martedì 30 marzo 2021

Hackerato il server Git di PHP: l'aggiunta di una backdoor nel codice sorgente di PHP ha fatto tremare il web

E' ormai uno scenario col quale non si può più fare a meno di confrontarsi quello degli attacchi cosiddetti "supply chain", ovvero gli attacchi che non colpiscono direttamente l'obiettivo primario ma la catena di distribuzione: gli eventi che hanno riguardato SolarWind e Microsoft Exchange hanno riportato in primo piano un dibattito che era un pç sopito, ma che, incalzato dagli eventi, è divenuto irrimandabile e ormai si è reso evidente come sia urgente prendere le giuste contromisure rispetto ai cosiddetti "software supply chain attack". 

Ora ci risiamo, di nuovo, e anche questo evento ha un potenziale di compromissione molto esteso: la repository ufficiale Git di PHP è stata hackerata e il codice sorgente è stato manomesso. Due giorni fa infatti due commit dannosi sono stati "spinti" nella repository php-src GIT gestita dal team PHP sul loro server git.php.net. Gli attaccanti, ad ora sconosciuti, hanno firmato questi commit come se i loro autori fossero noti sviluppatori e manutentori PHP, ovvero Rasmus Lerdord e Nikita Popov. Per rendersi conto della portata di questo attacco, fortunatamente sventato, basta dire che PHP rimane il linguaggio di programmazione lato server più usato, alimentando più del 79% dei siti web in Internet.   

Il comunicato ufficiale spiega che un attaccante è riuscito ad inserire il codice dannoso, ma non è chiaro se sia riuscito nel suo intendo compromettendo il server stesso o gli account dei due sviluppatori.  Popov ha però escluso seccamente la possibilità di aver subito una violazione del proprio account.

I due commit sono disponibili qui e qui: questi sono stati inseriti come "fix typo", cioè gli attaccanti hanno provato a camuffarli da semplici correzioni ortografiche apportate dagli sviluppatori. 

venerdì 26 marzo 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 13-19 Marzo
La scorsa settimana il CERT-AgID ha riscontrato e sottoposto ad analisi 34 campagne dannose attive nello scenario italiano: 29 di queste sono state campagne mirate contro utenti europei, mentre 5 sono state generiche ma hanno rigurdato anche l'Italia. 338 gli indicatori di compromissione resi disponibili. 

Le famiglie di malware individuate sono state 6, in dettaglio:

mercoledì 24 marzo 2021

Il ransomware Ragnarock colpisce in Italia: qualche info tecnica


Ragnarok è un ransomware il cui debutto sulle scene del cybercrime è piuttosto recente: specializzato in attacchi mirati contro le aziende, ha già mietuto alcune vittime anche in Italia

Le analisi dei ricercatori di FireEye hanno fornito importanti informazioni su questa minaccia, che pare specializzata nell'attaccare i server Citrix ADC vulnerabili. In dettaglio gli attaccanti sfruttano la già nota vulnerabilità CVE-2019-19781 per accedere ai sistemi bersaglio e installare quindi Ragnarock. Quando l'attaccante riesce a compromettere un dispositivo Citrix ADC, vengono subito scaricati ed eseguiti una serie di script che ricercano nella rete computer Windows che presentano la vulnerabilità EternalBlue (anche questa patchata da tempo).  Se tale vulnerabilità viene individuata e l'exploit ha successo, viene successivamente iniettata una DLL che scarica e installa il ransowmare. 

La vulnerabilità CVE-2019-19781
Per quanto non sia possibile escludere altri vettori di attacco, la maggior parte delle infezioni del ransomware Ragnarock originano dall'exploit della vulnerabilità CVE-2019-19781 che è presente nelle applicazioni Citrix Application Delivery Controller (ADC) e Citrix Gateway e nell'appliance Citrix SD-WAN WANOP

Da parte sua, Citrix è già corsa ai ripari rendendo disponibile la versione 10.5 dell'ADC, che contiene il fix permanente per questa vulnerabilità (link di riferimento per la problematica qui) . 

Qualche dettaglio tecnico

lunedì 22 marzo 2021

Acer colpita da ransomware: richiesti 50 milioni di dollari in riscatto. Usate le vulnerabilità di Windows Exchange?

Il gigante della produzione di personal computer e desktop Acer è stata colpita da un attacco ransomware: gli attori del gruppo ransomware REvil sono riusciti a fare breccia nelle cyber difese aziendali e a richiedere il più alto riscatto mai richiesto nella storia dei ransomware, pari a 50 milioni di dollari. Acer è la famosa produttrice di computer e articoli di elettronica, con sede a Taiwan: ha circa 7.000 dipendenti e ha registrato profitti per 7.8 miliardi di dollari nel 2019. 

