Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 17 - 23 Aprile
Nel corso della settimana, il CERT ha individuato e analizzato 42 campagne dannose: solo 4 di queste sono state generiche ma veicolate anche in Italia, mentre le restanti 38 erano mirate contro obiettivi italiani. Oltre 550 gli indicatori di compromissione individuati. 

Le famiglie malware individuate sono state 8, circolanti con 16 campagne complessivamente. 

Finisce un'era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell'ordine smantellano definitivamente la botnet

Emotet è (stata) una delle più pericolose botnet mai esistite, responsabile di campagne di spam di proporzioni epocali. Il malware Emotet è stato individuato per la prima volta nel 2014 ed aveva una sola definizione possibile: era un trojan bancario, specializzato nel furto di credenziali bancarie e dei dati delle carte di credito. E' poi, piano piano, evoluto in una botnet usata da uno specifico gruppo di attaccanti (TA542, anche detti Mummy Spider) per distribuire ulteriori payload malware di secondo stadio. Tra questi, Emotet ha distribuito sulle macchine delle proprie vittime i payload dei trojan QakBot e TrickBot (quest'ultimo, a sua volta, ha accordi di distribuzione con i gestori dei ransomware Ryuk e Conti).

Per dirla in breve, con le parole dell'Europol: "l'infrastruttura di Emotet agiva essenzialmente come apri porta principale sui sistemi informatici su scala globale. Una volta stabilito l'accesso non autorizzato, questo viene venduto ad altri gruppi di cyber attaccanti di alto livello per svolgere ulteriori attività illecite come il furto dati o l'estorsione ransomware".

Ora, finalmente, si può dire che il problema è risolto: l'infrastruttura è definitivamente smantellata perchè il malware, a partire da domenica, si sta auto cancellando da ogni dispositivo infetto, liberando i pc - bot e determinando il collasso della botnet stessa. Ciò è stato reso possibile da una operazione congiunta delle forze dell'ordine che, a Gennaio, sono riusciti a prendere il controllo del server di Emotet e a sabotare le operazioni malware. L'operazione condusse anche all'arresto, da parte della polizia ucraina, di 2 persone sospettate di aver gestito e mantenuto l'infrastruttura di Emotet  per anni e che, ad ora, rischiano 12 anni di carcere. 

"Questo malware si autodistruggerà in 3,2,1..."

Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP

Di Qlocker, il nuovo ransomware che sta colpendo in maniera massiva NAS Qnap vulnerabili, abbiamo reso qui una prima, dettagliata presentazione, in base a quanto ricostruito dai ricercatori di sicurezza e dai nostri partner tecnologici di Dr. Web. Centinaia sono state le vittime anche in Italia anche se tra domenica 25 e lunedì 26 Aprile sembra essersi ridotto il volume delle infezioni. 

Ciò non toglie che la campagna è risultata devastante: i dati dei conti Bitcoin degli attaccanti dietro Qlocker parlano chiaro, 260.000 dollari sono stati guadagnati in 5 giorni semplicemente criptando file da remoto usando il programma 7zip. 

Le novità: individuata un'altra falla che permette l'accesso ai NAS QNAP
Qnap qualche giorno fa ha risolto una vulnerabilità critica che consente ad attaccanti remoti di loggare nei NAS QNAP usando credenziali "hardcoded". E' confermato che una parte dei NAS QNAP attaccati da Qlocker presentavano questa falla. 

La vulnerabilità in oggetto è la CVE-2021-28799, che è in realtà, già stata risolta nelle seguenti versioni:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 10 - 16 Aprile
La scorsa settimana il CERT-AGID ha individuato e analizzato 28 campagne dannose, delle quali 1 sola è risultata generica, mentre tutte le altre erano mirate specificatamente contro obiettivi italiani. 490 gli indicatori di compromissione messi a disposizione. 

