venerdì 29 gennaio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 22/01
Il CERT-AgID ha individuato e analizzato 34 campagne, di 4 generiche diffuse anche in Italia e 30 con il preciso intendo di colpire obiettivi italiani. 368 gli indicatori di compromissione pubblicati. 7 sono state le famiglie Malware individuate:

  • Emotet ancora saldamente al primo poso, con 4 diverse campagne. Confermate anche le modalità di diffusione: mail di spam contenenti allegati archivio in formato .ZIP protetti da password e contenenti un file .doc compromesso;
  • Urnsif si piazza al secondo posto con 3 diverse campagne di diffusione, a tema Pagamenti, Delivery e Documenti. Le campagne hanno seguito lo stesso schema: un allegato archivio in formato .ZIP contenente un documento office o un XLSM compromesso;
  • AgentTesla è stato diffuso con 3 diverse campagne: queste recavano allegati archivio nei formati .7Z o .RAR. Delle 3 campagne, però, una sola era rivolta direttamente contro utenti italiani, le altre invece sono state campagne generiche che hanno riguardato anche l'Italia;
  • Lokibot torna attivo dopo un periodo di silenzio: diffuso in due campagne mirate contro utenti italiani, a tema Pagamenti e Delivery, recava allegati di tipo .GZ e .RAR;
  • Alien è un nuovo malware specializzato per sistemi Android. E' stato individuato in diffusione entro una versione fake dell'app Immuni;
  • chiudono la lista Dridex e Formbook, diffusi entrambi con campagne mirate contro utenti italiani veicolanti allegati in formato .XSLM o .ISO contenenti, a loro volta, un file .exe.

mercoledì 27 gennaio 2021

La botnet di Emotet abbattuta da una operazione congiunta di forze dell'ordine

L'infrastruttura della famigerata botnet Emotet è stata di nuovo bersaglio di un attacco coordinato da Europol e Eurojust, culminata nel down dell'infrastruttura stessa. L'operazione di attacco ha consentito ad una commissione di forze dell'ordine e authority inglese, statunitense, francese, lituana, ucraina, canadese e olandese di prendere il controllo dei server e interrompere le operazioni malware

L'operazione ha avuto luogo dopo un ampio sforzo investigativo globale, col supporto di alcune autorità giudiziarie: l'infrastruttura è stata abbattuta dall'interno una volta ottenuti i controllo di amministrazione dei server all'inizio di questa settimana. 

"L'infrastruttura utilizzata da Emotet comprendeva centinaia di server dislocati in tutto il mondo, tutti dotati di funzionalità per gestire i computer infetti delle vittime e organizzare infezioni ulteriori, per supportare altri gruppo criminali e, infine, per rendere la rete più resiliente ai tentativi di takedown" ha dichiarato l'Europol. 

"Le macchine infette delle vittime  sono adesso reindirizzate verso questa infrastruttura controllata dalle forze dell'ordine. Si tratta di un nuovo e unico approccio per riuscire a interrompere efficacemente le attività di coloro che vivono e facilitano la criminalità informatica". 

lunedì 25 gennaio 2021

I server Windows Remote Desktop (RDP) sfruttati per amplificare attacchi DDoS


I server Windows Remote Desktop Protocol sono attualmente sfruttati per amplificare attacchi DDoS: si tratta di un caso da manuale di uso improprio di uno strumento legittimo ad opera di servizi di attacco DDoS affittabili nel dark web e nei forum dell'underground hacking. 

Il servizio RDP di Microsoft è un servizio integrato di Windows in esecuzione su TCP/3389 e/o UDP/3389 che abilita l'accesso autenticato alle infrastrutture di desktop remoto virtuale (VDI) su server e workstation Windows. 

Gli attacchi che stanno sfruttando questo nuovo vettore di attacco (anzi, più correttamente, di amplificazione di attacco), mirando principalmente ai server con RDP abilitati su UDP/3389, hanno un rapporto di amplificazione di 85,9:1 e un picco di ~750 Gbps. Il report pubblicato qualche giorno fa da Netscout parla di oltre 14.000 server Windows RDP vulnerabili, raggiungibili tramite Internet. 

