Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT. 

Sono ben 8 le famiglie di malware individuate in diffusione nell'ambito di queste campagne: nello specifico

• Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
• AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
• Formbook è stato individuato con due diverse campagne italiane a tema "Pagamenti" tramite allegati .ZIP e .ISO. 
• Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l'Italia: gli allegati dannosi erano in formato .XLS;
• Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
• Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
• anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti. 

Scoperta nuova variante del malware MassLogger: è già in diffusione in Italia

MassLogger è un malware piuttosto conosciuto nel mondo della cybersecurity italiana: è uno dei malware che, a cadenza piuttosto regolare, viene diffuso con campagne di phishing e spam ad hoc contro utenti italiani. La sua diffusione è così ricorrente e preoccupante da aver indotto il CERT-AGiD ad analizzare e scrivere un report / alert su questa minaccia. 

Ora MassLogger, che ricordiamo è un malware infostealer finalizzato al furto di credenziali, è in diffusione con una nuova versione che ha ampliato le funzionalità del malware originario ed è capace di rubare credenziali da app di messaggistica, MS Outlook  e Google Chrome e altri applicativi.  

La nuova versione è già in uso in the wild, individuata nell'ambito di una campagna di phishing generica che ha colpito utenti in Turchia, Spagna, Russia, Lituania e Italia. La campagna è attiva, con alti e bassi, da metà Gennaio 2021 circa. 

Individuata dai ricercatori di Cisco Talos, la nuova versione del trojan per utenti Windows usa un file HTML compilato: è da questo file .html che si origina la catena di infezione. Questo formato è tipicamente usato per il file Windows Help, tuttavia può contenere script attivi, come nel caso dei Javascript che lanciano operazioni malware. 

Ransomware Avaddon: uno studente pubblica tool per la decriptazione gratuita e gli attaccanti lo usano per correggere la falla e diffondere (anche in Italia) una versione migliorata del malware

Stiamo ricevendo alcune richieste di supporto per decriptare file criptati dall'infezione ransomware Avaddon: alcune richieste provengono anche da utenti italiani, segno che la campagna ransomware è attiva anche nel nostro paese. Se la prima versione del ransomware risulta risolvibile senza pagare il riscatto ai cybercriminali, la nuova versione circolante non è ad ora risolvibile perchè la falla che permetteva di risolvere la prima versione è stata corretta studiando il tool di decriptazione che uno studente spagnolo ha messo, gratuitamente e in buona fede, a disposizione di tutte le vittime. Evento che apre una amara riflessione su come, talvolta, gli esperti di cyber security più che di ostacolo al cybercrime ne divengano (involontariamente) complici. Forse è possibile gestire in maniera migliore tali situazioni, aiutando le vittime senza dettagliare pubblicamente la soluzione tecnica? 

Avaddon in breve
Avaddon è una RaaS che ha debuttato sulle scene del cybercrime nei primi mesi del 2020: inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon è, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon è così organizzato da disporre pure di una pagina di supporto alle vittime dove sono fornite ulteriori e indicazioni per utenti poco esperti

Cagliari: il laboratorio di analisi colpito da ransomware. Rubati dati sanitari e richiesto il riscatto

L'attacco è avvenuto nella notte del 6 Febbraio: il gruppo ransomware responsabile della campagna Ragnar0k ha fatto irruzione nei sistemi IT del Laboratorio Analisi di Valdes a Cagliari. Come ormai da tradizione, gli attaccanti non si sono limitati a criptare i dati e richiedere un riscatto, ma hanno anticipato la routine di criptazione con un massivo furto dati. Il data breach ha riguardato dati estremamente sensibili, personali e sanitari: certificati di positività al Covid, referti, prenotazioni visite ambulatoriali e test di laboratorio, documenti economici e sanitari di vario tipo, attestati di qualità ecc... A tutt'ora non è chiaro il numero delle persone i cui dati risultano violati. 

