiane
La nota positiva è che, finalmente, si sta diffondendo, volenti o nolenti, la consapevolezza del problema: almeno così confermano i numeri dell'indagine che Twt ha svolto sul punto, assieme all'istituto di ricerca Eumetra MR. Le aziende italiane hanno iniziato ad investire seriamente in cyber security.

Qualche numero:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 20 - 26 Novembre
La scorsa settimana il CERT ha individuato e analizzato 44 campagne dannose: 38 di queste sono state mirate contro obiettivi italiani, mentre 6 erano generiche e veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 8, diffuse con 14 diverse campagne. Ecco il dettaglio:

• Formbook è stato diffuso con 4 campagne diverse. I temi sono stati Ordine e Pagamenti: le email veicolavano allegati Office in formato .DOC e .XLSX;
• Dridex è stato diffuso con 4 diverse campagne, due mirate contro utenti italiani e due generiche a tema Pagamenti e Premi: le email veicolavano allegati in formato .XLB e .XLS;
• Urnsif è stato veicolato con una campagna a tema Energia: l'email recava una finta bolletta in formato .XLS;
• Lokibot è stato diffuso con una campagna a tema ordine: le email contenevano allegati in formato archivio .ZIP;
• Emotet torna dopo dieci mesi di inattività. Rinato dalle proprie ceneri, torna in diffusione anche in Italia, con una campagna a tema Documenti: le email recavano allegati .ZIP;
• sLoad si conferma in diffusione mirata in Italia. La nuova campagna di diffusione, a tema Documenti e con allegati .ZIP, circolava via circuito PEC: è stata contrastata grazie alla collaborazione tra il CERT e gestori di servizi PEC;
• Qakbot è stato diffuso con una campagna a tema Resend: le email contenevano un link ad un file archivio .ZIP;
• AgentTesla è stato diffuso con una campagna a tema pagamenti: le email contenevano allegati in formato .IMG.

Il Comune di Torino lotta da giorni contro un attacco ransomware: l'accesso alla rete tramite un PC dei Vigili Urbani

Il Comune di Torino è sotto attacco da giorni: il calvario è iniziato Lunedì 15 Novembre, di buona mattina quando i dipendenti sono rientrati al lavoro dopo il fine settimana e si sono accorti di severi malfunzionamenti alle proprie postazioni. Problemi tali da impedire loro di svolgere le proprie mansioni. 

Alle 10.30 dello stesso giorno nella Home Page di Città di Torino, il Comune informa della sospensione dell'attività dell'anagrafe e di altri uffici per "malfunzionamento" al sistema informatico. Chi si aspetta un semplice problema tecnico viene smentito poco dopo:

"La Città di Torino comunica che, a causa di un probabile attacco hacker al proprio sistema informativo, è stata sospesa questa mattina l'attività di alcuni servizi, tra cui quelli anagrafici." 

Iniziano quindi a trapelare le prime voci che parlano di "attacco ransomware", forse ad opera della banda di Conti: il sito di leak del ransomware Conti però non riporta, come di consueto, alcuna rivendicazione dell'attacco né pubblica sample dei dati esfiltrati dalla rete.

Per approfondire > Cyber attacchi in Italia: anatomia del ransomware Conti

Il comparto IT del comune mette offline 7500 postazioni e server per controllare e impedire la diffusione del ransomware all'intera infrastruttura IT. Alcuni dipendenti confermano di aver visualizzato una nota di riscatto al momento dell'accensione della postazione lavorativa. Qualche grattacapo anche per la Polizia Municipale, che registra il down dei una serie di servizi di sportello. Viene anche sospeso qualsiasi accesso remoto all'infrastruttura aziendale. 

Bad news da Microsoft: dilagano i tentativi di brute forcing. Ma i dati forniscono indicazioni utili sulla password perfetta

Più che parola di Microsoft è parola di un dipendente di Microsoft: dipendente che, da anni, raccoglie ed analizza i dati di rete proveniente dai server honeypot di Microsoft. I risultati? In parte scontati, ma comunque interessanti.

A partire dal fatto che la maggior parte degli attaccanti che tentano il brute forcing delle password esegue prima di tutto tentativi con password brevi: i dati mettono nero su bianco il fatto che sono davvero poche le password lunghe o complesse che vengono prese di mira. 

"Ho analizzato le credenziali prese di mira in oltre 25milioni di attacchi di brute force contro le secure shell. Sono dati provenienti dai sensori di rete Microsoft in circa 30 giorni" ha dichiarato Ross Bevington, ricercatore di sicurezza presso Microsoft che di professione costruisce sistemi honeypot: parliamo di sistemi all'apparenza legittimi ma che servono ad attirare gli attaccanti al loro interno per poterne analizzare la azioni. E' una pratica molto usata dai ricercatori di sicurezza per verificare i trend nel mondo del cybercrime. 