7 sono state le famiglie di malware in diffusione, per un totale di 8 campagne di diffusione.
In dettaglio:

Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

Non c'è pace per i NAS Qnap: sono in corso proprio in questi giorni ben due ondate di attacchi ransomware contro questi dispositivi. Ondate contemporanee che stanno facendo registrare migliaia di vittime, che da un giorno all'altro si trovano impossibilitati ad accedere ai file salvati sui loro storage. 

Da una parte c'è una vecchia conoscenza, ovvero l'ultima versione (che ricordiamo non è purtroppo risolvibile senza pagare il riscatto) di QNAPCrypt: nulla di nuovo da segnalare, se non che sono evidentemente ancora moltissimi i NAS QNAP i cui proprietari non hanno adottato né le mitigazioni già da tempo consigliate da QNAP né le patch di sicurezza. 

La novità però è il nuovo ransomware Qlocker, che viene diffuso con una campagna così massiva da aver messo in immediato allarme l'intera comunità di cybersecurity. Lawarence Abrams, della redazione di Bleeping Computer, ha condiviso i dati degli utenti che hanno segnalato questa infezione al servizio ID-ransomware solo il 21 Aprile si sono registrate 353 vittime: numero di segnalazioni che è andato di pari passo, fa sapere Abrams, al picco di attività nel forum di supporto di Bleeping dove, da due giorni, la fila degli utenti che richiede aiuto per tornare in possesso dei propri file aumenta continuamente (e non possiamo non registrare negativamente il numero di utenti che dichiara di non aver approntato alcun meccanismo di backup o di averlo implementato in locale proprio sul NAS). 

Il malware Flu bot evolve: il CERT individua in diffusione in Italia la nuova versione

Il primo alert del CERT riguardo lo sbarco di Flu Bot in Italia è di qualche giorno fa: ne abbiamo reso un breve riassunto qui, mentre l'analisi completa è consultabile qui dal sito ufficiale del CERT-AgID. Era stata individuata in diffusione contro gli utenti italiani la versione 3.9 di questo malware che ha, come funzionalità principale, il furto dati e credenziali.

In dettaglio il malware, pensato per i dispositivi mobile Android, visualizza una serie di pagine di phishing che imitano i login delle app che l'utente mano a mano utilizza. Una attenzione particolare è riservata ai servizi di home banking: quando l'utente apre l'app di banking della propria Banca, il malware mostra pagine di phishing che emulano la schermata di login dell'home banking dell'istituto, richiedendo una serie di dati. Tutti i dati che l'utente inserisce vengono direttamente inviati al server di comando e controllo (2C) gestito dagli attaccanti. 

Due giorni fa però, il CERT ha individuato in diffusione una nuova versione, rivista e migliorata di Flu Bot, ovvero la versione 4.0. 

Quali novità - nuovo SMS
Il primo cambiamento è il testo del messaggio SMS che caratterizza la campagna di diffusione di Flu bot 4.0 in Italia: il tema resta quello delle spedizioni, ma stavolta non si invita l'utente a seguire una spedizione. Il testo fa riferimento ad una fantomatica mancata consegna di un pacco: si invita quindi l'utente a cliccare sul link per pianificare una nuova spedizione. 

Ransomware Ryuk: l'update delle tecniche di hacking lo rende la più grave cyber minaccia alle aziende

Nuovi recenti attacchi, tutti rigorosamente mirati e contro reti aziendali, hanno mostrato come gli operatori del ransomware Ryuk abbiano optato per nuove tecniche per ottenere l'accesso iniziale alla rete bersaglio. La tendenza mostrata in queste settimane è chiara: Ryuk predilige host con connessioni desktop remote esposte in Internet. 

Sono stati i ricercatori di AdvancedIntelligence, che da oltre un anno osservano gli attacchi di Ryuk, ad individuare un trend molto chiaro: la maggior parte degli attacchi di quest'anno ha visto come bersaglio le connessioni RDP esposte. L'attacco è piuttosto banale: gli attaccanti eseguono attacchi di brute force su larga scala contro host con RDP esposte. 

