venerdì 16 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 3 - 9 Aprile
La scorsa settimana il CERT-AGID ha individuato e sottoposto ad analisi 19 campagne dannose: 2 di queste sono state generiche ma veicolate anche in Italia, 17 invece miravano direttamente ad obiettivi italiani. 81 gli indicatori di compromissione individuati.

Le famiglie malware individuate in diffusione sono state 3, per un totale di 4 campagne malware:

giovedì 15 aprile 2021

Le campagne via SMS sono ancora un pericolo: il CERT denuncia la diffusione in Italia del malware Flubot

Il CERT ha pubblicato uno specifico approfondimento (consultabile qui) su una campagna via SMS che sta diffondendo il malware Flu Bot 3.9. Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. 

Il malware sembra essere di origine russa, considerando il fatto che non si attiva sui dispositivi Android impostati su lingue come uzbeco, inglese (Regno Unito), turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano ecc... Inoltre è stata ritrovata nel codice una stringa in lingua russa contenente un vero e proprio sfottò contro i ricercatori di linuxct, che hanno aiutato il CERT nell'analisi di questa campagna. 

Nel corso dell'analisi del codice, che il CERT ha ottenuto dopo deoffuscamento, è stato riscontrato il prefisso italiano, fatto che fa sospettare che la versione in analisi sia stata sviluppata appositamente per colpire in Italia.

mercoledì 14 aprile 2021

Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

Della vicenda che ha riguardato i server Microsoft Exchange abbiamo già parlato qui: il 2 Marzo Microsoft ha rilasciato aggiornamenti di sicurezza per una serie di vulnerabilità, dette complessivamente Proxylogon, che sono state usate attivamente per un'ondata di attacchi che si è svolta tra Gennaio e Febbraio e che era finalizzata ad installare web shell sui server Exchange compromessi. Queste web shell hanno fornito e tutt'ora forniscono accesso da remoto agli attaccanti, che le utilizzano per esfiltrare email e credenziali degli account. 

Nel corso di queste settimane, data la criticità delle falle ma anche "il peso" delle vittime coinvolte da questa scia di attacchi, agenzie governative e la stessa Microsoft hanno pubblicato una varietà di script e tool per aiutare le vittime a stabilire se i propri server siano o meno compromessi. Anche perchè, nel frattempo, le stesse vulnerabilità hanno iniziato ad essere sfruttate anche da parte di altri attori per diffondere ransomware, cryptominer e ulteriori web shell. 

Insomma le vulnerabilità sono state patchate, ma restano ancora moltissimi server vulnerabili o già violati e i cui proprietari ancora non hanno preso contromisure. Così, in un comunicato stampa del Dipartimento della Giustizia, l'FBI ha fatto sapere di aver ricevuto l'autorizzazione ad accedere ai server Exchange ancora compromessi, copiare la web shell come prova e rimuoverla quindi dal server. La scelta di intervenire direttamente, situazione che non ha precedenti, è stata giustificata dall'FBI dalla "incapacità tecnica dei proprietari di rimuovere in autonomia le web shell, dovuta anche ad una scarsa consapevolezza dei rischi derivanti". La decisione invece di non avvisare i proprietari è stata invece giustificata dal rischio che la notifica avrebbe potuto compromettere l'operazione: l'FBI ha quindi chiesto e ottenuto anche il diritto di rimandare la notifica ai proprietari dei server fino al termine dell'operazione. 

martedì 13 aprile 2021

A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

23 Giugno 2021: questo è il giorno in cui verrà avviata la fase di test del perimetro di cybersicurezza dell'Italia. Il test durerà ben 6 mesi, durante i quali verrà valutata la tenuta ed efficacia complessiva del sistema di regole che l'Italia ha elaborato ed implementato per proteggersi dalle cyber minacce: al termine del test e tenendo conto dei risultati, il sistema di regole verrà rivisto e corretto. 

