Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 3 - 9 Aprile
La scorsa settimana il CERT-AGID ha individuato e sottoposto ad analisi 19 campagne dannose: 2 di queste sono state generiche ma veicolate anche in Italia, 17 invece miravano direttamente ad obiettivi italiani. 81 gli indicatori di compromissione individuati.

Le famiglie malware individuate in diffusione sono state 3, per un totale di 4 campagne malware:

Le campagne via SMS sono ancora un pericolo: il CERT denuncia la diffusione in Italia del malware Flubot

Il CERT ha pubblicato uno specifico approfondimento (consultabile qui) su una campagna via SMS che sta diffondendo il malware Flu Bot 3.9. Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. 

Il malware sembra essere di origine russa, considerando il fatto che non si attiva sui dispositivi Android impostati su lingue come uzbeco, inglese (Regno Unito), turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano ecc... Inoltre è stata ritrovata nel codice una stringa in lingua russa contenente un vero e proprio sfottò contro i ricercatori di linuxct, che hanno aiutato il CERT nell'analisi di questa campagna. 

Nel corso dell'analisi del codice, che il CERT ha ottenuto dopo deoffuscamento, è stato riscontrato il prefisso italiano, fatto che fa sospettare che la versione in analisi sia stata sviluppata appositamente per colpire in Italia.

Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

Della vicenda che ha riguardato i server Microsoft Exchange abbiamo già parlato qui: il 2 Marzo Microsoft ha rilasciato aggiornamenti di sicurezza per una serie di vulnerabilità, dette complessivamente Proxylogon, che sono state usate attivamente per un'ondata di attacchi che si è svolta tra Gennaio e Febbraio e che era finalizzata ad installare web shell sui server Exchange compromessi. Queste web shell hanno fornito e tutt'ora forniscono accesso da remoto agli attaccanti, che le utilizzano per esfiltrare email e credenziali degli account. 

Nel corso di queste settimane, data la criticità delle falle ma anche "il peso" delle vittime coinvolte da questa scia di attacchi, agenzie governative e la stessa Microsoft hanno pubblicato una varietà di script e tool per aiutare le vittime a stabilire se i propri server siano o meno compromessi. Anche perchè, nel frattempo, le stesse vulnerabilità hanno iniziato ad essere sfruttate anche da parte di altri attori per diffondere ransomware, cryptominer e ulteriori web shell. 

Insomma le vulnerabilità sono state patchate, ma restano ancora moltissimi server vulnerabili o già violati e i cui proprietari ancora non hanno preso contromisure. Così, in un comunicato stampa del Dipartimento della Giustizia, l'FBI ha fatto sapere di aver ricevuto l'autorizzazione ad accedere ai server Exchange ancora compromessi, copiare la web shell come prova e rimuoverla quindi dal server. La scelta di intervenire direttamente, situazione che non ha precedenti, è stata giustificata dall'FBI dalla "incapacità tecnica dei proprietari di rimuovere in autonomia le web shell, dovuta anche ad una scarsa consapevolezza dei rischi derivanti". La decisione invece di non avvisare i proprietari è stata invece giustificata dal rischio che la notifica avrebbe potuto compromettere l'operazione: l'FBI ha quindi chiesto e ottenuto anche il diritto di rimandare la notifica ai proprietari dei server fino al termine dell'operazione. 

A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

23 Giugno 2021: questo è il giorno in cui verrà avviata la fase di test del perimetro di cybersicurezza dell'Italia. Il test durerà ben 6 mesi, durante i quali verrà valutata la tenuta ed efficacia complessiva del sistema di regole che l'Italia ha elaborato ed implementato per proteggersi dalle cyber minacce: al termine del test e tenendo conto dei risultati, il sistema di regole verrà rivisto e corretto. 

Il 23 Giugno saranno passati due anni dall'approvazione del D.l 105 del 2019, le cui previsioni sono state le fondamenta sul quale è stato costruito il nostro piano di cyber security nazionale: sono comunque ben 4 i decreti che saranno necessari per implementare l'intero piano di cybersecurity nazionale ed armonizzarlo nel contesto della risposta ai cyber attacchi dell'Unione Europea. All'origine infatti dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cibersecurity, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

Il test del piano di cybersecurity nazionale punterà i riflettori su tutti quei soggetti destinatari del piano, ovvero i gestori delle  infrastrutture critiche (trasporti pubblici, servizi finanziari, telecomunicazioni, energia, welfare, difesa, sicurezza interna, spazio, pubblica amministrazione, alta tecnologia ecc..): tutti questi soggetti dovranno dimostrare non solo di aver adottato sufficienti ed adeguate misure di cyber security, ma anche di sapere applicare e rispettare i protocolli di segnalazione degli attacchi. Il D.l 105 del 2019 stabiliva proprio, in prima battuta, i soggetti (enti ed asset) "intorno ai quali" costruire il perimetro di cybersecurity, secondo ovviamente l'importanza dell'asset o dell'ente e dei rischi potenziali per l'Italia in caso di compromissione. Molto probabilmente, nel giro di qualche anno, il numero di questi soggetti andrà ad aumentare: sanità e centri di ricerca sono già con un piede, almeno teorico, dentro il perimetro. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27 Marzo - 2 Aprile
La scorsa settimana i CERT-AGID ha individuato e analizzato 26 campagne dannose attive: di queste solo 2 sono state generiche ma veicolate anche in Italia, mentre le altre 24 sono state tutte campagne mirate contro utenti italiani. 374 sono stati gli indicatori di compromissione (IoC) resi disponibili. 

In totale sono state individuate in diffusione nello spazio italiani 7 diverse famiglie malware. Nello specifico:

• Ursnif è di nuovo il malware della settimana. Diffuso con ben 3 diverse campagne che hanno visto tutte l'uso di allegati .ZIP contenenti file .doc, .xls o .xlsb contenenti macro dannose. I temi di quste campagne sono stati Documenti, Energia e Inps;
• sLoad si piazza al secondo posto con una campagna di diffusione: siamo alla 4° campagna di diffusione nel 2021 e la seconda nel mese di Marzo. Il malware conferma la predilezione del circuito PEC: i file utilizzati come vettore di infezione sono stati archivi .zip contenenti a loro volta un ulteriore file .zip. Su questa campagna il CERT ha pubblicato una apposita news, consultabile qui;
• iceID, AgentTesla, Lokibot, Formbook e Dridex completano il quadro dei malware in diffusione nello spazio italiano. La maggior parte di questi è stata diffusa in campagne a tema "Pagamenti".

Per approfondire > Dentro Ursnif, il trojan bancario più diffuso in Italia 

La settimana nera dei data leak: in vendita nel dark web i dati di 500 milioni di utenti Facebook e 500 milioni di utenti Linkedin

La settimana dopo Pasqua si è aperta con una notizia che ha avuto un'eco gigantesca: durante il fine settimana di Pasqua sono stati pubblicati online, su un popolare forum di hacking, i dati di oltre 533 milioni di utenti Facebook. Tra questi figura addirittura il fondatore di Facebook, coinvolto personalmente dal leak. Ciò che rende particolarmente allarmante questo leak è il fatto che i record contengono dati disponibili pubblicamente sui profili utente, ma anche i numeri di telefono associati. 