Per approfondire >> Un attacco Ransomware è da considerarsi anche un databreach: l'esempio dell'attacco a Luxottica 

L'azienda ha comunque deciso di non cedere al ricatto e, per quanto si sa ad ora, si è rifiutata di pagare il riscatto allertando immediatamente la Polizia Postale oltreché, come fa sapere il titolare Enrico Valdés, il Garante per la protezione dei dati personali: tutto secondo legge, dato che il GDPR obbliga le aziende che subiscono un data breach a comunicarlo entro 72h. Non si sa invece se sia stata inviata una comunicazione ai clienti (anche questa obbligata da previsioni di legge): l'avviso ufficiale di comunicazione del data breach è arrivato comunque con grande ritardo, cioè soltanto oggi Lunedì 22 Febbraio. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 12/02
Questa settimana il CERT-AGID ha individuato e analizzato circa 35 campagne dannose: di queste soltanto 3 sono state generiche, 32 invece quelle mirate  contro utenti italiani. Record di indicatori di compromissione individuati, ben 774. 

Sette sono state le famiglie di malware individuate, con poche novità, a parte il debutto del malware Kronos:

Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Il report che la società di sicurezza KELA ha pubblicato qualche giorno fa accende i riflettori su un fenomeno che spesso resta in secondo piano: la rivendita di accessi alle reti violate sembra essere argomento sottovalutato rispetto alla vendita nel dark web di dati personali a fini di furto d'identità o di coppie di credenziali. 

Rivendere gli accessi: il mercato delle reti violate
Il report parla di una organizzazione capillare, molto strutturata al punto da configurare, praticamente, una filiera: è la riconferma del fatto che il cybercrime si fa sempre più "professionale" e sempre meglio organizzato. La rappresentazione plastica di questo fenomeno, oltre alla nascita dei RaaS (Ransomware as a service) e dei MaaS (malware as a service) e la strutturazione sempre più avanzata del mercato di compravendita di accessi. Ora si può definitivamente parlare di un vero  e proprio mercato in cui si vendono accessi alle reti. 

Lo schema è questo: un gruppo di attaccanti riesce a violare, in qualche maniera, una rete. L'idea comune è che, ottenuto un accesso, l'attaccante prosegua nel suo intento portando attacchi più profondi e pesanti al fine di poter guadagnare monetizzando l'attività. La novità è che sempre più spesso gli attaccanti si fermano all'ottenimento dell'accesso alla rete e poi monetizzano direttamente quello, rivendendolo ad altri "colleghi". Si profila quindi una filiera in cui alcuni cyber attaccanti si specializzano in violazione delle reti, mentre altri si specializzano in diffusione malware, furto dati e criptazione. 

Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

E' con un'operazione congiunta tra le forze dell'ordine ucraine e francesi che è stata sgominata la banda di cyber attaccanti responsabile dell'operazione ransomware Egregor: sono finiti in carcere non tutti, ma la maggior parte dei membri della gang. L'operazione nasce grazie al tracciamento, da parte della Polizia francese, di alcuni riscatti pagati ad individui che sono poi risultati localizzati in Ucraina. In manette, come detto, non soltanto gli sviluppatori del ransomware, ma anche persone che hanno fornito supporto logistico e finanziario.  L'operazione scaturisce da una indagine aperta lo scorso Autunno dal Tribunale di grande istanza di Parigi in seguito a molteplici denunce ricevute sulla gang ransomware di Egregor, che in effetti ha duramente colpito aziende francesi. 

Non che la notizia di arresti di questo tipo sia isolata: alcune volte i cyber criminali si tradiscono, sbagliano qualcosa, finiscono rintracciati. Questi arresti però fanno notizia perchè Egregor non solo era atteso come "top ransomware", ma anche perchè nel suo (breve) periodo di attività ha messo a segno colpi di peso come l'attacco ad Ubisoft o, più recentemente, contro Gefko. 

Per approfondire > Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

Egregor: ascesa e caduta
La comparsa di Egregor aveva, a suo tempo, messo in forte allarme ricercatori ed esperti di cybersecurity che, addirittura, arrivarono a definirlo come il successore del temibilissimo ransomware Maze. Proprio i legami con Maze portarono l'FBI a diramare uno specifico alert su Egregor il quale, già alla sua prima comparsa, potè contare sull'intera rete di affiliati di Maze transitati in massa al nuovo RaaS.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 05/02
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 35 campagne dannose: soltanto due di queste sono state campagne generiche distribuite anche nello spazio italiano, mentre 33 hanno preso di mira specificatamente obiettivi italiani. 449 gli indicatori di compromissione resi disponibili. 