Vediamo i dati nel dettaglio:

• il 77% dei tentativi totali registrati ha usato password tra 1 e 7 caratteri;
• solo il 6% dei tentativi ha visto l'uso di password superiori ai 10 caratteri; 
• soltanto il 7% dei tentativi di brute force ha previsto l'uso di un carattere speciale; 
• il 39% dei tentativi ha almeno un numero;
• 0% di attacchi che ha utilizzato password contenenti spazi vuoti.

I dati ci suggeriscono che la password più solida  (leggasi meno a rischio) è una password lunga almeno 8 caratteri, contenente caratteri speciali e spazi bianchi. Questo ovviamente, ci ricorda Bevington, se la password non è già trapelata precedentemente online: queste finiscono molto spesso nei dizionari usati dagli attaccanti.

IKEA sotto attacco: colpito il sistema email con un diluvio di email di phishing interno ai dipendenti.

Bleeping Computer riporta notizia, grazie ad alcune fonti interne, di un cyber attacco che ha colpito i sistemi email della multinazionale IKEA. In dettaglio gli impiegati sarebbero sotto un diluvio di email di phishing interno che usa lo schema reply-chain email.

Reply-chain email: info sullo schema di attacco
Per prima cosa è utile delineare il tipo di attacco che ha colpito Ikea. Per  reply-chain email si intende un attacco in cui un attaccante riesce a rubare email legittime aziendali e inizia a rispondere a queste con un link contenente un allegato dannoso che, a sua volta, installa un malware sul dispositivo del ricevente. E' un tipo di attacco molto efficace perché le email sono solitamente inviate da account e server compromessi interni all'azienda: i destinatari quindi si fidano dei contenuti ricevuti, provenienti da fonti in teoria legittime e c'è un'alta probabilità che queste email siano aperte e i contenuti visualizzati.

Ikea: l'attacco è ancora in corso
Questa è la tipologia di attacco subita da Ikea e che il colosso sta ancora fronteggiando. Bleeping Computer ha avuto accesso ad alcune email con le quali IKEA avvisa i dipendenti dell'attacco in corso, della tipologia di attacco (risposte a scambi email precedenti) e del fatto che sono coinvolti anche fornitori e partner. 

Fonte: https://www.bleepingcomputer.com

"Questo significa l'attacco può arrivare via email da parte di qualcuno con cui lavori, da qualsiasi azienda esterna e come risposto ad una conversazione già in corso. (Questo attacco) è molto difficile da individuare, motivo per cui chiediamo a tutti estrema cautela" si legge.

Reply chain email: il falso documento Office

Black Friday e furto carte di credito: il centro nazionale di sicurezza del Regno Unito accende i riflettori su MageCart

Vicino alle feste, che sia Natale, Pasqua, San Valentino fioccano gli articoli, gli alert, gli annunci riguardo ai rischi che si corrono pagando online: in questo caso però l'alert è "reale" nei termini che è stato individuato un volume tale di attacchi contro gli shop online da aver spinto il National Cyber Security Centre (NCSC) del Regno Unito a pubblicare un alert ad hoc su Magecart. 

MageCart: la campagna per il furto di carte di credito
MageCart è una minaccia informatica tutt'altro che nuova. Il problema è che non si riesce ad arginarla, ormai da anni, cosa che l'ha fatta assurgere al podio delle campagne di attacco contro il settore del retail e dello shopping online. 

Partiamo dall'inizio: MageCart, ovvero il "Carrello dei Maghi"  è il nome di un gruppo di cyber attaccanti che si è specializzato nel furto dei dati relativi alle carte di credito. Per ottenere tali dati questo gruppo attacca preventivamente gli e-commerce e inizia a raccogliere i dati che gli utenti inseriscono volontariamente. Il gruppo non è insolito attaccare piccoli e-commerce, ma ha messo le mani anche in contesti dove c'è abbondante miele: tra le vittime troviamo nomi quali British Airways, Ticketmaster, diverse catene alberghiere multinazionali ecc... Predilige gli attacchi sugli Amazon S3 Buckets non configurati correttamente: quello di Amazon è un servizio molto molto diffuso e utilizzato da aziende di piccole e grandi dimensioni e questo lo rende un obiettivo molto ghiotto. 

E' utile fornire qualche numero per concretizzare il rischio. RiskIQ, società di sicurezza americana, ha studiato e monitorato a lungo queste campagne di attacco: nel 2019 il 17%  degli annunci dannosi presenti nel web (malvertising) afferivano a campagne MageCart. L'alert dell'NCSC consegue al fatto che in pochissimi giorni sono stati violati oltre 4000 negozi online inglesi proprio a ridosso del black friday. 

Una particolarità: MageCart ha sviluppato un sistema di processi del tutto automatizzati che compromettono gli shop online senza necessità di intervento manuale da parte dei membri del gruppo. 

MageCart e il web skimming: la tecnica di attacco

L'alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all'indirizzo email della vittima

Il CERT AGiD lancia l'allarme rispetto ad una tipologia di cyber attacco affatto nuova, ma che ha fatto registrare una preoccupante crescita: parliamo del phishing adattivo. Il report completo del CERT è disponibile qui, ne rendiamo per utilità i punti salienti.