Qualche giorno fa è stato il gruppo ransomware stesso a dare notizia dell'attacco, pubblicando sul proprio sito di leak alcune immagini come prova dell'accesso riuscito alla rete e annunciando pubblicamente la propria operazione ransomware. Nelle immagini pubblicate si vedono documenti che includono bilanci bancari, comunicazioni bancarie e fogli di  calcolo finanziari.

venerdì 19 marzo 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 6-12 Marzo
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi ben 28 campagne dannose attive: 24 di queste sono state mirate contro obiettivi italiani mentre 4 sono state generiche, ma veicolate anche nel cyberspazio italiano. Gli indicatori di compromissione (IoC) messi a disposizione sono stati 385. 

Le famiglie malware individuate in diffusione sono state 5, con LokiBot che conquista lo scalino più alto del podio. 

giovedì 18 marzo 2021

Le vulnerabilità di Microsoft Exchange Server (risolte) sfruttate per distribuire ransomware: ancora poca attenzione alle patch

Microsoft ha annunciato, ormai alcune settimane fa, l'individuazione di una serie di attacchi 0-day contro Exchange Server. Il fine ultimo dell'attacco, che sfruttava ben 4 vulnerabilità 0day, era quello di sottrarre messaggi di posta e altre informazioni preziose. 

Dietro l'attacco, così ha ricostruito pubblicamente Microsoft, si celerebbe un gruppo hacker legato al Governo Cinese, anche se i server dai quali sono partiti gli attacchi sono dislocati per la maggior parte negli Stati Uniti. 

Le vulnerabilità utilizzate sono state 4, tutte 0day ovvero non individuate prima del loro utilizzo in questo attacco:

Il gruppo di vulnerabilità è stato ribattezzato ProxyLogon e, in realtà, pur con grande ritardo, è già stato risolto: Microsoft ha infatti rilasciato le patch che "tappano" le 4 falle. 

Al solito però, nonostante le patch rilasciate, moltissimi server non sono stati aggiornati ed è su questi che, come confermato da un membro del Security Program Manager di Microsoft, si è rivolto l'attacco: il ransomware in questione, individuato dall'esperto di ransomware Michael Gillespie, è stato rinominato DearCry (senso dell'umorismo o rimando alla tragica vicenda di Wannacry?)

Da circa una settimana quindi Microsoft sta ribadendo a tutti gli utenti l'importanza di installare prima possibile le patch rilasciate a inizio del mese di Marzo.

mercoledì 17 marzo 2021

Incendio distrugge un datacenter del provider OVH: cause del disastro e insegnamenti di Disaster Recovery

I fatti
Nella notte tra il 9 e 10 Marzo, nella sede di Strasburgo del cloud provider OVH divampa un grosso incendio: il rogo è originato da una stanza del data center SBG2 ed è stato causato, così indicherebbero le registrazioni delle videocamere di sorveglianza, da un malfunzionamento di un gruppo di continuità (UPS) revisionato proprio la mattina del 9 Marzo. I danni conseguenti sono stati ingenti nonostante, solitamente, gli UPS siano tenuti a debita distanza dai server proprio perché considerati elementi a rischio. Tra i più colpiti i virtual private server, macchine remote che sono molto spesso scelte come strumenti di supporto dalle piccole e medie imprese.


Il report pubblicato da OVH qualche giorno dopo il rogo e con il quale viene ricostruita la dinamica, indica che quasi tutti i VPS e i servizi VPS Additional Storage sono andati persi, così come il loro backup. Salvi invece i clienti del servizio FTB Backup, perché questo viene operato su data center esterni. Tutto il resto invece è andato perso, comprese tantissimi server che gestivano proprio il backup di molte soluzioni enterprise, come i server Managed Veeam Backup: la fortuna è che si sono persi i backup, ma le macchine delle quali facevano backup non hanno subito danni. Chiude l'elenco dei danni una lunga serie di servizi NAS, alcune istanze cloud in affitto a ore e gli snapshot delle virtual machine. 

Il fondatore di OVH, Octave Klaba, ha fornito una serie di aggiornamenti via Twitter, spiegando che il restart dei datacenter SBG1 e SBG4 è avvenuto il 15 Marzo, mentre il datacenter SBG2 tornerà in attività il 19 Marzo: ovviamente Klaba ha anche presentato il piano di recupero e offerto supporto ai clienti che hanno subito danni. 

venerdì 12 marzo 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della prima settimana di Marzo
La scorsa settimana il CERT-AgID ha individuato e analizzato, attive nello scenario italiano, 19 campagne dannose: 17 mirate contro obiettivi italiani, mentre 2 generiche veicolate anche in Italia. 547 gli indicatori di compromissione individuati e resi disponibili, sul sito ufficiale.