Ciò non significa, va detto, che il gruppo di Ryuk non usi più attacchi di phishing o spear phishing, ma sono tecniche, queste, che mano a mano sono divenute meno frequenti. In passato Ryuk ha anche usato la campagna BazaCall per distribuire il malware: il malware era distribuito tramite call center dannosi che, prendendo di mira utenti aziendali, indirizzavano loro documenti Excel compromessi coi quali avviare la catena d'infezione. 

I nuovi trend di Ryuk

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 3 - 9 Aprile
La scorsa settimana il CERT-AGID ha individuato e sottoposto ad analisi 19 campagne dannose: 2 di queste sono state generiche ma veicolate anche in Italia, 17 invece miravano direttamente ad obiettivi italiani. 81 gli indicatori di compromissione individuati.

Le famiglie malware individuate in diffusione sono state 3, per un totale di 4 campagne malware:

Le campagne via SMS sono ancora un pericolo: il CERT denuncia la diffusione in Italia del malware Flubot

Il CERT ha pubblicato uno specifico approfondimento (consultabile qui) su una campagna via SMS che sta diffondendo il malware Flu Bot 3.9. Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. 

Il malware sembra essere di origine russa, considerando il fatto che non si attiva sui dispositivi Android impostati su lingue come uzbeco, inglese (Regno Unito), turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano ecc... Inoltre è stata ritrovata nel codice una stringa in lingua russa contenente un vero e proprio sfottò contro i ricercatori di linuxct, che hanno aiutato il CERT nell'analisi di questa campagna. 

Nel corso dell'analisi del codice, che il CERT ha ottenuto dopo deoffuscamento, è stato riscontrato il prefisso italiano, fatto che fa sospettare che la versione in analisi sia stata sviluppata appositamente per colpire in Italia.

Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

Della vicenda che ha riguardato i server Microsoft Exchange abbiamo già parlato qui: il 2 Marzo Microsoft ha rilasciato aggiornamenti di sicurezza per una serie di vulnerabilità, dette complessivamente Proxylogon, che sono state usate attivamente per un'ondata di attacchi che si è svolta tra Gennaio e Febbraio e che era finalizzata ad installare web shell sui server Exchange compromessi. Queste web shell hanno fornito e tutt'ora forniscono accesso da remoto agli attaccanti, che le utilizzano per esfiltrare email e credenziali degli account. 

Nel corso di queste settimane, data la criticità delle falle ma anche "il peso" delle vittime coinvolte da questa scia di attacchi, agenzie governative e la stessa Microsoft hanno pubblicato una varietà di script e tool per aiutare le vittime a stabilire se i propri server siano o meno compromessi. Anche perchè, nel frattempo, le stesse vulnerabilità hanno iniziato ad essere sfruttate anche da parte di altri attori per diffondere ransomware, cryptominer e ulteriori web shell. 

Insomma le vulnerabilità sono state patchate, ma restano ancora moltissimi server vulnerabili o già violati e i cui proprietari ancora non hanno preso contromisure. Così, in un comunicato stampa del Dipartimento della Giustizia, l'FBI ha fatto sapere di aver ricevuto l'autorizzazione ad accedere ai server Exchange ancora compromessi, copiare la web shell come prova e rimuoverla quindi dal server. La scelta di intervenire direttamente, situazione che non ha precedenti, è stata giustificata dall'FBI dalla "incapacità tecnica dei proprietari di rimuovere in autonomia le web shell, dovuta anche ad una scarsa consapevolezza dei rischi derivanti". La decisione invece di non avvisare i proprietari è stata invece giustificata dal rischio che la notifica avrebbe potuto compromettere l'operazione: l'FBI ha quindi chiesto e ottenuto anche il diritto di rimandare la notifica ai proprietari dei server fino al termine dell'operazione. 

