venerdì 14 maggio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 1-7 Maggio
La scorsa settimana il CERT-AgiD ha individuato e analizzato 28 campagne dannose: di queste 3 sono state generiche e veicolate anche nello spazio italiano mentre 25 sono state mirate contro obiettivi italiani. 163 sono stati gli indicatori di compromissioni (IOC). 

Le famiglie di malware individuate sono state 4, soltanto 6 le campagne malware. Ecco i punti salienti:

  • Raccoon: è stato individuato in diffusione in Italia per la prima volta, con due diverse campagne a tema pagamenti. Le email contenevano allegati in formato .XLSB. E' un malware che, fino ad ora, ha colpito quasi esclusivamente negli Stati Uniti;
  • Formbook è stato in diffusione anche questa settimana, con due diverse campagne email: una a tema pagamenti e una a tema ordine. Le email utilizzavano allegati in formato .ZIP e .GZ;
  • AgentTesla è stata veicolata con una sola campagna a tema Pagamenti: le email contenevano allegati in formato .ZIP;
  • Urnsif è stato rilevato in diffusione con una sola campagna malware a tema Delivery: le email veicolavano il malware via allegato .XLSM. 

Raccoon in breve:

mercoledì 12 maggio 2021

Il Garante tedesco blocca Facebook: non potrà usare i dati di Whatsapp per tre mesi. La vicenda arriva nelle mani del Garante europeo

Il Garante tedesco è stato chiaro ed estremamente rigido: l'ordinanza emessa qualche giorno fa impone a Facebook Ireland lo stop all'uso dei dati raccolti dalla sua controllata Whatsapp. Motivazione? L'Autorità di Amburgo ravvede, nell'uso da parte di Facebook dei dati personali raccolti da Whatsapp , di "scopi privati": manca cioè quello che può essere definito come un interesse legittimo a trattare tali dati. 

"La decisione - spiega il Garante tedesco - ha lo scopo di salvaguardare i diritti e le libertà di quei milioni di utenti tedeschi che hanno rifiutato di approvare i nuovi termini di utilizzo".

Lo stop di 3 mesi si deve anche al fatto che il Garante tedesco si rivolgerà al Garante Europeo (EDPS) allo scopo di estendere il blocco a questo trattamento in tutti i 27 stati UE. La procedura d'urgenza durerà appunto 3 mesi. Il Garante tedesco ha fatto anche sapere di aver inviato una richiesta "per indagare sulle attuali pratiche di data sharing" alla Commissione per la Protezione dei Dati irlandese, ma questa non è stata presa in considerazione (e così rinfocolano le polemiche sul Garante irlandese, colpevole secondo alcuni di eccessivo lassismo verso le Big Tech). 

L'ordinanza del Garante segue la decisione, preannunciata da Whatsapp, di una progressiva restrizione delle funzioni degli account Whatsapp di quegli utenti che hanno rifiutato di rinunciare al controllo dei propri dati decidendo di non condividerli con Facebook a partire dal 15 maggio 2021. La decisione iniziale per coloro che non avranno accettato la nuova policy di Whastsapp era quella di cancellare tali account, ma con l'aggiornamento della policy della scorsa settimana è stato fatto un passo indietro, introducendo la "sanzione" delle funzioni ridotte. 

lunedì 10 maggio 2021

Attacco ransomware blocca il più grande oleodotto negli Stati Uniti: Biden dichiara lo stato di emergenza



I ransomware non fanno, ormai, più sconti a nessuno: se l'ondata verso le piccole e medie aziende non si è arrestata mai (e Ryuk continua a fare da protagonista), la scorsa settimana c'è stato un vero e proprio picco di attacchi contro laboratori e strutture sanitarie un pò in tutto il mondo. D'altronde, come dichiarato recentemente dagli appartenenti alla banda Revil, attualmente la più pericolosa famiglia ransomware in attività, gli ospedali sono bocconi prelibati perché deboli in termini di cyber sicurezza, ma con una necessità estrema di rientrare in possesso dei dati e riattivare i sistemi fosse anche solo per tutelare vite umane. 

Ha fatto però notizia sui media di tutto il mondo un attacco ransomware in particolare, i cui effetti hanno davvero messo in ginocchio gli States costringendo addirittura il Presidente Biden a dichiarare lo stato di emergenza: parliamo dell'attacco ransomware che ha colpito il Colonial Pipeline, il più grande oleodotto del paese.

Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. 

venerdì 7 maggio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 24 - 30 Aprile
Questa settimana il CERT-AgID ha individuato e analizzato 39 campagne dannose: una sola generica ma veicolata anche in Italia, mentre 38 sono state mirate contro obiettivi italiani. Addirittura 504 sono stati gli indicatori di compromissione messi a disposizione. 

Sette sono state le famiglie malware individuate, in diffusione con 17 diverse campagne malware. Ecco i dettagli:

giovedì 6 maggio 2021

WeSteal, il primo malware as a service made in Italy venduto nel World Wide Web

Gli esperti di sicurezza della unit24 di Palo Alto Network hanno lanciato, qualche giorno fa, un alert riguardante un nuovo malware chiamato WeSteal. Da quella che doveva essere una comune analisi di un malware nuovo, come succede tutti i giorni, sono però emersi particolari molto interessanti che puntano i riflettori sull'Italia

Infatti WeSteal, del quale rendiamo sotto un riassunto dell'analisi tecnica, è prodotto e distribuito secondo la forma organizzativa del malware as a service (MaaS) da ComplexCodes, una programmatore che vende questi prodotti nel World Wide Web ed ha sede in Italia (il sito wesupply.to è attualmente irraggiungibile). 

lunedì 3 maggio 2021

Come funzionano le truffe Business Email Compromise? Come la Polizia postale ha sventato una truffa contro un'azienda di Gorizia

Degli attacchi BEC abbiamo parlato spesso come una delle evoluzioni delle truffe via email contro le aziende. Gli attaccanti falsificano o compromettono uno o più account aziendali di dirigenti o dipendenti di alto livello che hanno accesso alle finanze aziendali e sono abilitati ad eseguire bonifici bancari, per sfruttarli al fine di far eseguire pagamenti truffaldini. Gli account aziendali vengono compromessi con attacchi di phishing, con malware e altre forme di attacco, ma non è affatto raro che vengano anche appositamente creati sfruttando le informazioni personali rintracciabili sul web della persona che gli attaccanti vogliono impersonificare. 

Lo schema classico prevede che gli attaccanti inviino dall'account email compromesso / falso di un dirigente (spesso il CEO aziendale) all'account di un dipendente abilitato ad eseguire bonifici, una email in cui viene richiesto di eseguire urgentemente un pagamento verso un soggetto terzo. Il dipendente che non riconosce la truffa, finisce per eseguire bonifici su conti anonimi collegati agli attaccanti e molto spesso è assai difficile, se non quasi impossibile, rintracciare quei soldi. Ugualmente è anche possibile che gli attaccanti impersonifichino un fornitore comunicando un "semplice cambio di IBAN". 

Per approfondire > Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi 

La truffa contro l'azienda agricola di Gorizia
La vicenda in oggetto trae origine dalla denuncia, da parte di un'azienda agricola di Gorizia, di una frode informatica che aveva portato al dirottamento di un bonifico per il pagamento di una fattura da circa 60.000 euro.