In realtà il furto dei dati non è avvenuto nel periodo di Pasqua, ma nel 2019. La ricostruzione della dinamica dei fatti già vede contrapposti esperti di sicurezza da una parte e Facebook dall'altra: se alcuni ricercatori attribuiscono il furto dei dati ad una vulnerabilità della funzione "Add friend", corretta appunto nel 2019 da Facebook, nella ricostruzione ufficiale di Big F invece si parla di "semplice scraping". Secondo Facebook quindi non ci sono state violazioni dei sistemi, ma solo la raccolta di dati che erano pubblicamente disponibili sui profili degli utenti. 

I dati sono stati messi in vendita, prima ad un prezzo bassissimo (2.19 dollari statunitensi) poi gratuitamente, in un forum di hacking piuttosto frequentato: il bassissimo costo di un set così grande di dati non deve stupire perchè tali dataset vengono pubblicati per la vendita sui forum solitamente dopo che sono già stati venduti a prezzi ben più alti in contrattazioni private. 

Particolarmente preoccupante il numero di utenti italiani riguardati: l'Italia è la terza nazione più colpita al mondo con 35.677.323 record pubblicati appartenenti ad utenti italiani. 

Basta stampare: ecco FirmaDoc, la soluzione intelligente e ecosostenibile per dematerializzare i documenti

E' nata Firmadoc: la soluzione per generare qualunque documento

con campi dinamici da far compilare e firmare ai propri clienti tramite app,
senza stampare una sola pagina.

Ogni Italiano stampa, in media, 32 pagine di documenti ogni giorno. I danni ambientali di questa cattiva abitudine, spesso generata solo dall’indifferenza, sono ingenti. Per produrre 1 tonnellata di carta vergine occorrono 15 alberi, 440.000 litri d’acqua e 7.600 kWh di energia elettrica, mentre le montagne di carta consumate negli uffici italiani immettono nell’atmosfera 4 milioni di tonnellate di C02 all’anno. Stampare, scrivere, firmare, spedire, fotocopiare, timbrare, vidimare e infine archiviare in ingombranti schedari: tutto ciò che riguarda la gestione documentale cartacea, viste le tante tecnologie alternative oggi disponibili, è obsoleto e dannoso, fortemente inquinante e non più sostenibile.

440.000 LITRI D’ACQUA!

Per produrre 1 tonnellata di carta vergine occorrono 15 alberi,
440.000 litri d’acqua e 7.600 kWh di energia elettrica.

SIAMO UN POPOLO DI STAMPATORI 

Gli italiani stampano, in media, 32 pagine di documenti ogni giorno.

Ma questi non sono gli unici problemi: oltre a essere anacronistica, questa tipologia di gestione documentale è anche poco funzionale e quindi svantaggiosa per l’azienda. Eliminare la stampa di un foglio su cinque ridurrebbe di circa 800mila tonnellate le emissioni inquinanti.  Risparmiare carta, quindi, significa risparmiare alberi e soldi. Il futuro, semplicemente, ci obbligherà a dematerializzare sempre di più.

Italia sotto assedio: ransomware colpiscono il Comune di Brescia e Axios, che offre il Registro elettronico alle scuole Italiane

Due episodi nel giro di pochissimi giorni, preceduti dall'attacco a Boggi Milano del quale abbiamo già parlato qui: sono stati giorni di grande attività per il mondo dei ransomware in Italia. Se, da una parte continuiamo a ricevere richiesta di assistenza per QNAPCrypt, che evidentemente sta colpendo ad ondate i NAS Qnap di moltissimi utenti italiani, dall'altra due eventi conquistano perfino i media nazionali: gli attacchi ransomware che hanno colpito il Comune di Brescia e Axios Italia. 

DopplePaymer affonda il Comune di Brescia
In un primo momento, il Comune di Brescia aveva negato di essere vittima di estorsione poi, nel pomeriggio di ieri, incalzato da una fuga di notizie registrata dalla testata Il Giornale di Brescia, ha dovuto confermare  l'attacco ransomware. I sistemi del Comune sono stati colpiti e messi offline dal famigerato ransomware DoppplePaymer: sono offline il sito web, il sistema che gestisce gare ed appalti, la piattaforma per le pratiche edilizie, le piattaforme di gestione del sistema scolastico e di quello cimiteriale, l'Anagrafe (il Comune nega accessi illegittimi ai dati dei cittadini perchè "su server protetti" che eseguono Linux), la Polizia Locale e tutte le reti informatiche di Palazzo Loggia. Il riscatto richiesto è di 26 Bitcoin, pari a 1,3 milioni di Euro. 

Se, come sembra, ci vorranno mesi per ripristinare la rete e tutti i servizi comunali (a meno di pagare il riscatto e ottenere la chiave di decriptazione dagli attaccanti) è divampata la polemica riguardo alla sicurezza delle infrastrutture comunali: dalle prime ricostruzioni è emerso come l'intero sistema informatico dipenda da server che sono ancora fisicamente posizionati nella sala macchine di via Lamarmora, una soluzione anacronistica e pericolosa anche se, a onor del vero, il Comune già da un anno stava lavorando per dotarsi del cloud ma l'operazione non è ancora giunta al termine. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 20-26 Marzo
Questa settimana il CERT-AGiD ha riscontrato e individuato 32 campagne dannose: di queste, 2 sono state generiche ma veicolate anche in Italia, mentre 30 erano mirate precisamente contro obiettivi italiani. 335 sono stati gli indicatori di compromissione individuati e resi disponibili sul sito ufficiale. 

6 sono state le famiglie di malware individuate e si notano molte novità:

• IceID è il malware più diffuso della settimana. Sono state individuate ben 7 diverse campagne di diffusione: tutte hanno visto l'uso di allegato in formato archivio .ZIP contenenti documenti .doc dannosi. E' tramite i  .DOC che avviene il download dell'eseguibile di IceID da un repository remoto. I temi delle campagne sono state "Resend", "Sociale" e "Premi";
• LockTheSystem è invece un ransomware ed è stato veicolato in Italia nei giorni Lunedì 22 e Martedì 23. Questo ransomware è una variante del ransomware Thanos ed è stato analizzato approfonditamente dal CERT AGiD che ha emesso un apposito bollettino. Le 2 campagne di diffusione hanno visto l'uso di allegati .ZIP contenenti file .JS oppure allegati .DOC dannoso;
• JobCrypter è un altro ransomware veicolato in Italia mercoledì 24 con una campagna a tema "Pagamenti": ha visto l'uso di allegati .ZIP contenenti un file .JS come downloader;
• FormBook, Guloader e Dridex chiudono la panoramica delle campagne malware individuate: tutte le campagne di diffusione di questi malware sono stati a tema "Pagamenti". 

Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano

Il famoso brand di abbigliamento maschile Boggi Milano è stato colpito da un attacco ransomware: sembra che siano stati sottratti anche 40GB di dati, compresi i dati dei dipendenti e le loro buste paghe. Boggi Milano, fondata nel 1939 e operante con 200 negozi in oltre 39 paesi, ha confermato l'attacco, specificando che sull'incidente sono in corso delle indagini e che l'attacco non dovrebbe comportare un impatto significativo sull'azienda. 