Il 23 Giugno saranno passati due anni dall'approvazione del D.l 105 del 2019, le cui previsioni sono state le fondamenta sul quale è stato costruito il nostro piano di cyber security nazionale: sono comunque ben 4 i decreti che saranno necessari per implementare l'intero piano di cybersecurity nazionale ed armonizzarlo nel contesto della risposta ai cyber attacchi dell'Unione Europea. All'origine infatti dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cibersecurity, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

Il test del piano di cybersecurity nazionale punterà i riflettori su tutti quei soggetti destinatari del piano, ovvero i gestori delle  infrastrutture critiche (trasporti pubblici, servizi finanziari, telecomunicazioni, energia, welfare, difesa, sicurezza interna, spazio, pubblica amministrazione, alta tecnologia ecc..): tutti questi soggetti dovranno dimostrare non solo di aver adottato sufficienti ed adeguate misure di cyber security, ma anche di sapere applicare e rispettare i protocolli di segnalazione degli attacchi. Il D.l 105 del 2019 stabiliva proprio, in prima battuta, i soggetti (enti ed asset) "intorno ai quali" costruire il perimetro di cybersecurity, secondo ovviamente l'importanza dell'asset o dell'ente e dei rischi potenziali per l'Italia in caso di compromissione. Molto probabilmente, nel giro di qualche anno, il numero di questi soggetti andrà ad aumentare: sanità e centri di ricerca sono già con un piede, almeno teorico, dentro il perimetro. 

venerdì 9 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 27 Marzo - 2 Aprile
La scorsa settimana i CERT-AGID ha individuato e analizzato 26 campagne dannose attive: di queste solo 2 sono state generiche ma veicolate anche in Italia, mentre le altre 24 sono state tutte campagne mirate contro utenti italiani. 374 sono stati gli indicatori di compromissione (IoC) resi disponibili. 

In totale sono state individuate in diffusione nello spazio italiani 7 diverse famiglie malware. Nello specifico:

  • Ursnif è di nuovo il malware della settimana. Diffuso con ben 3 diverse campagne che hanno visto tutte l'uso di allegati .ZIP contenenti file .doc, .xls o .xlsb contenenti macro dannose. I temi di quste campagne sono stati Documenti, Energia e Inps;
  • sLoad si piazza al secondo posto con una campagna di diffusione: siamo alla 4° campagna di diffusione nel 2021 e la seconda nel mese di Marzo. Il malware conferma la predilezione del circuito PEC: i file utilizzati come vettore di infezione sono stati archivi .zip contenenti a loro volta un ulteriore file .zip. Su questa campagna il CERT ha pubblicato una apposita news, consultabile qui;
  • iceID, AgentTesla, Lokibot, Formbook e Dridex completano il quadro dei malware in diffusione nello spazio italiano. La maggior parte di questi è stata diffusa in campagne a tema "Pagamenti".

Per approfondire > Dentro Ursnif, il trojan bancario più diffuso in Italia 

La settimana nera dei data leak: in vendita nel dark web i dati di 500 milioni di utenti Facebook e 500 milioni di utenti Linkedin

La settimana dopo Pasqua si è aperta con una notizia che ha avuto un'eco gigantesca: durante il fine settimana di Pasqua sono stati pubblicati online, su un popolare forum di hacking, i dati di oltre 533 milioni di utenti Facebook. Tra questi figura addirittura il fondatore di Facebook, coinvolto personalmente dal leak. Ciò che rende particolarmente allarmante questo leak è il fatto che i record contengono dati disponibili pubblicamente sui profili utente, ma anche i numeri di telefono associati. 