Ora, questa non è affatto una nuova minaccia: utilizzi simili di server RDP erano già stati individuati, ma sempre ad opera di attori di minacce avanzati. La novità, purtroppo, sta nel fatto che ora questo vettore di amplificazione viene utilizzato dai booter DDoS, integrato direttamente nei servizi di attacco DDoS affittabili online.  

giovedì 21 gennaio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 15/01
Il CERT-AGiD ha individuato e analizzato 24 campagne dannose attive nello spazio italiano: 23 miravano esplicitamente obiettivi italiani, solo 1 invece si è dimostrata essere una campagna generica veicolata anche in Italia. 299 gli indicatori di compromissione (IoC) messi a disposizione dal CERT. 

6 le famiglie malware individuate in diffusione:

  • Emotet torna prepotentemente sul podio, diffuso con ben 4 diverse campagne a tema Pagamenti, Aggiornamenti, Comunicazioni e Documenti. Tutte e 4 le campagne hanno visto l'uso di archivio .ZIP protetti da password contenenti, a loro volta, un file in formato DOC compromessi. In un caso è stata usata una email PEC compromessa in precedenza: il CERT ha pubblicato qui una breve news specifica
  • sLoad: è stato diffuso in quella che è risultata essere la prima campagna dell'anno mirata ad account PEC, rilevata Lunedì 11 e subito contrastata dai gestori. La campagna ha visto l'uso di allegati .ZIP a doppia compressione: entro l'archivio, un file dannoso in formato VBS. Questa campagna, a tema Pagamenti, è stata diffusa solo tramite il circuito PEC, cioè veicolata da PEC contro utenti PEC. La doppia compressione è dovuta alla presenza, entro il primo archivio allegato all'email dannosa, di un secondo archivio contenente, a sua volta due file, uno in formato VBS e uno in formato XML. 
  • Lokibot, Dridex, Formbook, Masslogger sono le altre famiglie individuate in diffusione, con sporadiche campagne. 

sLoad in breve:

mercoledì 20 gennaio 2021

Nuovo malware per Android debutta in Italia spacciandosi per l'app Immuni

Il Cert-AGiD ha reso pubblica l'individuazione di un nuovo malware per Android in diffusione attualmente nello spazio italiano, ben nascosto dentro una versione fake dell'app Immuni appositamente creata dagli attaccanti e diffusa tramite vari domini creati ad hoc. 

Il malware in questione, segnalato originariamente dai ricercatori di Malware Hunter Team (MHT) via tweet, è nuovo in Italia ed è conosciuto col nome Alien: i ricercatori hanno anche provveduto a rendere pubblico i server di comando e controllo contattati dal malware. 

Il malware Alien
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E' cioè pensato per funzionare mostrando all'utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti. 

Consente l'accesso in remoto al dispositivo infetto e può eseguire diverse azioni:

venerdì 15 gennaio 2021

E' finita, si chiude un'era: Adobe Flash Player va in pensione

E' finita, davvero: dopo molti annunci e una lunga attesa, Adobe Flash Player è ufficialmente non più funzionante. E' arrivato quindi il momento, per chi ancora non l'avesse fatto, di disinstallare il programma una volta per tutte. E' la fine di un'era.

La data di pensionamento era stata annunciata nel Luglio 2017, con un annuncio congiunto di Adobe, Apple, Microsoft, Google e Mozilla: la data ufficiale di end-of-life è stata il 31 Dicembre 2020. Quando Adobe ha pubblicato l'ultima versione di FlashPlayer a Dicembre, ha contestualmente annunciato che questa versione include un vero e proprio kill switch, un interruttore che dal 12 Gennaio 2021 impedisce a Flash Player di caricare o contenuti Flash. 

Dal 13 Gennaio infatti, quando si prova ad aprire contenuti Flash, che tra l'altro sono ormai bloccati automaticamente di default dalla quasi totalità dei browser, Flash Player stesso mostra una icona che riconduce l'utente alla pagina di end of life di Adobe Flash Player

giovedì 14 gennaio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 08/01
Nel corso della scorsa settimana in CERT-AgID ha individuato e sottoposto ad analisi 17 diverse campagne dannose, di cui una generica diffusa anche in Italia e 16 rivolte specificatamente contro gli utenti italiani. 129 gli indicatori di compromissione (IoC) resi disponibili. 