Non sono trapelate ulteriori informazioni, ma nel dark web è comparsa la rivendicazione: il team di attaccanti dietro il ransomware Ragnarock ha rivendicato l'attacco sul proprio blog, specificando di aver preso di mira i server di Boggi Milano e di aver rubato 40GB di file, compresi file sulle risorse umane e sui salari dei dipendenti. 

Di Ragnarock abbiamo parlato recentemente, visto che pur avendo debuttato piuttosto recentemente sulle scene del cybercrime, ha già mietuto varie vittime in Italia: Boggi è l'ennesima vittima. 

Hackerato il server Git di PHP: l'aggiunta di una backdoor nel codice sorgente di PHP ha fatto tremare il web

E' ormai uno scenario col quale non si può più fare a meno di confrontarsi quello degli attacchi cosiddetti "supply chain", ovvero gli attacchi che non colpiscono direttamente l'obiettivo primario ma la catena di distribuzione: gli eventi che hanno riguardato SolarWind e Microsoft Exchange hanno riportato in primo piano un dibattito che era un pç sopito, ma che, incalzato dagli eventi, è divenuto irrimandabile e ormai si è reso evidente come sia urgente prendere le giuste contromisure rispetto ai cosiddetti "software supply chain attack". 

Ora ci risiamo, di nuovo, e anche questo evento ha un potenziale di compromissione molto esteso: la repository ufficiale Git di PHP è stata hackerata e il codice sorgente è stato manomesso. Due giorni fa infatti due commit dannosi sono stati "spinti" nella repository php-src GIT gestita dal team PHP sul loro server git.php.net. Gli attaccanti, ad ora sconosciuti, hanno firmato questi commit come se i loro autori fossero noti sviluppatori e manutentori PHP, ovvero Rasmus Lerdord e Nikita Popov. Per rendersi conto della portata di questo attacco, fortunatamente sventato, basta dire che PHP rimane il linguaggio di programmazione lato server più usato, alimentando più del 79% dei siti web in Internet.   

Il comunicato ufficiale spiega che un attaccante è riuscito ad inserire il codice dannoso, ma non è chiaro se sia riuscito nel suo intendo compromettendo il server stesso o gli account dei due sviluppatori.  Popov ha però escluso seccamente la possibilità di aver subito una violazione del proprio account.

I due commit sono disponibili qui e qui: questi sono stati inseriti come "fix typo", cioè gli attaccanti hanno provato a camuffarli da semplici correzioni ortografiche apportate dagli sviluppatori. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 13-19 Marzo
La scorsa settimana il CERT-AgID ha riscontrato e sottoposto ad analisi 34 campagne dannose attive nello scenario italiano: 29 di queste sono state campagne mirate contro utenti europei, mentre 5 sono state generiche ma hanno rigurdato anche l'Italia. 338 gli indicatori di compromissione resi disponibili. 

Le famiglie di malware individuate sono state 6, in dettaglio:

Il ransomware Ragnarock colpisce in Italia: qualche info tecnica

Ragnarok è un ransomware il cui debutto sulle scene del cybercrime è piuttosto recente: specializzato in attacchi mirati contro le aziende, ha già mietuto alcune vittime anche in Italia. 

Le analisi dei ricercatori di FireEye hanno fornito importanti informazioni su questa minaccia, che pare specializzata nell'attaccare i server Citrix ADC vulnerabili. In dettaglio gli attaccanti sfruttano la già nota vulnerabilità CVE-2019-19781 per accedere ai sistemi bersaglio e installare quindi Ragnarock. Quando l'attaccante riesce a compromettere un dispositivo Citrix ADC, vengono subito scaricati ed eseguiti una serie di script che ricercano nella rete computer Windows che presentano la vulnerabilità EternalBlue (anche questa patchata da tempo).  Se tale vulnerabilità viene individuata e l'exploit ha successo, viene successivamente iniettata una DLL che scarica e installa il ransowmare. 

La vulnerabilità CVE-2019-19781
Per quanto non sia possibile escludere altri vettori di attacco, la maggior parte delle infezioni del ransomware Ragnarock originano dall'exploit della vulnerabilità CVE-2019-19781 che è presente nelle applicazioni Citrix Application Delivery Controller (ADC) e Citrix Gateway e nell'appliance Citrix SD-WAN WANOP. 

Da parte sua, Citrix è già corsa ai ripari rendendo disponibile la versione 10.5 dell'ADC, che contiene il fix permanente per questa vulnerabilità (link di riferimento per la problematica qui) . 

Qualche dettaglio tecnico

Acer colpita da ransomware: richiesti 50 milioni di dollari in riscatto. Usate le vulnerabilità di Windows Exchange?

Il gigante della produzione di personal computer e desktop Acer è stata colpita da un attacco ransomware: gli attori del gruppo ransomware REvil sono riusciti a fare breccia nelle cyber difese aziendali e a richiedere il più alto riscatto mai richiesto nella storia dei ransomware, pari a 50 milioni di dollari. Acer è la famosa produttrice di computer e articoli di elettronica, con sede a Taiwan: ha circa 7.000 dipendenti e ha registrato profitti per 7.8 miliardi di dollari nel 2019. 

Qualche giorno fa è stato il gruppo ransomware stesso a dare notizia dell'attacco, pubblicando sul proprio sito di leak alcune immagini come prova dell'accesso riuscito alla rete e annunciando pubblicamente la propria operazione ransomware. Nelle immagini pubblicate si vedono documenti che includono bilanci bancari, comunicazioni bancarie e fogli di  calcolo finanziari.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 6-12 Marzo
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi ben 28 campagne dannose attive: 24 di queste sono state mirate contro obiettivi italiani mentre 4 sono state generiche, ma veicolate anche nel cyberspazio italiano. Gli indicatori di compromissione (IoC) messi a disposizione sono stati 385. 

Le famiglie malware individuate in diffusione sono state 5, con LokiBot che conquista lo scalino più alto del podio. 

Le vulnerabilità di Microsoft Exchange Server (risolte) sfruttate per distribuire ransomware: ancora poca attenzione alle patch

Microsoft ha annunciato, ormai alcune settimane fa, l'individuazione di una serie di attacchi 0-day contro Exchange Server. Il fine ultimo dell'attacco, che sfruttava ben 4 vulnerabilità 0day, era quello di sottrarre messaggi di posta e altre informazioni preziose. 

Dietro l'attacco, così ha ricostruito pubblicamente Microsoft, si celerebbe un gruppo hacker legato al Governo Cinese, anche se i server dai quali sono partiti gli attacchi sono dislocati per la maggior parte negli Stati Uniti. 

Le vulnerabilità utilizzate sono state 4, tutte 0day ovvero non individuate prima del loro utilizzo in questo attacco:

• CVE-2021-26855;
• CVE-2021-26857; 
• CVE-2021-26858;
• CVE-2021-27065. 

Il gruppo di vulnerabilità è stato ribattezzato ProxyLogon e, in realtà, pur con grande ritardo, è già stato risolto: Microsoft ha infatti rilasciato le patch che "tappano" le 4 falle. 

Al solito però, nonostante le patch rilasciate, moltissimi server non sono stati aggiornati ed è su questi che, come confermato da un membro del Security Program Manager di Microsoft, si è rivolto l'attacco: il ransomware in questione, individuato dall'esperto di ransomware Michael Gillespie, è stato rinominato DearCry (senso dell'umorismo o rimando alla tragica vicenda di Wannacry?)