In realtà il furto dei dati non è avvenuto nel periodo di Pasqua, ma nel 2019. La ricostruzione della dinamica dei fatti già vede contrapposti esperti di sicurezza da una parte e Facebook dall'altra: se alcuni ricercatori attribuiscono il furto dei dati ad una vulnerabilità della funzione "Add friend", corretta appunto nel 2019 da Facebook, nella ricostruzione ufficiale di Big F invece si parla di "semplice scraping". Secondo Facebook quindi non ci sono state violazioni dei sistemi, ma solo la raccolta di dati che erano pubblicamente disponibili sui profili degli utenti. 

I dati sono stati messi in vendita, prima ad un prezzo bassissimo (2.19 dollari statunitensi) poi gratuitamente, in un forum di hacking piuttosto frequentato: il bassissimo costo di un set così grande di dati non deve stupire perchè tali dataset vengono pubblicati per la vendita sui forum solitamente dopo che sono già stati venduti a prezzi ben più alti in contrattazioni private. 

Particolarmente preoccupante il numero di utenti italiani riguardati: l'Italia è la terza nazione più colpita al mondo con 35.677.323 record pubblicati appartenenti ad utenti italiani. 

mercoledì 7 aprile 2021

Basta stampare: ecco FirmaDoc, la soluzione intelligente e ecosostenibile per dematerializzare i documenti


E' nata Firmadoc: la soluzione per generare qualunque documento
con campi dinamici da far compilare e firmare ai propri clienti tramite app,
senza stampare una sola pagina.

Ogni Italiano stampa, in media, 32 pagine di documenti ogni giorno. I danni ambientali di questa cattiva abitudine, spesso generata solo dall’indifferenza, sono ingenti. Per produrre 1 tonnellata di carta vergine occorrono 15 alberi, 440.000 litri d’acqua e 7.600 kWh di energia elettrica, mentre le montagne di carta consumate negli uffici italiani immettono nell’atmosfera 4 milioni di tonnellate di C02 all’anno. Stampare, scrivere, firmare, spedire, fotocopiare, timbrare, vidimare e infine archiviare in ingombranti schedari: tutto ciò che riguarda la gestione documentale cartacea, viste le tante tecnologie alternative oggi disponibili, è obsoleto e dannoso, fortemente inquinante e non più sostenibile.

Image

440.000 LITRI D’ACQUA!
Per produrre 1 tonnellata di carta vergine occorrono 15 alberi,
440.000 litri d’acqua e 7.600 kWh di energia elettrica.
Image

SIAMO UN POPOLO DI STAMPATORI 
Gli italiani stampano, in media, 32 pagine di documenti ogni giorno.

Ma questi non sono gli unici problemi: oltre a essere anacronistica, questa tipologia di gestione documentale è anche poco funzionale e quindi svantaggiosa per l’azienda. Eliminare la stampa di un foglio su cinque ridurrebbe di circa 800mila tonnellate le emissioni inquinanti.  Risparmiare carta, quindi, significa risparmiare alberi e soldi. Il futuro, semplicemente, ci obbligherà a dematerializzare sempre di più.

martedì 6 aprile 2021

Italia sotto assedio: ransomware colpiscono il Comune di Brescia e Axios, che offre il Registro elettronico alle scuole Italiane

Due episodi nel giro di pochissimi giorni, preceduti dall'attacco a Boggi Milano del quale abbiamo già parlato qui: sono stati giorni di grande attività per il mondo dei ransomware in Italia. Se, da una parte continuiamo a ricevere richiesta di assistenza per QNAPCrypt, che evidentemente sta colpendo ad ondate i NAS Qnap di moltissimi utenti italiani, dall'altra due eventi conquistano perfino i media nazionali: gli attacchi ransomware che hanno colpito il Comune di Brescia e Axios Italia. 

