Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 15/01
Il CERT-AGiD ha individuato e analizzato 24 campagne dannose attive nello spazio italiano: 23 miravano esplicitamente obiettivi italiani, solo 1 invece si è dimostrata essere una campagna generica veicolata anche in Italia. 299 gli indicatori di compromissione (IoC) messi a disposizione dal CERT. 

6 le famiglie malware individuate in diffusione:

• Emotet torna prepotentemente sul podio, diffuso con ben 4 diverse campagne a tema Pagamenti, Aggiornamenti, Comunicazioni e Documenti. Tutte e 4 le campagne hanno visto l'uso di archivio .ZIP protetti da password contenenti, a loro volta, un file in formato DOC compromessi. In un caso è stata usata una email PEC compromessa in precedenza: il CERT ha pubblicato qui una breve news specifica. 
• sLoad: è stato diffuso in quella che è risultata essere la prima campagna dell'anno mirata ad account PEC, rilevata Lunedì 11 e subito contrastata dai gestori. La campagna ha visto l'uso di allegati .ZIP a doppia compressione: entro l'archivio, un file dannoso in formato VBS. Questa campagna, a tema Pagamenti, è stata diffusa solo tramite il circuito PEC, cioè veicolata da PEC contro utenti PEC. La doppia compressione è dovuta alla presenza, entro il primo archivio allegato all'email dannosa, di un secondo archivio contenente, a sua volta due file, uno in formato VBS e uno in formato XML. 
• Lokibot, Dridex, Formbook, Masslogger sono le altre famiglie individuate in diffusione, con sporadiche campagne. 

sLoad in breve:

Nuovo malware per Android debutta in Italia spacciandosi per l'app Immuni

Il Cert-AGiD ha reso pubblica l'individuazione di un nuovo malware per Android in diffusione attualmente nello spazio italiano, ben nascosto dentro una versione fake dell'app Immuni appositamente creata dagli attaccanti e diffusa tramite vari domini creati ad hoc. 

Il malware in questione, segnalato originariamente dai ricercatori di Malware Hunter Team (MHT) via tweet, è nuovo in Italia ed è conosciuto col nome Alien: i ricercatori hanno anche provveduto a rendere pubblico i server di comando e controllo contattati dal malware. 

Il malware Alien
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E' cioè pensato per funzionare mostrando all'utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti. 

Consente l'accesso in remoto al dispositivo infetto e può eseguire diverse azioni:

E' finita, si chiude un'era: Adobe Flash Player va in pensione

E' finita, davvero: dopo molti annunci e una lunga attesa, Adobe Flash Player è ufficialmente non più funzionante. E' arrivato quindi il momento, per chi ancora non l'avesse fatto, di disinstallare il programma una volta per tutte. E' la fine di un'era.

La data di pensionamento era stata annunciata nel Luglio 2017, con un annuncio congiunto di Adobe, Apple, Microsoft, Google e Mozilla: la data ufficiale di end-of-life è stata il 31 Dicembre 2020. Quando Adobe ha pubblicato l'ultima versione di FlashPlayer a Dicembre, ha contestualmente annunciato che questa versione include un vero e proprio kill switch, un interruttore che dal 12 Gennaio 2021 impedisce a Flash Player di caricare o contenuti Flash. 

Dal 13 Gennaio infatti, quando si prova ad aprire contenuti Flash, che tra l'altro sono ormai bloccati automaticamente di default dalla quasi totalità dei browser, Flash Player stesso mostra una icona che riconduce l'utente alla pagina di end of life di Adobe Flash Player. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 08/01
Nel corso della scorsa settimana in CERT-AgID ha individuato e sottoposto ad analisi 17 diverse campagne dannose, di cui una generica diffusa anche in Italia e 16 rivolte specificatamente contro gli utenti italiani. 129 gli indicatori di compromissione (IoC) resi disponibili. 

3 le famiglie di malware individuate in diffusione. Una è solo una conferma, ma due sono novità:

• Emotet, vecchia conoscenza, è stato diffuso nel corso della settimana con  3 diverse campagne email contenenti allegati archivio in formato .ZIP. Le campagne sono state a tema "Pagamenti", "Informazioni", "Conferma".
• BitRAT è stato veicolato per la prima volta in Italia. La sua individuazione si deve al ricercatore ReecDeep , che lo ha individuato in diffusione tramite allegato in formato .docx contenuto in email a tema "Informazioni". 
• sysC32cmd è un altro nuovo malware, diffuso con una campagna a tema "Cashback" recante file archivio in formato .ZIP. 