Da circa una settimana quindi Microsoft sta ribadendo a tutti gli utenti l'importanza di installare prima possibile le patch rilasciate a inizio del mese di Marzo.

Incendio distrugge un datacenter del provider OVH: cause del disastro e insegnamenti di Disaster Recovery

I fatti
Nella notte tra il 9 e 10 Marzo, nella sede di Strasburgo del cloud provider OVH divampa un grosso incendio: il rogo è originato da una stanza del data center SBG2 ed è stato causato, così indicherebbero le registrazioni delle videocamere di sorveglianza, da un malfunzionamento di un gruppo di continuità (UPS) revisionato proprio la mattina del 9 Marzo. I danni conseguenti sono stati ingenti nonostante, solitamente, gli UPS siano tenuti a debita distanza dai server proprio perché considerati elementi a rischio. Tra i più colpiti i virtual private server, macchine remote che sono molto spesso scelte come strumenti di supporto dalle piccole e medie imprese.

Il report pubblicato da OVH qualche giorno dopo il rogo e con il quale viene ricostruita la dinamica, indica che quasi tutti i VPS e i servizi VPS Additional Storage sono andati persi, così come il loro backup. Salvi invece i clienti del servizio FTB Backup, perché questo viene operato su data center esterni. Tutto il resto invece è andato perso, comprese tantissimi server che gestivano proprio il backup di molte soluzioni enterprise, come i server Managed Veeam Backup: la fortuna è che si sono persi i backup, ma le macchine delle quali facevano backup non hanno subito danni. Chiude l'elenco dei danni una lunga serie di servizi NAS, alcune istanze cloud in affitto a ore e gli snapshot delle virtual machine. 

Il fondatore di OVH, Octave Klaba, ha fornito una serie di aggiornamenti via Twitter, spiegando che il restart dei datacenter SBG1 e SBG4 è avvenuto il 15 Marzo, mentre il datacenter SBG2 tornerà in attività il 19 Marzo: ovviamente Klaba ha anche presentato il piano di recupero e offerto supporto ai clienti che hanno subito danni. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della prima settimana di Marzo
La scorsa settimana il CERT-AgID ha individuato e analizzato, attive nello scenario italiano, 19 campagne dannose: 17 mirate contro obiettivi italiani, mentre 2 generiche veicolate anche in Italia. 547 gli indicatori di compromissione individuati e resi disponibili, sul sito ufficiale.

Otto sono state le famiglie malware individuate in diffusione, con Urnsif che si pone al primo posto col maggior numero di campagne di diffusione.

• Urnsif è stato diffuso con tre diverse campagne mirate contro utenti italiani, a tema "Documenti", "Energia", "Aggiornamenti". Le email collegate alla campagna contenevano allegati compromessi del tipo .ZIP, .XLS e .Doc. Tutte e tre le campagne si sono prolungate nel tempo, mostrando anche cambiamenti di allegati per ridurre il rischio di individuazione;
• AgentTesla e ASTesla sono stati diffusi rispettivamente con due campagne a tema pagamenti nel primo caso e con una campagna a tema "Conferma" nel secondo caso. Tutte e tre le campagne hanno visto l'uso di allegati in formato .ACE;

Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende

E' da tempo una presenza fissa nelle campagne email dannose attive nel cyber spazio italiano, nonchè uno dei malware più diffusi anche tramite il circuito "sicuro" della Posta Elettronica Certificata: parliamo di sLoad, uno dei downloader / dropper di malware più diffuso in Italia.

Viene diffuso a cadenza ormai settimanale con diverse tipologie di campagne email, molte delle quali via PEC, come dicevamo, e tutte con un elevato livello di personalizzazione, fatto che lo rende una cyber minaccia molto insidiosa. 

Sviluppato per operare sui sistemi Windows e per colpire le aziende, viene diffuso tramite allegati email di vari formati, ha funzionalità di esfiltrazione di informazioni dai sistemi che infetta e funziona tramite comunicazione con server di comando e controllo che ricevono le informazioni rubate e inviano comandi ulteriori al malware. Le comunicazioni col server di comando e controllo sfruttano un servizio legittimo di Windows, ovvero BITS (Background Intelligent Transfer System), usato per inviare aggiornamenti del sistema operativo. 

NAS QNAP ancora sotto attacco: massiva distribuzione di criptominer, oltre 370.000 i NAS vulnerabili in Italia

I dispositivi NAS QNAP non patchati sono di nuovo protagonisti una ondata di attacchi mirati: questa volta nessun ransomware, è invece in corso una massiva campagna che mirata alla diffusione di criptominer. D'altronde pare essere l'anno dei criptominer, i cui assetati sfruttatori stanno lasciando a bocca asciutta il mercato delle schede grafiche e perfino dei pc da gaming pur di ottenere nuova potenza di calcolo. E ora la fila delle vittime di questo business opaco e sempre più sconfinante nell'illegalità, si allunga coi NAS QNAP. 

L'attuale ondata sfrutta due diverse vulnerabilità di esecuzione di comandi da remoto pre autenticazione: trattarsi di due vulnerabilità, la CVE-2020-2506 e la CVE-2020-2507, residenti nella patch dell'app QNAP HelpDesk diffusa nell'Ottobre 2020. 

Il malware che viene diffuso attualmente, individuato dai ricercatori di 360 Netlab, è stato ribattezzato UnityMiner. Gli sviluppatori del criptominer hanno personalizzato il malware nascondendo sia il processo di mining sia le informazioni sull'uso reale della CPU: di conseguenza gli utenti che utilizzano il sistema di interfaccia di gestione WEB per verificare l'uso del sistema, non possono vedere alcun comportamento anomalo.

Sono vulnerabili a questo tipo di attacco tutti i NAS QNAP i cui firmware sono stati rilasciati prima dell'Agosto 2020. 

Stando ai dati telemetrici di 360 NetLab questa campagna ha avuto il via il 3 Marzo, o almeno questa  è la data in cui sono state individuate le prime violazioni. Ma i numeri sono già estremamente preoccupanti: i ricercatori hanno eseguito una mappatura dei NAS QNAP vulnerabili che risultano online, individuandone 4.297.426. Di questi, circa 370.000 si trovano in Italia, stato europeo col maggior numero di dispositivi esposti

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 26/02
La scorsa settimana il CERT-AgID ha individuato e analizzato circa 30 campagne dannose attive in Italia: 2 di queste erano generiche ma veicolate anche nello spazio italiano, 28 invece miravano ad obiettivi italiani. Ben 305 sono stati gli indicatori di compromissione individuati (IoC). 

I malware individuati in diffusione appartengono a 9 diverse famiglie malware. Ecco la panoramica:

Strumenti legittimi usati a fini di cybercrime: BitLocker di Windows usato come ransomware

Partiamo da un punto: non è una novità e anzi, i primi utilizzi illegittimi di BitLocker risalgono al 2015. Non è una novità neppure l'uso di tool e strumenti legittimi a fini illegittimi: l'esempio più facile ce lo fornisce la parabola dei miner di criptovalute che hanno debuttato come strumento legittimo per poi venire vietati dalla maggior parte degli app Store e bloccati dai browser più popolari a causa del dilagante impiego a finalità illegali. 