Otto sono state le famiglie malware individuate in diffusione, con Urnsif che si pone al primo posto col maggior numero di campagne di diffusione.

  • Urnsif è stato diffuso con tre diverse campagne mirate contro utenti italiani, a tema "Documenti", "Energia", "Aggiornamenti". Le email collegate alla campagna contenevano allegati compromessi del tipo .ZIP, .XLS e .Doc. Tutte e tre le campagne si sono prolungate nel tempo, mostrando anche cambiamenti di allegati per ridurre il rischio di individuazione;
  • AgentTesla e ASTesla sono stati diffusi rispettivamente con due campagne a tema pagamenti nel primo caso e con una campagna a tema "Conferma" nel secondo caso. Tutte e tre le campagne hanno visto l'uso di allegati in formato .ACE;

giovedì 11 marzo 2021

Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende

E' da tempo una presenza fissa nelle campagne email dannose attive nel cyber spazio italiano, nonchè uno dei malware più diffusi anche tramite il circuito "sicuro" della Posta Elettronica Certificata: parliamo di sLoad, uno dei downloader / dropper di malware più diffuso in Italia.

Viene diffuso a cadenza ormai settimanale con diverse tipologie di campagne email, molte delle quali via PEC, come dicevamo, e tutte con un elevato livello di personalizzazione, fatto che lo rende una cyber minaccia molto insidiosa. 

Sviluppato per operare sui sistemi Windows e per colpire le aziende, viene diffuso tramite allegati email di vari formati, ha funzionalità di esfiltrazione di informazioni dai sistemi che infetta e funziona tramite comunicazione con server di comando e controllo che ricevono le informazioni rubate e inviano comandi ulteriori al malware. Le comunicazioni col server di comando e controllo sfruttano un servizio legittimo di Windows, ovvero BITS (Background Intelligent Transfer System), usato per inviare aggiornamenti del sistema operativo. 

martedì 9 marzo 2021

NAS QNAP ancora sotto attacco: massiva distribuzione di criptominer, oltre 370.000 i NAS vulnerabili in Italia

I dispositivi NAS QNAP non patchati sono di nuovo protagonisti una ondata di attacchi mirati: questa volta nessun ransomware, è invece in corso una massiva campagna che mirata alla diffusione di criptominer. D'altronde pare essere l'anno dei criptominer, i cui assetati sfruttatori stanno lasciando a bocca asciutta il mercato delle schede grafiche e perfino dei pc da gaming pur di ottenere nuova potenza di calcolo. E ora la fila delle vittime di questo business opaco e sempre più sconfinante nell'illegalità, si allunga coi NAS QNAP. 

L'attuale ondata sfrutta due diverse vulnerabilità di esecuzione di comandi da remoto pre autenticazione: trattarsi di due vulnerabilità, la CVE-2020-2506 e la CVE-2020-2507, residenti nella patch dell'app QNAP HelpDesk diffusa nell'Ottobre 2020. 

Il malware che viene diffuso attualmente, individuato dai ricercatori di 360 Netlab, è stato ribattezzato UnityMiner. Gli sviluppatori del criptominer hanno personalizzato il malware nascondendo sia il processo di mining sia le informazioni sull'uso reale della CPU: di conseguenza gli utenti che utilizzano il sistema di interfaccia di gestione WEB per verificare l'uso del sistema, non possono vedere alcun comportamento anomalo.

Sono vulnerabili a questo tipo di attacco tutti i NAS QNAP i cui firmware sono stati rilasciati prima dell'Agosto 2020. 

Stando ai dati telemetrici di 360 NetLab questa campagna ha avuto il via il 3 Marzo, o almeno questa  è la data in cui sono state individuate le prime violazioni. Ma i numeri sono già estremamente preoccupanti: i ricercatori hanno eseguito una mappatura dei NAS QNAP vulnerabili che risultano online, individuandone 4.297.426. Di questi, circa 370.000 si trovano in Italia, stato europeo col maggior numero di dispositivi esposti

venerdì 5 marzo 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 26/02
La scorsa settimana il CERT-AgID ha individuato e analizzato circa 30 campagne dannose attive in Italia: 2 di queste erano generiche ma veicolate anche nello spazio italiano, 28 invece miravano ad obiettivi italiani. Ben 305 sono stati gli indicatori di compromissione individuati (IoC). 