A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

23 Giugno 2021: questo è il giorno in cui verrà avviata la fase di test del perimetro di cybersicurezza dell'Italia. Il test durerà ben 6 mesi, durante i quali verrà valutata la tenuta ed efficacia complessiva del sistema di regole che l'Italia ha elaborato ed implementato per proteggersi dalle cyber minacce: al termine del test e tenendo conto dei risultati, il sistema di regole verrà rivisto e corretto. 

Il 23 Giugno saranno passati due anni dall'approvazione del D.l 105 del 2019, le cui previsioni sono state le fondamenta sul quale è stato costruito il nostro piano di cyber security nazionale: sono comunque ben 4 i decreti che saranno necessari per implementare l'intero piano di cybersecurity nazionale ed armonizzarlo nel contesto della risposta ai cyber attacchi dell'Unione Europea. All'origine infatti dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cibersecurity, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

Il test del piano di cybersecurity nazionale punterà i riflettori su tutti quei soggetti destinatari del piano, ovvero i gestori delle  infrastrutture critiche (trasporti pubblici, servizi finanziari, telecomunicazioni, energia, welfare, difesa, sicurezza interna, spazio, pubblica amministrazione, alta tecnologia ecc..): tutti questi soggetti dovranno dimostrare non solo di aver adottato sufficienti ed adeguate misure di cyber security, ma anche di sapere applicare e rispettare i protocolli di segnalazione degli attacchi. Il D.l 105 del 2019 stabiliva proprio, in prima battuta, i soggetti (enti ed asset) "intorno ai quali" costruire il perimetro di cybersecurity, secondo ovviamente l'importanza dell'asset o dell'ente e dei rischi potenziali per l'Italia in caso di compromissione. Molto probabilmente, nel giro di qualche anno, il numero di questi soggetti andrà ad aumentare: sanità e centri di ricerca sono già con un piede, almeno teorico, dentro il perimetro. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27 Marzo - 2 Aprile
La scorsa settimana i CERT-AGID ha individuato e analizzato 26 campagne dannose attive: di queste solo 2 sono state generiche ma veicolate anche in Italia, mentre le altre 24 sono state tutte campagne mirate contro utenti italiani. 374 sono stati gli indicatori di compromissione (IoC) resi disponibili. 

In totale sono state individuate in diffusione nello spazio italiani 7 diverse famiglie malware. Nello specifico:

• Ursnif è di nuovo il malware della settimana. Diffuso con ben 3 diverse campagne che hanno visto tutte l'uso di allegati .ZIP contenenti file .doc, .xls o .xlsb contenenti macro dannose. I temi di quste campagne sono stati Documenti, Energia e Inps;
• sLoad si piazza al secondo posto con una campagna di diffusione: siamo alla 4° campagna di diffusione nel 2021 e la seconda nel mese di Marzo. Il malware conferma la predilezione del circuito PEC: i file utilizzati come vettore di infezione sono stati archivi .zip contenenti a loro volta un ulteriore file .zip. Su questa campagna il CERT ha pubblicato una apposita news, consultabile qui;
• iceID, AgentTesla, Lokibot, Formbook e Dridex completano il quadro dei malware in diffusione nello spazio italiano. La maggior parte di questi è stata diffusa in campagne a tema "Pagamenti".

Per approfondire > Dentro Ursnif, il trojan bancario più diffuso in Italia 

La settimana nera dei data leak: in vendita nel dark web i dati di 500 milioni di utenti Facebook e 500 milioni di utenti Linkedin

La settimana dopo Pasqua si è aperta con una notizia che ha avuto un'eco gigantesca: durante il fine settimana di Pasqua sono stati pubblicati online, su un popolare forum di hacking, i dati di oltre 533 milioni di utenti Facebook. Tra questi figura addirittura il fondatore di Facebook, coinvolto personalmente dal leak. Ciò che rende particolarmente allarmante questo leak è il fatto che i record contengono dati disponibili pubblicamente sui profili utente, ma anche i numeri di telefono associati. 