BitRAT in breve

Attacco ransomware costringe alla chiusura una farmacia di Varese: nessuna pietà, nemmeno per i più piccoli

Quando ci troviamo a sensibilizzare i nostri clienti sulla necessità di dotarsi di strumenti di cyber sicurezza adatti ai tempi e ai rischi, non incontriamo alcuna reticenza su antivirus e antimalware: è un dato assodato e riconosciuto che strumenti come questi sono essenziali. Molto più complesso diventa invece far cogliere la necessità di una protezione sulla rete e sui dati e non solo sul singolo endpoint. Anche far capire l'importanza di dotarsi di almeno due copie di backup (che è già un requisito minimale), possibilmente una offline in locale e una in cloud, non è affatto semplice. Argomentare che il più grosso rischio che ad ora possono correre le aziende è quello di subire un attacco ransomware (sicuramente non l'unico rischio, ma quello con le più alte potenzialità di fare danni) non sembra un tema convincente: l'informazione pare oltremodo viziata dai casi eclatanti, dai grandi nomi e brand che finiscono vittime di ricatti milionari. Insomma, per la maggior parte delle aziende e delle piccole attività, i ransomware sono un problema lontano, che deve preoccupare soltanto le grandi aziende o enti. 

La vicenda accaduta nel varesotto ci è "utile" per concretizzare invece il problema ransomware e renderlo per quel che è, ovvero un rischio che può riguardare tutti e per il quale i costi di messa in sicurezza / mitigazione possono essere davvero risibili rispetto a quelli necessari ad affrontare le conseguenze di un attacco di questo tipo. 

I fatti in breve sono questi: sabato 9 Gennaio, una farmacia in provincia di Varese si trova costretta a chiudere temporaneamente i battenti. Il motivo, spiegano ai giornali locali, è che la farmacia ha subito un attacco informatico: «con richiesta di riscatto. Il virus è entrato dal sistema attraverso una mail nonostante avessimo attivato tutte le protezioni del caso».

Anno nuovo, vecchi problemi: l'FBI lancia l'allarme mondiale per il ransomware Egregor

L'FBI ha rivolto un alert critico di sicurezza alle aziende del settore privato riguardo le operazioni del ransomware Egregor, che stanno attivamente colpendo e portando al ricatto di aziende in tutto il mondo. L'alert è contenuto in un PIN - Private Industry Notification pubblicato Mercoledì, nel quale si notifica che sono già state più di 150 le vittime di questo ransomware dal Settembre 2020 (periodo di prima osservazione ) a oggi. 

"A causa dell'alto numero di attori coinvolti nella distribuzione di Egregor, le tattiche, le tecniche e le procedure usate per la sua diffusione possono variare notevolmente, determinando sfide molto significative per la difesa e la mitigazione" si legge nell'alert. 

"Il ransomware Egregor usa molteplici meccanismi per compromettere le reti aziendali: attacca direttamente la rete aziendale, ma anche gli account personali di quei dipendenti che condividono l'accesso con le reti o i dispositivi aziendali". 

Tra i vettori di attacco ad ora conosciuti ci sono email di phishing contenenti allegati dannosi, ma anche RDP (Remote Desktop Protocol) insicuri o VPN (Virtual Private Network) vulnerabili: con questi strumenti gli attaccanti ottengono l'accesso alle reti, ma possono anche muoversi lateralmente al loro interno, ottenendo l'accesso a tutti gli host collegati. 

Per i movimenti laterali e per l'escalation dei privilegi, Egregor utilizza molti tool già ben noti e conosciuti: Cobalt Strike, il trojan Qakbot / Qbot, Advanced IP Scanner e ADFind. Inoltre è uso comune degli affiliati ad Egregor l'utilizzo di 7zip e Rclone per l'esfiltrazione dei dati prima della distribuzione del payload del ransomware nella rete bersaglio: tali tool vengono "travestiti" da processi svchost (Service Host Process).