I malware individuati in diffusione appartengono a 9 diverse famiglie malware. Ecco la panoramica:

mercoledì 3 marzo 2021

Strumenti legittimi usati a fini di cybercrime: BitLocker di Windows usato come ransomware

Partiamo da un punto: non è una novità e anzi, i primi utilizzi illegittimi di BitLocker risalgono al 2015. Non è una novità neppure l'uso di tool e strumenti legittimi a fini illegittimi: l'esempio più facile ce lo fornisce la parabola dei miner di criptovalute che hanno debuttato come strumento legittimo per poi venire vietati dalla maggior parte degli app Store e bloccati dai browser più popolari a causa del dilagante impiego a finalità illegali. 

Torniamo sul punto perché, ma neppure questa è una novità, una minaccia già conosciuta da anni torna a colpire in Italia e, viste le richieste di supporto ricevute in questi giorni (che sia in atto una campagna mirata contro utenti italiani?), è utile rinfrescare la memoria.

BitLocker: cosa è, a cosa serve
Partiamo dall'origine: BitLocker è la soluzione di criptazione che Microsoft ha integrato in Windows come forma estrema di protezione dei dati da accessi illegittimi. BitLocker consente infatti di criptare singole partizioni, volumi interi o unità: se all'avvio del sistema operativo o all'accesso al drive criptato l'utente non fornisce la password di criptazione, i file non saranno visibili. 

NB: parliamo di BitLocker, ma le stesse tematiche affliggono tutti i tool simili. Uno molto popolare, in questo caso opensource, ma che ha le stesse funzionalità, è DiskCryptor. 

martedì 2 marzo 2021

Quanto costa un attacco ransomware? Ryuk colpisce l'Universal Health Services e determina una perdita di 67 milioni di dollari

L'azienda sanitaria e fornitrice di servizi ospedalieri Universal Health Services (UHS) ha annunciato di aver subito un attacco da parte del ransomware Ryuk nel Settembre 2020. A distanza di qualche mese UHS ha stimato che l'impatto di questo cyber incidente è stato di circa 67 milioni di dollari USA. 

UHS non è proprio un "ospedale di provincia": Fortune lo annovera tra i primi 500 fornitori di servizi sanitari al mondo, con 90.000 dipendenti e un flusso di pazienti annuale che si aggira attorno ai 3.5 milioni: 400 sono le strutture sanitarie distribuite tra Stati Uniti e Regno Unito. 

"[Ryuk] ha avuto un impatto complessivo di circa 67 milioni di dollari durante l'anno terminato il 31 Dicembre 2020" dichiarano da UHS. "i Servizi più impattati sono stati quelli di assistenza. La perdita è consistita principalmente nella diminuzione del profitto derivante dell'attività dei pazienti, nonchè nell'aumento delle riserve di entrata registrate in relazione ai ritardi di fatturazione associati. Sono state anche incluse nel conto alcune spese di manodopera, onorari professionali e altre spese operative sostenute in conseguenza diretta dell'incidente e dell'interruzione delle operazioni" si legge nel comunicato ufficiale. "Inoltre abbiamo sostenuto  costi di manodopera incrementali, sia interni che esterni, per ripristinare le operazioni IT il prima possibile", conclude la nota. 

Un mese per ripristinare i sistemi

lunedì 1 marzo 2021

L'agenzia di Sicurezza Nazionale U.S.A e Microsoft propongono l'approccio Zero Trust per la cybersecurity

L'NSA statunitense e Microsoft sostengono il modello di sicurezza Zero Trust come il modo più efficiente per le aziende di difendersi dalle cyber minacce sempre più complesse di oggi. Il concetto non è nuovo e ruota attorno al presupposto che un intruso potrebbe già essere presente nella tua rete: ne consegue che i dispositivi e le connessioni non dovrebbero essere mai considerati attendibili in modo implicito e, di conseguenza, è necessario verificarne sempre la sicurezza e l'autenticità. 

Questo modello deve i natali a a John Kindervag che ha coniato il termine Zero Trust nel 2010: in realtà si inizia a parlare di modello Zero Trust, anche se con altro nome, già negli anni 2000, ma il salto avviene nel 2009 quando Google ha implementato internamente il modello di sicurezza Zero Trust. Poi il dibattito è, ovviamente, ritornato molto vivo sulla scia del ormai famoso e infausto attacco alla supply-chain di SolarWinds, in conseguenza del quale si è riaccesa la discussione sui benefici di una architettura di sicurezza Zero Trust per reti sensibili. 

Il Presidente di Microsoft Brad Smith ha sostenuto il modello Zero Trust addirittura nel corso dell'udienza che ha sostenuto presso il Senato degli Stati Uniti in relazione all'attacco SolarWind, ribadendo come tale concetto rappresenti il miglior approccio possibile per una organizzazione o per un ente al fine di garantire la sicurezza delle proprie reti.