Phishing adattivo: che cosa è?
Per iniziare è utile dare una definizione chiara di cosa si intenda per phishing adattivo: si parla di campagne di phishing che hanno la particolarità di adattare il loro contenuto secondo il dominio dell'azienda / organizzazione di appartenenza della vittima. 

Che differenza quindi con le classiche campagne di phishing?
Nella classiche campagne di phishing loghi, riferimenti, contatti, personalizzazioni vengono decisi e approntati in precedenza dagli autori: all'avvio, la campagna ha contenuti fissi, che non mutano. La novità è che sempre più spesso sono intercettate campagne di phishing i cui contenuti variano in base al profilo della vittima: i contenuti sono cioè dinamici e variano in base al dominio dell'indirizzo email della vittima stessa. 

Phishing adattivo: un esempio pratico

Disaster Recovery Plan: cosa è, perchè è necessario, come si appronta

Disaster Recovery Plan: che cosa é?
Il Disaster Recovery Plan (DRP) è parte integrante della più ampia strategia che ogni azienda dovrebbe implementare per garantire la continuità operativa (Business Continuity), ovvero la capacità di una azienda di mantenere le proprie attività nel caso si verifichi un incidente o una grave emergenza che possa compromettere i dispositivi e gli hardware, ma anche i dati, i software e i documenti ecc.. 

Il Disaster Recovery Plan altro non è che la formalizzazione di una serie di misure sia tecniche che organizzative da seguire per il ripristino più tempestivo possibile delle infrastrutture e dei sistemi di dati necessari per le attività aziendali. Precisiamo subito che il DRP non riguarda soltanto la minimizzazione del tempo in cui sistemi e dipendenti non possono essere operativi, ma anche la quantità di dati persi che un disastro può causare. 

Disaster Recovery Plan: perché è necessario?
Le notizie di aziende colpite duramente da attacchi malware o ransomware rimbalzano sempre più spesso, quindi non c'è troppo bisogno di dilungarsi sull'urgenza di inserire il cyber crime tra i rischi aziendali. Quel che forse è meno chiaro è che ormai non basta più il backup dei dati per riportare l'azienda all'operatività: dopo un incidente infatti si rende necessario non solo ripristinare i file, ma anche tutti i software e le funzionalità. Ad esempio, se un server è reso inattivo da un incidente, non basterà ripristinare i dati, ma sarà necessario reinstallarlo e/o riconfigurarlo. 

Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italiane

E' stato rintracciato online, nel famoso forum dell'undergorund hacker RaidForums, dai ricercatori della cybersecurity firm italiana Yoroi: è un database contenente i dati di quasi 4000 tra CEO, responsabili team IT e responsabili comunicazione / marketing e non solo di centinaia di aziende italiane ed europee. Si va da istituzioni pubbliche a provider di servizi fino a società di consulenza, la maggior parte dei quali afferenti al settore bancario e finanziario italiano, ma anche Telco ecc..

Il post su RaidForum nel darkweb

Il post in questione si intitola "Contacts of 3K Executives and employees of Italian & EU fintech companies" e contiene, tra i tanti contatti a livello europeo, quelli di 3887 contatti di italiani: nella foto sotto la pivot ordinata per mansione della vittima

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 06 - 12 Novembre
Nel corso della scorsa settimana sono state individuate e analizzate 34 campagne dannose, 30 mirate contro obiettivi italiani e 4 invece generiche ma veicolate anche nel cyber spazio italiano. 361 gli indicatori di compromissione messi a disposizione dal CERT. 

Le famiglie malware individuate sono state 7, diffuse con 9 campagne malware. Nello specifico:

• AgentTesla è stato diffuso con due campagne mirate contro utenti italiani. Le campagne sono state a tema Pagamenti, con allegati .ISO e .GZ;
• Dridex è stato veicolato con due diverse campagne, entrambe generiche, a tema Pagamenti. Le email contenevano allegati .XLB;
• Flubot torna dopo 6 mesi di inattività. La campagna utilizza SMS per diffondere APK dannosi;
• Formbook è stato diffuso con una campagna generica a tema Pagamenti: le email veicolavano allegati .ARJ;
• Snake è stato diffuso con una campagna generica a tema Evento: l'email conteneva allegati .GZ;
• Lokibot è stato diffuso con una campagna generica a tema Pagamenti: le email contenevano allegati .ZIP;
• Qakbot è stato diffuso con una campagna mirata contro utenti italiani a tema Resend: le email veicolavano allegati .ZIP.

Flubot in breve:

Risolvibile la più recente versione del ransomware Thanos: qualche info tecnica

E' stata individuata una falla nell'algoritmo di criptazione della versione più recente del ransomware Thanos: è quindi risolvibile la maggior parte delle criptazioni eseguite con questo ransomware. Abbiamo ricevuto molte segnalazioni e richieste di supporto per questo ransomware, anche da utenti italiani: i dati telemetrici confermano una circolazione globale del ransomware, che però ha spesso colpito in Europa, Italia compresa. 