Torniamo sul punto perché, ma neppure questa è una novità, una minaccia già conosciuta da anni torna a colpire in Italia e, viste le richieste di supporto ricevute in questi giorni (che sia in atto una campagna mirata contro utenti italiani?), è utile rinfrescare la memoria.

BitLocker: cosa è, a cosa serve
Partiamo dall'origine: BitLocker è la soluzione di criptazione che Microsoft ha integrato in Windows come forma estrema di protezione dei dati da accessi illegittimi. BitLocker consente infatti di criptare singole partizioni, volumi interi o unità: se all'avvio del sistema operativo o all'accesso al drive criptato l'utente non fornisce la password di criptazione, i file non saranno visibili. 

NB: parliamo di BitLocker, ma le stesse tematiche affliggono tutti i tool simili. Uno molto popolare, in questo caso opensource, ma che ha le stesse funzionalità, è DiskCryptor. 

Quanto costa un attacco ransomware? Ryuk colpisce l'Universal Health Services e determina una perdita di 67 milioni di dollari

L'azienda sanitaria e fornitrice di servizi ospedalieri Universal Health Services (UHS) ha annunciato di aver subito un attacco da parte del ransomware Ryuk nel Settembre 2020. A distanza di qualche mese UHS ha stimato che l'impatto di questo cyber incidente è stato di circa 67 milioni di dollari USA. 

UHS non è proprio un "ospedale di provincia": Fortune lo annovera tra i primi 500 fornitori di servizi sanitari al mondo, con 90.000 dipendenti e un flusso di pazienti annuale che si aggira attorno ai 3.5 milioni: 400 sono le strutture sanitarie distribuite tra Stati Uniti e Regno Unito. 

"[Ryuk] ha avuto un impatto complessivo di circa 67 milioni di dollari durante l'anno terminato il 31 Dicembre 2020" dichiarano da UHS. "i Servizi più impattati sono stati quelli di assistenza. La perdita è consistita principalmente nella diminuzione del profitto derivante dell'attività dei pazienti, nonchè nell'aumento delle riserve di entrata registrate in relazione ai ritardi di fatturazione associati. Sono state anche incluse nel conto alcune spese di manodopera, onorari professionali e altre spese operative sostenute in conseguenza diretta dell'incidente e dell'interruzione delle operazioni" si legge nel comunicato ufficiale. "Inoltre abbiamo sostenuto  costi di manodopera incrementali, sia interni che esterni, per ripristinare le operazioni IT il prima possibile", conclude la nota. 

Un mese per ripristinare i sistemi

L'agenzia di Sicurezza Nazionale U.S.A e Microsoft propongono l'approccio Zero Trust per la cybersecurity

L'NSA statunitense e Microsoft sostengono il modello di sicurezza Zero Trust come il modo più efficiente per le aziende di difendersi dalle cyber minacce sempre più complesse di oggi. Il concetto non è nuovo e ruota attorno al presupposto che un intruso potrebbe già essere presente nella tua rete: ne consegue che i dispositivi e le connessioni non dovrebbero essere mai considerati attendibili in modo implicito e, di conseguenza, è necessario verificarne sempre la sicurezza e l'autenticità. 

Questo modello deve i natali a a John Kindervag che ha coniato il termine Zero Trust nel 2010: in realtà si inizia a parlare di modello Zero Trust, anche se con altro nome, già negli anni 2000, ma il salto avviene nel 2009 quando Google ha implementato internamente il modello di sicurezza Zero Trust. Poi il dibattito è, ovviamente, ritornato molto vivo sulla scia del ormai famoso e infausto attacco alla supply-chain di SolarWinds, in conseguenza del quale si è riaccesa la discussione sui benefici di una architettura di sicurezza Zero Trust per reti sensibili. 

Il Presidente di Microsoft Brad Smith ha sostenuto il modello Zero Trust addirittura nel corso dell'udienza che ha sostenuto presso il Senato degli Stati Uniti in relazione all'attacco SolarWind, ribadendo come tale concetto rappresenti il miglior approccio possibile per una organizzazione o per un ente al fine di garantire la sicurezza delle proprie reti. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT. 

Sono ben 8 le famiglie di malware individuate in diffusione nell'ambito di queste campagne: nello specifico

• Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
• AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
• Formbook è stato individuato con due diverse campagne italiane a tema "Pagamenti" tramite allegati .ZIP e .ISO. 
• Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l'Italia: gli allegati dannosi erano in formato .XLS;
• Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
• Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
• anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti. 

Scoperta nuova variante del malware MassLogger: è già in diffusione in Italia

MassLogger è un malware piuttosto conosciuto nel mondo della cybersecurity italiana: è uno dei malware che, a cadenza piuttosto regolare, viene diffuso con campagne di phishing e spam ad hoc contro utenti italiani. La sua diffusione è così ricorrente e preoccupante da aver indotto il CERT-AGiD ad analizzare e scrivere un report / alert su questa minaccia. 

Ora MassLogger, che ricordiamo è un malware infostealer finalizzato al furto di credenziali, è in diffusione con una nuova versione che ha ampliato le funzionalità del malware originario ed è capace di rubare credenziali da app di messaggistica, MS Outlook  e Google Chrome e altri applicativi.  

La nuova versione è già in uso in the wild, individuata nell'ambito di una campagna di phishing generica che ha colpito utenti in Turchia, Spagna, Russia, Lituania e Italia. La campagna è attiva, con alti e bassi, da metà Gennaio 2021 circa. 

Individuata dai ricercatori di Cisco Talos, la nuova versione del trojan per utenti Windows usa un file HTML compilato: è da questo file .html che si origina la catena di infezione. Questo formato è tipicamente usato per il file Windows Help, tuttavia può contenere script attivi, come nel caso dei Javascript che lanciano operazioni malware. 

Ransomware Avaddon: uno studente pubblica tool per la decriptazione gratuita e gli attaccanti lo usano per correggere la falla e diffondere (anche in Italia) una versione migliorata del malware

Stiamo ricevendo alcune richieste di supporto per decriptare file criptati dall'infezione ransomware Avaddon: alcune richieste provengono anche da utenti italiani, segno che la campagna ransomware è attiva anche nel nostro paese. Se la prima versione del ransomware risulta risolvibile senza pagare il riscatto ai cybercriminali, la nuova versione circolante non è ad ora risolvibile perchè la falla che permetteva di risolvere la prima versione è stata corretta studiando il tool di decriptazione che uno studente spagnolo ha messo, gratuitamente e in buona fede, a disposizione di tutte le vittime. Evento che apre una amara riflessione su come, talvolta, gli esperti di cyber security più che di ostacolo al cybercrime ne divengano (involontariamente) complici. Forse è possibile gestire in maniera migliore tali situazioni, aiutando le vittime senza dettagliare pubblicamente la soluzione tecnica? 