7 sono state le famiglie di malware individuate: prima di elencarle però è utile far notare un'assenza che ha grosso peso. Non risultano individuazioni di campagne vettori del malware Emotet: il take down dell'infrastruttura botnet è stato davvero efficace.

Camper sotto attacco: hacker paralizzano gli stabilimenti toscani di Trigano

Uffici bloccati e fermo produttivo: 850 dipendenti, cioè il complesso della forza lavoro, mandati a casa in pieno orario di lavoro, con la prospettiva di cassa integrazione per un arco di tempo che potrebbe andare da pochi giorni a qualche settimana, ma è difficile fare previsioni. Queste le conseguenze di un cyber attacco che ha colpito il gruppo Trigano, multinazionale francese specializzata nella produzione di camper: 3 gli stabilimenti fermi in Italia, a Cusona di San Gimignano, a Chiano di Barberino Tavarnelle e a Poggibonsi. 

I 3 stabilimenti sono chiusi ormai da Martedì mattina ed è difficile capire quando potranno riaprire, dato l'alto livello di automazione e digitalizzazione aziendale: il blocco riguarda i settori commerciale, amministrativo, produttivo che, assieme, compongono una struttura 4.0, all'avanguardia. Anche il sito ufficiale italiano, trigano.it, è offline da giorni.

Avvelenare l'acqua sabotando un impianto di depurazione via TeamViewer: il grave episodio in Florida

E' una storia che sembra surreale, peccato che non lo è: anzi, è un precedente utile per capire come la cybersecurity non attenga più solo a cose "immateriali" come dati, foto, credenziali. Data la sempre maggiore interrelazione tra mondi digitale e reale, il confine tra i due mondi si è fatto talmente labile da divenire invisibile, al punto che ormai un cyber attacco rischia di avere effetti "materialissimi", potendo perfino fare vittime. 

Per quanto non sia la prima volta che accade, quanto successo in Florida sta facendo il giro del mondo: un attaccante è riuscito ad avere accesso al sistema di depurazione dell'acqua della città di Oldsmar in Florida e tentato di incrementare la concentrazione dell'idrossido di sodio (NaOH), meglio conosciuto come soda caustica, nell'acqua trattata. L'idrossido di sodio è comunemente presente in molti detergenti per la casa, ma diviene estremamente pericoloso se ingestito in alte concentrazioni. In basse concentrazioni è usato negli impianti di depurazione dell'acqua per regolarne l'acidità (PH) e rimuovere metalli pesanti. 

L'attacco è avvenuto lo scorso Venerdì intorno alle 1.30 della notte, ora locale: l'attaccante ha ottenuto l'accesso e preso il controllo del pc di uno degli impiegati dell'impianto usando TeamViewer: questo quanto dichiarato all'agenzia di stampa Reuters dallo Sceriffo della città Bob Gualtieri. Uno degli operatori dell'impianto ha raccontato di aver visto qualcuno prendere il controllo del mouse del suo pc e usarlo per effettuare alcuni cambiamenti nel software che regola le funzioni del depuratore cittadino. L'intruso è riuscito a rimanere nel sistema dai 3 ai 5 minuti, portando il livello di soda caustica nell'acqua da 100 parti al milione a 11.100 parti per milione. La tragedia è stata evitata dall'operatore stesso, che ha immediatamente annullato le operazioni compiute e poi interrotto l'accesso remoto al sistema. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 29/01
Questa settimana il CERT-AgiD ha individuato  e sottoposto ad analisi 29 campagne dannose: 1 sola di queste era generica e veicolata anche in Italia, mentre le altre 28 sono state mirate contro obiettivi italiani. 155 gli indicatori di compromissione (IoC) individuati. Le famiglie di malware individuate in diffusione sono state 5 e non si registrano novità