Coloro che hanno bisogno di assistenza possono consultare la pagina dedicata al servizio, contenente tutte le indicazioni necessarie per ricevere supporto > https://www.decryptolocker.it/

Thanos: come riconoscere l'infezione
Il primo problema che spesso si presenta alle vittime di ransomware è quello di riuscire a individuare il tipo di criptazione subite. Thanos ha alcune caratteristiche peculiari, che aiutano ad individuarlo:

> estensioni di criptazione: la maggior parte dei ransomware "aggiunge" al nome file una estensione che lo caratterizza. Le prime versioni di Thanos utilizzavano l'estensione .locked, le più recenti invece una estensione di 6 caratteri casuali. 

Esempio di file criptati da Thanos Ransomware

NB: le criptazioni in .locked non sono ancora risolvibili. Quelle con 6 caratteri casuali, ad opera della versione più recente del ransomware, sono invece risolvibili. 

Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

Di Emotet abbiamo parlato decine di volte: è unanimemente considerato il malware più diffuso al mondo nel passato, famoso (ma sarebbe meglio dire famigerato) per la sua botnet tramite la quale distribuiva milioni e milioni di email di spam con allegati dannosi ogni giorno. Questi allegati distribuivano il malware Emotet per infettare il dispositivo e renderlo parte della botnet, così da poter avviare ulteriori campagne di spam e installare altri payload. 

Emotet ha vantato nel passato collaborazioni con i malware di punta del cyber crime: parliamo di ransomware come Ryuk, Conti, Egregor ma anche altri malware, soprattutto QakBot (molto diffuso in Italia, anche nelle scorse settimane) e TrickBot. 

All'inizio dell'anno "il colpaccio" delle forze dell'ordine e dell'Europol: due persone finiscono in manette mentre la task force assume il controllo dell'infrastruttura della botnet. Di li a poco, la Polizia tedesca utilizza l'infrastruttura stessa per distribuire un modulo di Emotet che disinstalla il malware dai dispositivi infetti: è il 25 Aprile 2021. Quasi 700 server vengono scollegati dall'infrastruttura.

Per approfondire > Finisce un'era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell'ordine smantellano definitivamente la botnet

Bad news: Emotet is back

Il malware sLoad torna in diffusione in Italia dopo due mesi: individuata nuova campagna via email PEC

L'alert viene dal CERT che, assieme ad alcuni provider e gestori di infrastrutture PEC, ha individuato e analizzato una campagna email volta a veicolare il malware sLoad. Alert di questo tipo, con i relativi indicatori di compromissione, sono possibili grazie al lavoro congiunto che CERT e i provider PEC stanno svolgendo per monitorare, minimizzare e debellare i rischi informatici circolanti nel circuito PEC, del quale è imperativo garantire la massima sicurezza. 

La campagna in oggetto è stata distribuita il 14 Novembre, dalle ore 22.50: i destinatari si sono visti recapitare email PEC con un file allegato. 

Fonte: https://cert-agid.gov.it/

Questo file è un formato archivio .ZIP contenente, a sua volta, un altro .ZIP contenente un file DPF corrotto, un file immagine .PNG corrotto e un file .WSF (Windows Script File), il loader.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 30 Ottobre - 5 Novembre
Nel corso della scorsa settimana in CERT AgID ha analizzato 33 campagne dannose nel cyber spazio italiano: 30 hanno mirato ad obiettivi italiani, 3 sono state campagne generiche ma veicolate anche in Italia. 538 gli indicatori di compromissione messi a disposizione. 

5 sono state le famiglie malware individuate in diffusione, con 12 campagne. Ecco il dettaglio:

• Dridex è stato diffuso con 4 campagne generiche a tema Pagamenti: il malware è stato diffuso tramite allegati EXCEL .XLS  .XLSM con macro dannosa e con archivio .ZIP;
• Qakbot è stato diffuso con 3 campagne mirate a tema Resend: il file vettore era un allegato .ZIP:
• AgenTesla è stato diffuso con 3 campagne generiche e allegato in formato immagine .ISO e GZ;
• RedLine è stato rilevato in diffusione a seguito di attività di monitoraggio di una serie di domini sospetti. Il CERT ha pubblicato su questo malware una apposita news consultabile qui;
• Lokibot è stato diffuso con una campagne generiche, una a tema Ordine e una a tema Pagamenti: vettori attacco gli allegati .GZ.

RedLine in breve:

RedLine è un infostealer conosciuto fin dagli inizi del 2020: già diffuso all'estero entro utility o giochi, sbarca per la prima volta in Italia. E' un MaaS, malware as a service, affittabile via Telegram sotto abbonamento, con un costo che varia dai 150 dollari al mese agli 800 per 3 mesi. E' molto utilizzato per rubare informazioni da rivendere ma anche, sopratutto, credenziali in vista di attacchi futuri. Molto spesso è utilizzato per rivendere le informazioni rubate agli autori di ransomware. 