In realtà il furto dei dati non è avvenuto nel periodo di Pasqua, ma nel 2019. La ricostruzione della dinamica dei fatti già vede contrapposti esperti di sicurezza da una parte e Facebook dall'altra: se alcuni ricercatori attribuiscono il furto dei dati ad una vulnerabilità della funzione "Add friend", corretta appunto nel 2019 da Facebook, nella ricostruzione ufficiale di Big F invece si parla di "semplice scraping". Secondo Facebook quindi non ci sono state violazioni dei sistemi, ma solo la raccolta di dati che erano pubblicamente disponibili sui profili degli utenti. 

I dati sono stati messi in vendita, prima ad un prezzo bassissimo (2.19 dollari statunitensi) poi gratuitamente, in un forum di hacking piuttosto frequentato: il bassissimo costo di un set così grande di dati non deve stupire perchè tali dataset vengono pubblicati per la vendita sui forum solitamente dopo che sono già stati venduti a prezzi ben più alti in contrattazioni private. 

Particolarmente preoccupante il numero di utenti italiani riguardati: l'Italia è la terza nazione più colpita al mondo con 35.677.323 record pubblicati appartenenti ad utenti italiani. 

Basta stampare: ecco FirmaDoc, la soluzione intelligente e ecosostenibile per dematerializzare i documenti

E' nata Firmadoc: la soluzione per generare qualunque documento

con campi dinamici da far compilare e firmare ai propri clienti tramite app,
senza stampare una sola pagina.

Ogni Italiano stampa, in media, 32 pagine di documenti ogni giorno. I danni ambientali di questa cattiva abitudine, spesso generata solo dall’indifferenza, sono ingenti. Per produrre 1 tonnellata di carta vergine occorrono 15 alberi, 440.000 litri d’acqua e 7.600 kWh di energia elettrica, mentre le montagne di carta consumate negli uffici italiani immettono nell’atmosfera 4 milioni di tonnellate di C02 all’anno. Stampare, scrivere, firmare, spedire, fotocopiare, timbrare, vidimare e infine archiviare in ingombranti schedari: tutto ciò che riguarda la gestione documentale cartacea, viste le tante tecnologie alternative oggi disponibili, è obsoleto e dannoso, fortemente inquinante e non più sostenibile.

440.000 LITRI D’ACQUA!

Per produrre 1 tonnellata di carta vergine occorrono 15 alberi,
440.000 litri d’acqua e 7.600 kWh di energia elettrica.

SIAMO UN POPOLO DI STAMPATORI 

Gli italiani stampano, in media, 32 pagine di documenti ogni giorno.

Ma questi non sono gli unici problemi: oltre a essere anacronistica, questa tipologia di gestione documentale è anche poco funzionale e quindi svantaggiosa per l’azienda. Eliminare la stampa di un foglio su cinque ridurrebbe di circa 800mila tonnellate le emissioni inquinanti.  Risparmiare carta, quindi, significa risparmiare alberi e soldi. Il futuro, semplicemente, ci obbligherà a dematerializzare sempre di più.

Italia sotto assedio: ransomware colpiscono il Comune di Brescia e Axios, che offre il Registro elettronico alle scuole Italiane

Due episodi nel giro di pochissimi giorni, preceduti dall'attacco a Boggi Milano del quale abbiamo già parlato qui: sono stati giorni di grande attività per il mondo dei ransomware in Italia. Se, da una parte continuiamo a ricevere richiesta di assistenza per QNAPCrypt, che evidentemente sta colpendo ad ondate i NAS Qnap di moltissimi utenti italiani, dall'altra due eventi conquistano perfino i media nazionali: gli attacchi ransomware che hanno colpito il Comune di Brescia e Axios Italia. 