Avaddon in breve
Avaddon è una RaaS che ha debuttato sulle scene del cybercrime nei primi mesi del 2020: inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon è, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon è così organizzato da disporre pure di una pagina di supporto alle vittime dove sono fornite ulteriori e indicazioni per utenti poco esperti

Cagliari: il laboratorio di analisi colpito da ransomware. Rubati dati sanitari e richiesto il riscatto

L'attacco è avvenuto nella notte del 6 Febbraio: il gruppo ransomware responsabile della campagna Ragnar0k ha fatto irruzione nei sistemi IT del Laboratorio Analisi di Valdes a Cagliari. Come ormai da tradizione, gli attaccanti non si sono limitati a criptare i dati e richiedere un riscatto, ma hanno anticipato la routine di criptazione con un massivo furto dati. Il data breach ha riguardato dati estremamente sensibili, personali e sanitari: certificati di positività al Covid, referti, prenotazioni visite ambulatoriali e test di laboratorio, documenti economici e sanitari di vario tipo, attestati di qualità ecc... A tutt'ora non è chiaro il numero delle persone i cui dati risultano violati. 

Per approfondire >> Un attacco Ransomware è da considerarsi anche un databreach: l'esempio dell'attacco a Luxottica 

L'azienda ha comunque deciso di non cedere al ricatto e, per quanto si sa ad ora, si è rifiutata di pagare il riscatto allertando immediatamente la Polizia Postale oltreché, come fa sapere il titolare Enrico Valdés, il Garante per la protezione dei dati personali: tutto secondo legge, dato che il GDPR obbliga le aziende che subiscono un data breach a comunicarlo entro 72h. Non si sa invece se sia stata inviata una comunicazione ai clienti (anche questa obbligata da previsioni di legge): l'avviso ufficiale di comunicazione del data breach è arrivato comunque con grande ritardo, cioè soltanto oggi Lunedì 22 Febbraio. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 12/02
Questa settimana il CERT-AGID ha individuato e analizzato circa 35 campagne dannose: di queste soltanto 3 sono state generiche, 32 invece quelle mirate  contro utenti italiani. Record di indicatori di compromissione individuati, ben 774. 

Sette sono state le famiglie di malware individuate, con poche novità, a parte il debutto del malware Kronos:

Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Il report che la società di sicurezza KELA ha pubblicato qualche giorno fa accende i riflettori su un fenomeno che spesso resta in secondo piano: la rivendita di accessi alle reti violate sembra essere argomento sottovalutato rispetto alla vendita nel dark web di dati personali a fini di furto d'identità o di coppie di credenziali. 

Rivendere gli accessi: il mercato delle reti violate
Il report parla di una organizzazione capillare, molto strutturata al punto da configurare, praticamente, una filiera: è la riconferma del fatto che il cybercrime si fa sempre più "professionale" e sempre meglio organizzato. La rappresentazione plastica di questo fenomeno, oltre alla nascita dei RaaS (Ransomware as a service) e dei MaaS (malware as a service) e la strutturazione sempre più avanzata del mercato di compravendita di accessi. Ora si può definitivamente parlare di un vero  e proprio mercato in cui si vendono accessi alle reti. 

Lo schema è questo: un gruppo di attaccanti riesce a violare, in qualche maniera, una rete. L'idea comune è che, ottenuto un accesso, l'attaccante prosegua nel suo intento portando attacchi più profondi e pesanti al fine di poter guadagnare monetizzando l'attività. La novità è che sempre più spesso gli attaccanti si fermano all'ottenimento dell'accesso alla rete e poi monetizzano direttamente quello, rivendendolo ad altri "colleghi". Si profila quindi una filiera in cui alcuni cyber attaccanti si specializzano in violazione delle reti, mentre altri si specializzano in diffusione malware, furto dati e criptazione. 

Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

E' con un'operazione congiunta tra le forze dell'ordine ucraine e francesi che è stata sgominata la banda di cyber attaccanti responsabile dell'operazione ransomware Egregor: sono finiti in carcere non tutti, ma la maggior parte dei membri della gang. L'operazione nasce grazie al tracciamento, da parte della Polizia francese, di alcuni riscatti pagati ad individui che sono poi risultati localizzati in Ucraina. In manette, come detto, non soltanto gli sviluppatori del ransomware, ma anche persone che hanno fornito supporto logistico e finanziario.  L'operazione scaturisce da una indagine aperta lo scorso Autunno dal Tribunale di grande istanza di Parigi in seguito a molteplici denunce ricevute sulla gang ransomware di Egregor, che in effetti ha duramente colpito aziende francesi. 

Non che la notizia di arresti di questo tipo sia isolata: alcune volte i cyber criminali si tradiscono, sbagliano qualcosa, finiscono rintracciati. Questi arresti però fanno notizia perchè Egregor non solo era atteso come "top ransomware", ma anche perchè nel suo (breve) periodo di attività ha messo a segno colpi di peso come l'attacco ad Ubisoft o, più recentemente, contro Gefko. 

Per approfondire > Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

Egregor: ascesa e caduta
La comparsa di Egregor aveva, a suo tempo, messo in forte allarme ricercatori ed esperti di cybersecurity che, addirittura, arrivarono a definirlo come il successore del temibilissimo ransomware Maze. Proprio i legami con Maze portarono l'FBI a diramare uno specifico alert su Egregor il quale, già alla sua prima comparsa, potè contare sull'intera rete di affiliati di Maze transitati in massa al nuovo RaaS.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 05/02
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 35 campagne dannose: soltanto due di queste sono state campagne generiche distribuite anche nello spazio italiano, mentre 33 hanno preso di mira specificatamente obiettivi italiani. 449 gli indicatori di compromissione resi disponibili. 

7 sono state le famiglie di malware individuate: prima di elencarle però è utile far notare un'assenza che ha grosso peso. Non risultano individuazioni di campagne vettori del malware Emotet: il take down dell'infrastruttura botnet è stato davvero efficace.

Camper sotto attacco: hacker paralizzano gli stabilimenti toscani di Trigano

Uffici bloccati e fermo produttivo: 850 dipendenti, cioè il complesso della forza lavoro, mandati a casa in pieno orario di lavoro, con la prospettiva di cassa integrazione per un arco di tempo che potrebbe andare da pochi giorni a qualche settimana, ma è difficile fare previsioni. Queste le conseguenze di un cyber attacco che ha colpito il gruppo Trigano, multinazionale francese specializzata nella produzione di camper: 3 gli stabilimenti fermi in Italia, a Cusona di San Gimignano, a Chiano di Barberino Tavarnelle e a Poggibonsi. 

I 3 stabilimenti sono chiusi ormai da Martedì mattina ed è difficile capire quando potranno riaprire, dato l'alto livello di automazione e digitalizzazione aziendale: il blocco riguarda i settori commerciale, amministrativo, produttivo che, assieme, compongono una struttura 4.0, all'avanguardia. Anche il sito ufficiale italiano, trigano.it, è offline da giorni.

Avvelenare l'acqua sabotando un impianto di depurazione via TeamViewer: il grave episodio in Florida

E' una storia che sembra surreale, peccato che non lo è: anzi, è un precedente utile per capire come la cybersecurity non attenga più solo a cose "immateriali" come dati, foto, credenziali. Data la sempre maggiore interrelazione tra mondi digitale e reale, il confine tra i due mondi si è fatto talmente labile da divenire invisibile, al punto che ormai un cyber attacco rischia di avere effetti "materialissimi", potendo perfino fare vittime. 

Per quanto non sia la prima volta che accade, quanto successo in Florida sta facendo il giro del mondo: un attaccante è riuscito ad avere accesso al sistema di depurazione dell'acqua della città di Oldsmar in Florida e tentato di incrementare la concentrazione dell'idrossido di sodio (NaOH), meglio conosciuto come soda caustica, nell'acqua trattata. L'idrossido di sodio è comunemente presente in molti detergenti per la casa, ma diviene estremamente pericoloso se ingestito in alte concentrazioni. In basse concentrazioni è usato negli impianti di depurazione dell'acqua per regolarne l'acidità (PH) e rimuovere metalli pesanti. 

L'attacco è avvenuto lo scorso Venerdì intorno alle 1.30 della notte, ora locale: l'attaccante ha ottenuto l'accesso e preso il controllo del pc di uno degli impiegati dell'impianto usando TeamViewer: questo quanto dichiarato all'agenzia di stampa Reuters dallo Sceriffo della città Bob Gualtieri. Uno degli operatori dell'impianto ha raccontato di aver visto qualcuno prendere il controllo del mouse del suo pc e usarlo per effettuare alcuni cambiamenti nel software che regola le funzioni del depuratore cittadino. L'intruso è riuscito a rimanere nel sistema dai 3 ai 5 minuti, portando il livello di soda caustica nell'acqua da 100 parti al milione a 11.100 parti per milione. La tragedia è stata evitata dall'operatore stesso, che ha immediatamente annullato le operazioni compiute e poi interrotto l'accesso remoto al sistema. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 29/01
Questa settimana il CERT-AgiD ha individuato  e sottoposto ad analisi 29 campagne dannose: 1 sola di queste era generica e veicolata anche in Italia, mentre le altre 28 sono state mirate contro obiettivi italiani. 155 gli indicatori di compromissione (IoC) individuati. Le famiglie di malware individuate in diffusione sono state 5 e non si registrano novità

• Urnsif è in diffusione con due diverse campagne che veicolano allegati in formato archivio .ZIP contenenti il classico documento Office con macro dannosa;
  
• Emotet è stato rilevato in diffusione con una sola campagna, per una evenienza lieta: il takedown dell'intera infrastruttura di Emotet ad opera di una task force di forze dell'ordine, Europol e EuroJust;
  
• AgentTesla, Formbook e Avemaria completano il quadro delle famiglie malware. Le campagne che veicolano Formbook e Avemaria erano in lingua italiana, quindi mirate, mentre quelle di diffusione di AgenTesla era in lingua inglese ma diffusa anche in Italia. 

L'unica particolarità della settimana è la diffusione del malware Oscorp, che il CERT-AgID  non ha inserito tra le campagne perchè non è stato diffuso tramite campagne, ma tramite un dominio che veicolava un apk dannoso. Qui l'approfondimento del Cert-AgID.

Attacchi ransomware in crescita: tornano anche quelli che distruggono i dati. Ma si riduce l'entità dei riscatti

Nonostante lo scenario fosco, vogliamo aprire con una buona notizia: si registrano sempre più persone / soggetti che decidono di resistere agli estorsori e rifiutare il pagamento del riscatto una volta subita l'infezione ransomware, talvolta grazie alla presenza del backup talvolta per mero coraggio, anche e nonostante le minacce dei cyber attaccanti di pubblicare i dati rubati prima della criptazione dei dati. Il numero di vittime coraggiose è stato così importante da aver fatto registrare, nell'ultimo trimestre del 2020, un calo significativo della media dei pagamenti di riscatto rispetto al trimestre precedente. 

Ma si sta presentando un fenomeno ancora più insidioso e pericoloso, ovvero quello di procedere alla distruzione dei file durante l'attacco, senza lasciare alle aziende alcuna possibilità di recuperarli anche pagando il riscatto. 

Attacchi ransomware "data wiping"
L'ultimo trimestre del 2020, stando ai dati di Coveware (un'azienda che si occupa di sicurezza informatica e offre anche servizi di vera e propria contrattazione coi gruppi ransomware in corso di estorsione), ha mostrato un chiaro e costante aumento di segnalazioni su interi cluster di server e dati condivisi spazzati via, letteralmente, da attacchi ransomware. 

Ora, come si sa, solitamente i ransomware mirano target specifici, soprattutto sistemi di backup, e tentano la criptazione su macchine di alto valore. In questi casi però gli attaccanti hanno lasciato dietro di sé terra bruciata, cancellando tutto: senza nulla da recuperare le vittime che hanno subito un data wiping di questo tipo hanno dovuto ricostruire da zero i propri sistemi. Certo, questo sistema deve necessariamente basarsi, per gli attaccanti, sull'esistenza di copie dei file disponibili in forma criptata, altrimenti le vittime non avrebbero alcune motivo per richiedere il tool di decriptazione pagando il riscatto. Va comunque detto che non tutte le cancellazioni di dati sono state volute: molti sono anche gli eventi ransomware che portano ad una accidentale distruzione dei dati, conseguente poi per alcune vittime in un prolungato stop delle attività. 

Il Ransomware Fonix arresta le operazioni e rilascia la master key: la criptazione è risolvibile!

Gli operatori del ransomware Fonix hanno cessato le operazioni e reso pubblica la master key tramite la quale le vittime di questa infezione potranno riportare in chiaro i propri file. 

Fonix in breve
Questo ransomware, conosciuto anche come Xinof o FonixCrypter, ha iniziato le operazioni poco tempo fa, nel Giugno 2020 e da allora ha costantemente infettato macchine senza far registrare alcun periodo di stop alla diffusione. Questa operazione ransomware non è stata così attiva come altre simili e ben più famigerate (pensiamo a REvil o STOP), però ha mostrato un certo aumento dell'attività.

Pochi giorni fa, un profilo Twitter appartenente (stando alle sue proprie dichiarazioni) agli amministratori di Fonix ha annunciato lo shut down del ransomware, con questo messaggio:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 22/01
Il CERT-AgID ha individuato e analizzato 34 campagne, di 4 generiche diffuse anche in Italia e 30 con il preciso intendo di colpire obiettivi italiani. 368 gli indicatori di compromissione pubblicati. 7 sono state le famiglie Malware individuate:

• Emotet ancora saldamente al primo poso, con 4 diverse campagne. Confermate anche le modalità di diffusione: mail di spam contenenti allegati archivio in formato .ZIP protetti da password e contenenti un file .doc compromesso;
• Urnsif si piazza al secondo posto con 3 diverse campagne di diffusione, a tema Pagamenti, Delivery e Documenti. Le campagne hanno seguito lo stesso schema: un allegato archivio in formato .ZIP contenente un documento office o un XLSM compromesso;
• AgentTesla è stato diffuso con 3 diverse campagne: queste recavano allegati archivio nei formati .7Z o .RAR. Delle 3 campagne, però, una sola era rivolta direttamente contro utenti italiani, le altre invece sono state campagne generiche che hanno riguardato anche l'Italia;
• Lokibot torna attivo dopo un periodo di silenzio: diffuso in due campagne mirate contro utenti italiani, a tema Pagamenti e Delivery, recava allegati di tipo .GZ e .RAR;
• Alien è un nuovo malware specializzato per sistemi Android. E' stato individuato in diffusione entro una versione fake dell'app Immuni;
• chiudono la lista Dridex e Formbook, diffusi entrambi con campagne mirate contro utenti italiani veicolanti allegati in formato .XSLM o .ISO contenenti, a loro volta, un file .exe.