Rapporto Clusit 2021: +12% di attacchi informatici nel mondo. Il cybercrime produce il 6% del PIL mondiale

E' stato pubblicato il Rapporto Clusit 2021 e, di nuovo, è l'anno "peggiore di sempre" in termini di cybersecurity. Un dato su tutti può rendere chiaro il livello allarmante raggiunto dal cybercrime, anche sulla scia della pandemia e dell'aumento esponenziale delle superfici di attacco: il cybercrime ha superato il valore del 6% del PIL mondiale ed è divenuto, definitivamente e nei fatti, un'emergenza globale come hanno detto esplicitamente gli esperti che hanno presentato il Rapporto durante il Security Summit. 

Lo dice chiaro il Clusit, che presenta così il nuovo Report
"Fino all’anno scorso, avevamo l’abitudine di pubblicare a ottobre un rapporto di metà anno, che riprendeva in gran parte il rapporto principale, pubblicato ogni anno a marzo, con l’aggiornamento dei soli dati relativi agli attacchi del primo semestre dell’anno in corso. A partire da questa edizione, invece, abbiamo deciso di pubblicare un rapporto di metà anno con contenuti e dati completamente inediti rispetto a quello di marzo. E ciò è dovuto allo spettacolare incremento degli attacchi informatici, sia a livello quantitativo che qualitativo (per la gravità del loro impatto), che necessita di una costante attenzione".

Nel primo semestre del 2021 le cyber minacce sono ancora in aumento, soprattutto quelli dagli effetti e conseguenze gravi: questi segnano un +24% rispetto allo stesso periodo del 2020. Si è passati cioè da 156 attacchi di entità grave al mese nel 2020 ai 170 attacchi gravi al mese nel 2021. Di certo c'è che la situazione è più grave perchè le cifre sono sottostimate. 

Cyber attacchi: le finalità di attacco più comuni

MediaMarket colpito dal ransomware Hive: richiesta iniziale 240 milioni di dollari. Colpita anche MediaWorld in Italia?

Il gigante della vendita di elettrodomestici ed elettronica MediaMarkt, in Italia meglio conosciuto come MediaWorld, ha subito un cyber attacco ad opera del ransomware Hive: il riscatto iniziale ammonta a 240 milioni di dollari. L'attacco ha costretto la compagnia allo shut down dei sistemi IT e l'interruzione di una parte delle operazioni di vendita sia in Germania che in Olanda. Parliamo del più grande rivenditore di elettronica al dettagli in Europa, oltre 1000 store in 13 diverse nazioni, un fatturato di 20,8 miliardi di euro e oltre 53000 dipendenti. 

L'attacco ransomware è iniziato Domenica sera e si è concluso Lunedì mattina ed ha comportato la criptazione di server e workstation e obbligato l'azienda all'arresto dei sistemi IT per impedire l'ulteriore diffusione dell'attacco. L'attacco ha fatto sentire i suoi effetti in molti store, principalmente un quelli olandesi. Nonostante le vendite online continuino a funzionare come previsto, negli store fisici non è possibile pagare con carta di credito né stampare ricevute. Sospesa anche la gestione dei resi: gli store non hanno più accesso alle liste degli acquisti. Inoltre, stando a quanto riportato dai media locali, l'azienda ha invitato i dipendenti a non utilizzare né tentare di riavviare i sistemi criptati e disconnettere i registratori di cassa dalla rete aziendale. 

L'attacco è stato confermato dopo poche ore:

Il cybercrime non sempre paga: nessuno compra i dati della SIAE. Gli attaccanti provano a svendere i dati

Dell'attacco informatico contro la SIAE ne hanno parlato tutti i principali media, anche esteri: descritto inizialmente come un attacco ransomware, è risultato essere invece qualcosa di diverso. Il gruppo dietro l'attacco è, come già noto, Everest che si occupa anche di campagne ransomware ma, nel caso in dettaglio, gli attaccanti si erano limitati ad accedere alla rete e esfiltrare i dati lasciandoli integri sui sistemi informatici SIAE e cercare di monetizzarli.

Per approfondire > Bucati i sistemi informatici della SIAE: i cybercriminali di Everest rubano i dati degli iscritti, dei dipendenti e dei dirigenti - aggiornato

Il primo tentativo di monetizzazione è stata la classica estorsione post data breach: gli attaccanti hanno annunciato il furto dei dati mettendo dei sample a disposizione sul loro sito di leak e avanzando una richiesta di riscatto direttamente all'ente. La prima richiesta era stata di 3 milioni di euro in Bitcoin, ma fu prontamente rispedita al mittente dal direttore generale Gaetano Blandini: 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 23-29 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose attive nel cyber spazio italiano: 28 sono state campagne mirate contro utenti italiani, 7 invece campagne generiche ma veicolate anche in Italia. 438 gli indicatori di compromissione pubblicati.