3 le famiglie di malware individuate in diffusione. Una è solo una conferma, ma due sono novità:

  • Emotet, vecchia conoscenza, è stato diffuso nel corso della settimana con  3 diverse campagne email contenenti allegati archivio in formato .ZIP. Le campagne sono state a tema "Pagamenti", "Informazioni", "Conferma".
  • BitRAT è stato veicolato per la prima volta in Italia. La sua individuazione si deve al ricercatore ReecDeep , che lo ha individuato in diffusione tramite allegato in formato .docx contenuto in email a tema "Informazioni". 
  • sysC32cmd è un altro nuovo malware, diffuso con una campagna a tema "Cashback" recante file archivio in formato .ZIP. 

BitRAT in breve

martedì 12 gennaio 2021

Attacco ransomware costringe alla chiusura una farmacia di Varese: nessuna pietà, nemmeno per i più piccoli

Quando ci troviamo a sensibilizzare i nostri clienti sulla necessità di dotarsi di strumenti di cyber sicurezza adatti ai tempi e ai rischi, non incontriamo alcuna reticenza su antivirus e antimalware: è un dato assodato e riconosciuto che strumenti come questi sono essenziali. Molto più complesso diventa invece far cogliere la necessità di una protezione sulla rete e sui dati e non solo sul singolo endpoint. Anche far capire l'importanza di dotarsi di almeno due copie di backup (che è già un requisito minimale), possibilmente una offline in locale e una in cloud, non è affatto semplice. Argomentare che il più grosso rischio che ad ora possono correre le aziende è quello di subire un attacco ransomware (sicuramente non l'unico rischio, ma quello con le più alte potenzialità di fare danni) non sembra un tema convincente: l'informazione pare oltremodo viziata dai casi eclatanti, dai grandi nomi e brand che finiscono vittime di ricatti milionari. Insomma, per la maggior parte delle aziende e delle piccole attività, i ransomware sono un problema lontano, che deve preoccupare soltanto le grandi aziende o enti. 

La vicenda accaduta nel varesotto ci è "utile" per concretizzare invece il problema ransomware e renderlo per quel che è, ovvero un rischio che può riguardare tutti e per il quale i costi di messa in sicurezza / mitigazione possono essere davvero risibili rispetto a quelli necessari ad affrontare le conseguenze di un attacco di questo tipo. 

I fatti in breve sono questi: sabato 9 Gennaio, una farmacia in provincia di Varese si trova costretta a chiudere temporaneamente i battenti. Il motivo, spiegano ai giornali locali, è che la farmacia ha subito un attacco informatico: «con richiesta di riscatto. Il virus è entrato dal sistema attraverso una mail nonostante avessimo attivato tutte le protezioni del caso».

venerdì 8 gennaio 2021

Anno nuovo, vecchi problemi: l'FBI lancia l'allarme mondiale per il ransomware Egregor

L'FBI ha rivolto un alert critico di sicurezza alle aziende del settore privato riguardo le operazioni del ransomware Egregor, che stanno attivamente colpendo e portando al ricatto di aziende in tutto il mondo. L'alert è contenuto in un PIN - Private Industry Notification pubblicato Mercoledì, nel quale si notifica che sono già state più di 150 le vittime di questo ransomware dal Settembre 2020 (periodo di prima osservazione ) a oggi. 

"A causa dell'alto numero di attori coinvolti nella distribuzione di Egregor, le tattiche, le tecniche e le procedure usate per la sua diffusione possono variare notevolmente, determinando sfide molto significative per la difesa e la mitigazione" si legge nell'alert. 

"Il ransomware Egregor usa molteplici meccanismi per compromettere le reti aziendali: attacca direttamente la rete aziendale, ma anche gli account personali di quei dipendenti che condividono l'accesso con le reti o i dispositivi aziendali". 

Tra i vettori di attacco ad ora conosciuti ci sono email di phishing contenenti allegati dannosi, ma anche RDP (Remote Desktop Protocol) insicuri o VPN (Virtual Private Network) vulnerabili: con questi strumenti gli attaccanti ottengono l'accesso alle reti, ma possono anche muoversi lateralmente al loro interno, ottenendo l'accesso a tutti gli host collegati. 

Per i movimenti laterali e per l'escalation dei privilegi, Egregor utilizza molti tool già ben noti e conosciuti: Cobalt Strike, il trojan Qakbot / Qbot, Advanced IP Scanner e ADFind. Inoltre è uso comune degli affiliati ad Egregor l'utilizzo di 7zip e Rclone per l'esfiltrazione dei dati prima della distribuzione del payload del ransomware nella rete bersaglio: tali tool vengono "travestiti" da processi svchost (Service Host Process).