La botnet di Emotet abbattuta da una operazione congiunta di forze dell'ordine

L'infrastruttura della famigerata botnet Emotet è stata di nuovo bersaglio di un attacco coordinato da Europol e Eurojust, culminata nel down dell'infrastruttura stessa. L'operazione di attacco ha consentito ad una commissione di forze dell'ordine e authority inglese, statunitense, francese, lituana, ucraina, canadese e olandese di prendere il controllo dei server e interrompere le operazioni malware. 

L'operazione ha avuto luogo dopo un ampio sforzo investigativo globale, col supporto di alcune autorità giudiziarie: l'infrastruttura è stata abbattuta dall'interno una volta ottenuti i controllo di amministrazione dei server all'inizio di questa settimana. 

"L'infrastruttura utilizzata da Emotet comprendeva centinaia di server dislocati in tutto il mondo, tutti dotati di funzionalità per gestire i computer infetti delle vittime e organizzare infezioni ulteriori, per supportare altri gruppo criminali e, infine, per rendere la rete più resiliente ai tentativi di takedown" ha dichiarato l'Europol. 

"Le macchine infette delle vittime  sono adesso reindirizzate verso questa infrastruttura controllata dalle forze dell'ordine. Si tratta di un nuovo e unico approccio per riuscire a interrompere efficacemente le attività di coloro che vivono e facilitano la criminalità informatica". 

I server Windows Remote Desktop (RDP) sfruttati per amplificare attacchi DDoS

I server Windows Remote Desktop Protocol sono attualmente sfruttati per amplificare attacchi DDoS: si tratta di un caso da manuale di uso improprio di uno strumento legittimo ad opera di servizi di attacco DDoS affittabili nel dark web e nei forum dell'underground hacking. 

Il servizio RDP di Microsoft è un servizio integrato di Windows in esecuzione su TCP/3389 e/o UDP/3389 che abilita l'accesso autenticato alle infrastrutture di desktop remoto virtuale (VDI) su server e workstation Windows. 

Gli attacchi che stanno sfruttando questo nuovo vettore di attacco (anzi, più correttamente, di amplificazione di attacco), mirando principalmente ai server con RDP abilitati su UDP/3389, hanno un rapporto di amplificazione di 85,9:1 e un picco di ~750 Gbps. Il report pubblicato qualche giorno fa da Netscout parla di oltre 14.000 server Windows RDP vulnerabili, raggiungibili tramite Internet. 

Ora, questa non è affatto una nuova minaccia: utilizzi simili di server RDP erano già stati individuati, ma sempre ad opera di attori di minacce avanzati. La novità, purtroppo, sta nel fatto che ora questo vettore di amplificazione viene utilizzato dai booter DDoS, integrato direttamente nei servizi di attacco DDoS affittabili online.  

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 15/01
Il CERT-AGiD ha individuato e analizzato 24 campagne dannose attive nello spazio italiano: 23 miravano esplicitamente obiettivi italiani, solo 1 invece si è dimostrata essere una campagna generica veicolata anche in Italia. 299 gli indicatori di compromissione (IoC) messi a disposizione dal CERT. 

6 le famiglie malware individuate in diffusione:

• Emotet torna prepotentemente sul podio, diffuso con ben 4 diverse campagne a tema Pagamenti, Aggiornamenti, Comunicazioni e Documenti. Tutte e 4 le campagne hanno visto l'uso di archivio .ZIP protetti da password contenenti, a loro volta, un file in formato DOC compromessi. In un caso è stata usata una email PEC compromessa in precedenza: il CERT ha pubblicato qui una breve news specifica. 
• sLoad: è stato diffuso in quella che è risultata essere la prima campagna dell'anno mirata ad account PEC, rilevata Lunedì 11 e subito contrastata dai gestori. La campagna ha visto l'uso di allegati .ZIP a doppia compressione: entro l'archivio, un file dannoso in formato VBS. Questa campagna, a tema Pagamenti, è stata diffusa solo tramite il circuito PEC, cioè veicolata da PEC contro utenti PEC. La doppia compressione è dovuta alla presenza, entro il primo archivio allegato all'email dannosa, di un secondo archivio contenente, a sua volta due file, uno in formato VBS e uno in formato XML. 
• Lokibot, Dridex, Formbook, Masslogger sono le altre famiglie individuate in diffusione, con sporadiche campagne. 

sLoad in breve:

Nuovo malware per Android debutta in Italia spacciandosi per l'app Immuni

Il Cert-AGiD ha reso pubblica l'individuazione di un nuovo malware per Android in diffusione attualmente nello spazio italiano, ben nascosto dentro una versione fake dell'app Immuni appositamente creata dagli attaccanti e diffusa tramite vari domini creati ad hoc. 

Il malware in questione, segnalato originariamente dai ricercatori di Malware Hunter Team (MHT) via tweet, è nuovo in Italia ed è conosciuto col nome Alien: i ricercatori hanno anche provveduto a rendere pubblico i server di comando e controllo contattati dal malware. 

Il malware Alien
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E' cioè pensato per funzionare mostrando all'utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti. 

Consente l'accesso in remoto al dispositivo infetto e può eseguire diverse azioni:

E' finita, si chiude un'era: Adobe Flash Player va in pensione

E' finita, davvero: dopo molti annunci e una lunga attesa, Adobe Flash Player è ufficialmente non più funzionante. E' arrivato quindi il momento, per chi ancora non l'avesse fatto, di disinstallare il programma una volta per tutte. E' la fine di un'era.

La data di pensionamento era stata annunciata nel Luglio 2017, con un annuncio congiunto di Adobe, Apple, Microsoft, Google e Mozilla: la data ufficiale di end-of-life è stata il 31 Dicembre 2020. Quando Adobe ha pubblicato l'ultima versione di FlashPlayer a Dicembre, ha contestualmente annunciato che questa versione include un vero e proprio kill switch, un interruttore che dal 12 Gennaio 2021 impedisce a Flash Player di caricare o contenuti Flash. 

Dal 13 Gennaio infatti, quando si prova ad aprire contenuti Flash, che tra l'altro sono ormai bloccati automaticamente di default dalla quasi totalità dei browser, Flash Player stesso mostra una icona che riconduce l'utente alla pagina di end of life di Adobe Flash Player. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 08/01
Nel corso della scorsa settimana in CERT-AgID ha individuato e sottoposto ad analisi 17 diverse campagne dannose, di cui una generica diffusa anche in Italia e 16 rivolte specificatamente contro gli utenti italiani. 129 gli indicatori di compromissione (IoC) resi disponibili. 

3 le famiglie di malware individuate in diffusione. Una è solo una conferma, ma due sono novità:

• Emotet, vecchia conoscenza, è stato diffuso nel corso della settimana con  3 diverse campagne email contenenti allegati archivio in formato .ZIP. Le campagne sono state a tema "Pagamenti", "Informazioni", "Conferma".
• BitRAT è stato veicolato per la prima volta in Italia. La sua individuazione si deve al ricercatore ReecDeep , che lo ha individuato in diffusione tramite allegato in formato .docx contenuto in email a tema "Informazioni". 
• sysC32cmd è un altro nuovo malware, diffuso con una campagna a tema "Cashback" recante file archivio in formato .ZIP. 

BitRAT in breve