Le campagne malware analizzate hanno diffuso 5 diverse famiglie ransomware, per un totale di 10 campagne email malware. Ecco le famiglie:

Italia sotto un diluvio di attacchi informatici: nuove vittime ASL Roma 3, Artsana, ASL 2 Savona e Comune di Perugia

Non si ferma il diluvio di attacchi informatici e ransomware contro aziende e pubblica amministrazione in Italia. Se già abbiamo parlato di quanto accaduto alla Siae, alla Maggioli e all'azienda alimentare San Carlo, ora dobbiamo aggiungere al novero delle vittime anche due ASL, una romana e quella di Savona, l'azienda sanitaria e di articoli per l'infanzia ArtSana e, ultimo in ordine cronologico, il Comune di Perugia. 

ASL Roma 3:  rete in down da 4 giorni
L'ASL Roma 3 è l'ennesima vittima nel settore sanitario laziale: la rete e il sito web sono down da oltre 3 giorni e la situazione non pare accennare a risolversi.  La home page del sito istituzionale si presenta così, al momento della scrittura di questo testo:

Cyber attacchi in Italia: anatomia del ransomware Conti

Del ransomware Conti parlammo già in tempi non sospetti, nel Luglio 2020, quando aveva iniziato a ritagliarsi uno spazio sufficiente da poter rientrare nel novero dei "ransomware di punta". Al tempo la comunità dei ricercatori di sicurezza e degli ethical hacker lo aveva definito come il successore del famigerato ransomware Ryuk, uno dei primi ad adottare la tecnica della doppia estorsione che poi si è standardizzata e diffusa in tutte le maggiori gang ransomware (anche se ormai, siamo arrivati alla tripla estorsione con l'attacco DDoS che si aggiunge al furto e alla criptazione dei dati).  

Purtroppo tutte le aspettative nefaste sul ransomware Conti si sono confermate: è ad oggi una delle campagne ransomware più attive al mondo, con una particolare predilezione per gli ospedali statunitensi e, purtroppo, per la pubblica amministrazione e le piccole e medie imprese italiane. Di qualche giorno fa, solo per fare un esempio, è l'attacco registrato sui sistemi di Artsana, la nota azienda italiana i articoli per l'infanzia e sanitari mentre dell'attacco contro i sistemi San Carlo abbiamo dato notizia qui. Data la situazione, può essere utile fornire un aggiornamento su Conti. 

Qualche info tecnica
Conti è un ransomware as a service, uno degli ormai diffusissimi modelli di business con il quale più persone, dette affiliati, affittano il malware dai suoi sviluppatori e rendono loro una parte dei guadagni ricavati dalle estorsioni. Differisce dai modelli RaaS comuni, però, perché i suoi sviluppatori pagano ai distributori / affiliati non una percentuale dei proventi, ma quello che potremmo definire "uno stipendio" in aggiunta ai proventi dei riscatti.

Verso la fine di Settembre 2021 il CERT statunitense ha pubblicato uno specifico alert su questa minaccia a causa del numero sempre crescente di aziende statunitensi (soprattutto legati all'ambito sanitario) colpite tra il 2020 e i primi mesi del 2021. Qui si legge che Conti è diffuso principalmente tramite:

• campagne di spear phishing, con utilizzo frequente di allegati email dannosi inviati come risposta entro conversazioni precedentemente già avviate dalla vittima. La maggior parte di questi allegati sono comunissimi file Word che contengono, integrati al loro interno, script che molto spesso sono usati per la diffusione di malware ulteriori, soprattutto TrickBot, IceID e CobalStrike. Quest'ultimo è un tool di penetration testing molto spesso usato per semplificare spostamenti laterali entro le reti bersaglio e ampliare la superficie di attacco;
• attacchi sull'RDP (Remote Desktop Protocol) con l'uso di credenziali deboli o rubate;

Il Ransomware Conti colpisce la San Carlo: la big delle patatine italiane dichiara che non pagherà alcun riscatto

Il gruppi di cyber attaccanti Conti ha rivendicato ieri pomeriggio, Lunedì 25 ottobre, l'irruzione nei sistemi della San Carlo Gruppo alimentare Spa: si è proprio lei, la famosissima azienda che produce patatine fritte, pop corn, pane e dolci. Il gruppo ha rivendicato l'attacco sul proprio sito Tor di leak:

Il sito di leak su Tor del gruppo ransomware Conti

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 09 - 15 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 31 campagne dannose attive nel cyber spazio italiano: 25 sono state mirate contro obiettivi italiani, 6 invece sono state campagne generiche veicolate anche in Italia. 889 gli indicatori di compromissione che il CERT ha messo a disposizione, consultabili dal sito istituzionale.