DopplePaymer affonda il Comune di Brescia
In un primo momento, il Comune di Brescia aveva negato di essere vittima di estorsione poi, nel pomeriggio di ieri, incalzato da una fuga di notizie registrata dalla testata Il Giornale di Brescia, ha dovuto confermare  l'attacco ransomware. I sistemi del Comune sono stati colpiti e messi offline dal famigerato ransomware DoppplePaymer: sono offline il sito web, il sistema che gestisce gare ed appalti, la piattaforma per le pratiche edilizie, le piattaforme di gestione del sistema scolastico e di quello cimiteriale, l'Anagrafe (il Comune nega accessi illegittimi ai dati dei cittadini perchè "su server protetti" che eseguono Linux), la Polizia Locale e tutte le reti informatiche di Palazzo Loggia. Il riscatto richiesto è di 26 Bitcoin, pari a 1,3 milioni di Euro. 

Se, come sembra, ci vorranno mesi per ripristinare la rete e tutti i servizi comunali (a meno di pagare il riscatto e ottenere la chiave di decriptazione dagli attaccanti) è divampata la polemica riguardo alla sicurezza delle infrastrutture comunali: dalle prime ricostruzioni è emerso come l'intero sistema informatico dipenda da server che sono ancora fisicamente posizionati nella sala macchine di via Lamarmora, una soluzione anacronistica e pericolosa anche se, a onor del vero, il Comune già da un anno stava lavorando per dotarsi del cloud ma l'operazione non è ancora giunta al termine. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 20-26 Marzo
Questa settimana il CERT-AGiD ha riscontrato e individuato 32 campagne dannose: di queste, 2 sono state generiche ma veicolate anche in Italia, mentre 30 erano mirate precisamente contro obiettivi italiani. 335 sono stati gli indicatori di compromissione individuati e resi disponibili sul sito ufficiale. 

6 sono state le famiglie di malware individuate e si notano molte novità:

• IceID è il malware più diffuso della settimana. Sono state individuate ben 7 diverse campagne di diffusione: tutte hanno visto l'uso di allegato in formato archivio .ZIP contenenti documenti .doc dannosi. E' tramite i  .DOC che avviene il download dell'eseguibile di IceID da un repository remoto. I temi delle campagne sono state "Resend", "Sociale" e "Premi";
• LockTheSystem è invece un ransomware ed è stato veicolato in Italia nei giorni Lunedì 22 e Martedì 23. Questo ransomware è una variante del ransomware Thanos ed è stato analizzato approfonditamente dal CERT AGiD che ha emesso un apposito bollettino. Le 2 campagne di diffusione hanno visto l'uso di allegati .ZIP contenenti file .JS oppure allegati .DOC dannoso;
• JobCrypter è un altro ransomware veicolato in Italia mercoledì 24 con una campagna a tema "Pagamenti": ha visto l'uso di allegati .ZIP contenenti un file .JS come downloader;
• FormBook, Guloader e Dridex chiudono la panoramica delle campagne malware individuate: tutte le campagne di diffusione di questi malware sono stati a tema "Pagamenti". 

Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano

Il famoso brand di abbigliamento maschile Boggi Milano è stato colpito da un attacco ransomware: sembra che siano stati sottratti anche 40GB di dati, compresi i dati dei dipendenti e le loro buste paghe. Boggi Milano, fondata nel 1939 e operante con 200 negozi in oltre 39 paesi, ha confermato l'attacco, specificando che sull'incidente sono in corso delle indagini e che l'attacco non dovrebbe comportare un impatto significativo sull'azienda. 

Non sono trapelate ulteriori informazioni, ma nel dark web è comparsa la rivendicazione: il team di attaccanti dietro il ransomware Ragnarock ha rivendicato l'attacco sul proprio blog, specificando di aver preso di mira i server di Boggi Milano e di aver rubato 40GB di file, compresi file sulle risorse umane e sui salari dei dipendenti. 

Di Ragnarock abbiamo parlato recentemente, visto che pur avendo debuttato piuttosto recentemente sulle scene del cybercrime, ha già mietuto varie vittime in Italia: Boggi è l'ennesima vittima.