DopplePaymer affonda il Comune di Brescia
In un primo momento, il Comune di Brescia aveva negato di essere vittima di estorsione poi, nel pomeriggio di ieri, incalzato da una fuga di notizie registrata dalla testata Il Giornale di Brescia, ha dovuto confermare  l'attacco ransomware. I sistemi del Comune sono stati colpiti e messi offline dal famigerato ransomware DoppplePaymer: sono offline il sito web, il sistema che gestisce gare ed appalti, la piattaforma per le pratiche edilizie, le piattaforme di gestione del sistema scolastico e di quello cimiteriale, l'Anagrafe (il Comune nega accessi illegittimi ai dati dei cittadini perchè "su server protetti" che eseguono Linux), la Polizia Locale e tutte le reti informatiche di Palazzo Loggia. Il riscatto richiesto è di 26 Bitcoin, pari a 1,3 milioni di Euro. 

Se, come sembra, ci vorranno mesi per ripristinare la rete e tutti i servizi comunali (a meno di pagare il riscatto e ottenere la chiave di decriptazione dagli attaccanti) è divampata la polemica riguardo alla sicurezza delle infrastrutture comunali: dalle prime ricostruzioni è emerso come l'intero sistema informatico dipenda da server che sono ancora fisicamente posizionati nella sala macchine di via Lamarmora, una soluzione anacronistica e pericolosa anche se, a onor del vero, il Comune già da un anno stava lavorando per dotarsi del cloud ma l'operazione non è ancora giunta al termine. 

venerdì 2 aprile 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 20-26 Marzo
Questa settimana il CERT-AGiD ha riscontrato e individuato 32 campagne dannose: di queste, 2 sono state generiche ma veicolate anche in Italia, mentre 30 erano mirate precisamente contro obiettivi italiani. 335 sono stati gli indicatori di compromissione individuati e resi disponibili sul sito ufficiale. 

6 sono state le famiglie di malware individuate e si notano molte novità:

  • IceID è il malware più diffuso della settimana. Sono state individuate ben 7 diverse campagne di diffusione: tutte hanno visto l'uso di allegato in formato archivio .ZIP contenenti documenti .doc dannosi. E' tramite i  .DOC che avviene il download dell'eseguibile di IceID da un repository remoto. I temi delle campagne sono state "Resend", "Sociale" e "Premi";
  • LockTheSystem è invece un ransomware ed è stato veicolato in Italia nei giorni Lunedì 22 e Martedì 23. Questo ransomware è una variante del ransomware Thanos ed è stato analizzato approfonditamente dal CERT AGiD che ha emesso un apposito bollettino. Le 2 campagne di diffusione hanno visto l'uso di allegati .ZIP contenenti file .JS oppure allegati .DOC dannoso;
  • JobCrypter è un altro ransomware veicolato in Italia mercoledì 24 con una campagna a tema "Pagamenti": ha visto l'uso di allegati .ZIP contenenti un file .JS come downloader;
  • FormBook, Guloader e Dridex chiudono la panoramica delle campagne malware individuate: tutte le campagne di diffusione di questi malware sono stati a tema "Pagamenti". 

giovedì 1 aprile 2021

Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano

Il famoso brand di abbigliamento maschile Boggi Milano è stato colpito da un attacco ransomware: sembra che siano stati sottratti anche 40GB di dati, compresi i dati dei dipendenti e le loro buste paghe. Boggi Milano, fondata nel 1939 e operante con 200 negozi in oltre 39 paesi, ha confermato l'attacco, specificando che sull'incidente sono in corso delle indagini e che l'attacco non dovrebbe comportare un impatto significativo sull'azienda. 

Non sono trapelate ulteriori informazioni, ma nel dark web è comparsa la rivendicazione: il team di attaccanti dietro il ransomware Ragnarock ha rivendicato l'attacco sul proprio blog, specificando di aver preso di mira i server di Boggi Milano e di aver rubato 40GB di file, compresi file sulle risorse umane e sui salari dei dipendenti. 

Di Ragnarock abbiamo parlato recentemente, visto che pur avendo debuttato piuttosto recentemente sulle scene del cybercrime, ha già mietuto varie vittime in Italia: Boggi è l'ennesima vittima.