Le campagne malware analizzate sono state 12 e hanno visto la diffusione di 6 diverse famiglie malware:

Bucati i sistemi informatici della SIAE: i cybercriminali di Everest rubano i dati degli iscritti, dei dipendenti e dei dirigenti - aggiornato

Aggiornamento 22/10/2021: a quanto si apprende da testate di settore e dalle dichiarazioni rese dal gruppo di attaccanti di Everest, l'attacco non ha previsto l'uso di ransomware. I dati cioè non sono stati criptati, ma semplicemente esfiltrati. L'attaccante ha dichiarato che l'attacco si è svolto con un penetration test sulle infrastrutture digitali di SIAE, quindi si è proceduto con l'esfiltrazione dei dati. Il riscatto, inizialmente fissato a 3 milioni di euro in Bitcoin, è stato abbassato a 500.000 euro, anche in seguito alla volontà, pubblicamente dichiarata da SIAE, di non pagare alcun riscatto. Il Garante intanto ha annunciato pubblicamente l'apertura dell'istruttoria.

La SIAE, Società Italiana degli Autori ed Editori, è stata colpita da un attacco ransomware: stando a quanto dichiarato dai cyber attaccanti, i dati rubati ammontano a circa 60 GB (28.000 documenti) e conterrebbero carte e documenti di identità (numeri dipassaporto, patenti di guida), documenti di iscrizione e deposito di migliaia di artisti. La conferma dell'esito dell'attacco e del furto dei dati è stata data dalla Siae stessa alla redazione di Cybersecurity360: è stato confermato anche il fatto che è già stata presentata la richiesta di riscatto in Bitcoin per un ammontare di 3 milioni di euro (così riporta il Corriere della Sera). Gli attaccanti hanno anche già fatto sapere che se SIAE si rifuterà di pagare, i 60GB di dati saranno resi pubblici a piccole dosi. Intanto la cyber gang ha già provveduto a pubblicare e mettere in vendita, sul proprio sito di leak, una prima parte dei dati rubati a mò di prova dell'avvenuta irruzione nei sistemi SIAE, facendo anche sapere si essere già pronti a pubblicarne altri. 

Il sito di leak del ransomware Everest

Alert CERT: campagna di spam a tema Dike, mirata contro la PA, installa un software di controllo remoto sui dispositivi infetti

Il CERT-AGID ha pubblicato oggi Lunedì 18 Ottobre un alert relativo ad una campagna di spam, attiva già da ieri, rivolta contro la pubblica amministrazione: è una campagna di email di spam che sfrutta il nome del popolare software per la firma digitale Dike e il marchio InfoCert per installare sui dispositivi infetti un software per il controllo remoto.

Qualche info tecnica
Dal sito ufficiale del CERT apprendiamo che questo è il testo dell'email che viene diffuso in queste ore principalmente verso account della Pubblica Amministrazione

Fonte: https://cert-agid.gov.it

Come si vede, l'oggetto rimanda ad un fantomatico "aggiornamento critico" di Dike, il programma per la firma digitale di InfoCert molto diffuso nella PA, ma anche nel settore privato.

Anatomia di Hancitor, il malware downloader più diffuso in Italia nel mese di Settembre

Di Hancitor abbiamo parlato per la prima volta nel mese di Luglio di quest'anno, quando il CERT-AGiD, nell'ambito delle verifiche sulle campagne di attacco in corso nel cyberspazio italiano, individuò la prima campagna di diffusione in Italia: come tutti i downloader, Hancitor era impostato per scaricare e installare ulteriori malware che, in quel caso era FickerStealer, un infostealer. 

Per approfondire > Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer

Dal mese di Settembre ad ora, Hancitor figura costantemente tra i malware diffusi in Italia e monitorati dal CERT: anche nel corso della settimana 02 - 08 Ottobre Hancitor si conferma il secondo malware più distribuito in Italia, stando ai dati del CERT AGID. Ecco perchè riteniamo utile dedicarvi un breve approfondimento. 

Info tecniche
Hancitor è un infostealer, ma la sua funzione principale è quella di Donwloader. Una volta che ha infettato un dispositivo, infatti, vi scarica e installa ulteriori malware: nel 2020 ha iniziato ad utilizzare il tool di penetration testing Cobal Strike, mentre le prime campagne italiane lo vedevano in coppia con FickerStealer. Negli ultimi mesi gli attori che lo gestiscono hanno iniziato anche ad utilizzare un tool per il ping delle reti, utile a  enumerare gli host attivi nell'ambiente Active Directory. 

La Unit24 di PaloAltoNetwork ha condotto approfondite analisi su questo malware e le sue campagne di diffusione: l'immagine sotto mostra la catena di infezione, che tendenzialmente è invariata dal 2020 a parte lievi modifiche

Attacchi DDoS in crescita: la pandemia li spinge al rialzo

Se in Italia sta rimbalzando negli ultimi giorni la notizia dell'attacco DDoS che ha colpito il sito nazionale della CGIL (più simbolico che sofisticato, ma comunque efficace), nel resto del mondo la fa da padrone la notizia del gigantesco attacco DDoS mitigato da Microsoft l'ultima settimana di Agosto. Ma non finisce qui: il problema degli attacchi DDoS si è fatto così urgente da aver portato ad intervenire anche le forze dell'ordine. Se in Ucraina finiscono in manette i gestori di una botnet da 100.000 device circa, affittabile per lanciare attacchi DDoS, dall'altra la Polizia olandese ha addirittura contattato direttamente una dozzina di clienti di un servizio DDoS, avvisandoli che i continui reati informatici porteranno a procedimenti giudiziari e che quindi è per loro consigliabile trovare alternative migliori e soprattutto legali. Insomma, cari lanciatori di attacchi DDoS, la Polizia vi osserva. 

L'attacco DDoS che Microsoft ha mitigato e che era rivolto ad un cliente europeo di Azure, ha toccato i 2.4 terabit per secondo: un attacco del 140% più grande dell'attacco più pesante mai registrato da Azure, ovvero quello avvenuto nel 2020 e che ha toccato 1Tbps. L'attacco, durato 10 minuti circa, è stato suddiviso in 3 diverse ondate di volume decrescente: 2,4 tbps la prima, 0,55 tbps la seconda, 1,7 tbps la terza. L'infrastruttura dalla quale è stato lanciato l'attacco è composto da circa 70.000 bot, la maggior parte concentrati nelle regioni asiatiche del Pacifico e negli Stati Uniti. Questo attacco, di cui è avuta notizia solo la scorsa settimana, arriva dopo che Microsoft ha registrato un aumento superiore al 25% degli attacchi DDoS rispetto allo stesso trimestre del 2020.

Fonte: Microsoft

Gli attacchi DDoS sono in crescita

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 25 Settembre – 01 Ottobre 2021
La scorsa settimana, il CERT ha individuato e analizzato 34 campagne dannose, 30 mirate specificatamente contro obiettivi italiani e 4 invece, generiche, veicolate anche in Italia: gli indicatori di compromissione messi a disposizione sono stati 461.

La campagne malware individuate in diffusione sono state 11: 7 le famiglie malware distribuite

• Formbook è stato diffuso con ben 3 campagne a tema Ordine: è di nuovo il malware più diffuso della settimana. E' stato diffuso con allegati DOC e ZIP ma anche, e questa è una novità, con file in formato HTML. Gli allegati HTML, una volta aperti, portano al download di un file ZIP che contiene, a sua volta, un file EXE in base64. Hancitor e Formbook sono i malware più diffusi per Settembre in Italia;
• Qakbot è stato diffuso con due campagne email con allegati ZIP e XLS: le campagne sono state a tema Contratti;
• Lokibot è stato diffuso con due campagne a tema Ordine e allegati di tipo archivio in formato ZIP e RAR, contenenti a loro volta un file immagine ISO;
• AgentTesla è stato diffuso con una sola campagna mirata a tema Ordine, con allegati GZ;
• Hancitor è stato diffuso con una sola campagna generica a tema Documenti: l'email conteneva un link per il download di un documento DOC contenente la classica macro dannosa;
• Guloader è stato in diffusione con una campagna mirata contro utenti italiani a tema Pagamenti e allegati GZ;
• Dridex conquista la 6 posizione tra i malware più diffusi nel mese di Settembre in Italia: la campagna della scorsa settimana è stata a tema Pagamenti con allegati XLSB veicolati via email. 

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Il Ransomware Conti colpisce la Maggioli: disservizi nei sistemi tributari e sanzionatori di centinaia di Comuni

Maggioli è un gruppo di rilevanza internazionale con sedi, oltre che in Italia, in Spagna, Grecia, Belgio e in Sud America: 25.000 installazioni software circa, un parco clienti di 150.000. La corporation offre servizi di vario tipo, molto usati nelle pubbliche amministrazioni, ma anche per aziende e professionisti. La notte del 25 Settembre, a partire dalle 3.00, i sistemi della Maggioli sono stati colpiti da attacco ransomware. L'azienda ha preso consapevolezza di aver subito un attacco soltanto 11 ore dopo l'accaduto, registrando numerosissime anomalie e disservizi sui sistemi.

Stando a quanto per ora è stato possibile ricostruire, l'attacco ransomware è stato portato dal gruppo del ransomware Conti, che però avrebbe mirato, pare, un'unità precisa del gruppo, ovvero la Maggioli Tributi. Tra i servizi sicuramente compromessi il "Concilia Service", usato dalle Polizie Municipali e non solo per le sanzioni amministrative conseguenti a violazione del Codice della Strada o altre norme amministrative e "MT tributi", molto usato nelle Ragionerie. 

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

L'azienda ha comunicato l'evento ai clienti il 30 Settembre, segnalando l'indisponibilità temporanea dei dati e indicando che "le informazioni ivi contenute, potrebbero comprendere anche dati personali quali, anagrafiche di contribuenti, domicili fisici e/o elettronici, istanze di contribuenti, situazioni debitorie/creditorie, dati catastali/possessi immobiliari, dati di veicoli, conti correnti e datori di lavoro".

La comunicazione ufficiale, completa e non parziale sull'incidente, risale al 1° Ottobre. "L'attacco