• Urnsif è in diffusione con due diverse campagne che veicolano allegati in formato archivio .ZIP contenenti il classico documento Office con macro dannosa;
  
• Emotet è stato rilevato in diffusione con una sola campagna, per una evenienza lieta: il takedown dell'intera infrastruttura di Emotet ad opera di una task force di forze dell'ordine, Europol e EuroJust;
  
• AgentTesla, Formbook e Avemaria completano il quadro delle famiglie malware. Le campagne che veicolano Formbook e Avemaria erano in lingua italiana, quindi mirate, mentre quelle di diffusione di AgenTesla era in lingua inglese ma diffusa anche in Italia. 

L'unica particolarità della settimana è la diffusione del malware Oscorp, che il CERT-AgID  non ha inserito tra le campagne perchè non è stato diffuso tramite campagne, ma tramite un dominio che veicolava un apk dannoso. Qui l'approfondimento del Cert-AgID.

Attacchi ransomware in crescita: tornano anche quelli che distruggono i dati. Ma si riduce l'entità dei riscatti

Nonostante lo scenario fosco, vogliamo aprire con una buona notizia: si registrano sempre più persone / soggetti che decidono di resistere agli estorsori e rifiutare il pagamento del riscatto una volta subita l'infezione ransomware, talvolta grazie alla presenza del backup talvolta per mero coraggio, anche e nonostante le minacce dei cyber attaccanti di pubblicare i dati rubati prima della criptazione dei dati. Il numero di vittime coraggiose è stato così importante da aver fatto registrare, nell'ultimo trimestre del 2020, un calo significativo della media dei pagamenti di riscatto rispetto al trimestre precedente. 

Ma si sta presentando un fenomeno ancora più insidioso e pericoloso, ovvero quello di procedere alla distruzione dei file durante l'attacco, senza lasciare alle aziende alcuna possibilità di recuperarli anche pagando il riscatto. 

Attacchi ransomware "data wiping"
L'ultimo trimestre del 2020, stando ai dati di Coveware (un'azienda che si occupa di sicurezza informatica e offre anche servizi di vera e propria contrattazione coi gruppi ransomware in corso di estorsione), ha mostrato un chiaro e costante aumento di segnalazioni su interi cluster di server e dati condivisi spazzati via, letteralmente, da attacchi ransomware. 

Ora, come si sa, solitamente i ransomware mirano target specifici, soprattutto sistemi di backup, e tentano la criptazione su macchine di alto valore. In questi casi però gli attaccanti hanno lasciato dietro di sé terra bruciata, cancellando tutto: senza nulla da recuperare le vittime che hanno subito un data wiping di questo tipo hanno dovuto ricostruire da zero i propri sistemi. Certo, questo sistema deve necessariamente basarsi, per gli attaccanti, sull'esistenza di copie dei file disponibili in forma criptata, altrimenti le vittime non avrebbero alcune motivo per richiedere il tool di decriptazione pagando il riscatto. Va comunque detto che non tutte le cancellazioni di dati sono state volute: molti sono anche gli eventi ransomware che portano ad una accidentale distruzione dei dati, conseguente poi per alcune vittime in un prolungato stop delle attività. 

Il Ransomware Fonix arresta le operazioni e rilascia la master key: la criptazione è risolvibile!

Gli operatori del ransomware Fonix hanno cessato le operazioni e reso pubblica la master key tramite la quale le vittime di questa infezione potranno riportare in chiaro i propri file. 

Fonix in breve
Questo ransomware, conosciuto anche come Xinof o FonixCrypter, ha iniziato le operazioni poco tempo fa, nel Giugno 2020 e da allora ha costantemente infettato macchine senza far registrare alcun periodo di stop alla diffusione. Questa operazione ransomware non è stata così attiva come altre simili e ben più famigerate (pensiamo a REvil o STOP), però ha mostrato un certo aumento dell'attività.

Pochi giorni fa, un profilo Twitter appartenente (stando alle sue proprie dichiarazioni) agli amministratori di Fonix ha annunciato lo shut down del ransomware, con questo messaggio: