venerdì 30 luglio 2021

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 16 campagne dannose attive nello spazio italiano: 12 di queste sono state mirate contro obiettivi italiani, 4 invece generiche veicolate anche in Italia. 284 sono stati gli indicatori di compromissione individuati. 

I malware della settimana 17 - 23 Luglio
Le famiglie malware individuate sono state 6, distribuite con 8 diverse campagne di attacco. Ecco il dettaglio:

  • Formbook è stato diffuso con 3 diverse campagne a tema Pagamenti, Forniture e Documenti. Le email hanno veicolato il malware tramite allegati archivio .tar e .xz;
  • Hancitor è stato di nuovo individuato in diffusone in una campagna italiana a tema Documenti. L'allegato compromesso è un file .xls contenente la solita macro dannosa che, se attivata, installata il malware FickerStealer;
  • Oski è stato distribuito con una campagna a tema Ordine contenente allegati PPT. La campagna ha visto anche l'uso di account PEC compromessi in precedenza. Oski è un malware poco diffuso, un infostealer nel dettaglio, specializzato nel furto di dati personali e credenziali di accesso;
  • AgenTesla e ASTesla sono stati distribuiti con 2 campagne a tema Pagamenti con allegati .zip contenenti, a loro volta, l'eseguibile .exe;
  • Guloader torna in diffusione con una campagna a tema Preventivo.

Per approfondire > Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

giovedì 29 luglio 2021

Quanto costa un data breach? Lo studio IBM calcola 3 milioni di euro di danni in Italia nel 2020

Lo studio "Cost of a Data Breach Report”, condotto dal Ponemon Institute e da IBM Security, parla chiaro: in media, i data breach costano alle aziende 4,24 milioni di dollari a incidente. L'aumento dei costi è legato all'impennata registrata nel numero di violazioni dei dati: il contesto pandemico ha fatto da volano, spinto dal ricorso massivo (e caotico) al lavoro da remoto nonché al rapido passaggio delle aziende al cloud per garantire la business continuity. 

Cost of a Data Breach in Italia
Nel 2020 in Italia, si legge nel report, il costo complessivo di una violazione dei dati è salita non poco, arrivando a 3,03 milioni di Euro: ogni dato rubato è valutabile, in media, 135 euro. Basti pensare che tale valore è praticamente raddoppiato nell'ultimo decennio, a ribadire quanto i dati siano oggi un bene preziosissimo e quindi a rischio. 

Per quanto i data breach siano ormai un problema che riguarda tutti i settori economici e produttivi, i settori più colpiti sono stati ovviamente quello dei servizi finanziari, il settore energetico e quello farmaceutico. In tali settori ogni informazione rubata costa rispettivamente 171 Euro per il settore finanziario, 165 per quello energetico e 164 per quello farmaceutico. I dati esplicitano anche un altro grave problema: la pandemia ha reso più palesi ed evidenti le difficoltà di quelle aziende poco digitalizzate o in estremo ritardo sulla digitalizzazione. Queste sono le più esposte ad attacchi informatici e ne subiscono maggiormente i danni: se le aziende ad avanzata digitalizzazione subiscono un costo medio per data breach di 2,72 milioni di euro, quelle poco digitalizzate e in ritardo invece pagano in media 3.75 milioni di euro a data breach. 

Colpisce l'elevatissimo numero di giorni ad ora mediamente necessari per individuare e contenere un attacco informatico: siamo ancora sui 250 giorni circa, anche se si registra una lieve contrazione delle tempistiche rispetto agli ultimi anni.

Cost of a Data Breach nel mondo

mercoledì 28 luglio 2021

Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Del ransomware Lockbit abbiamo già parlato qualche tempo fa perchè è stato ripetutamente in diffusione in Italia. In diffusione già dal Settembre 2019, ha subito varie evoluzioni ed è attualmente approdato alla forma organizzativa del ransomware as a service. Negli anni è stato piuttosto attivo, mentre i suoi gestori sono molto attenti sia alla promozione del servizio sia a fornire supporto. 

Qualche mese fa però c'è stato un cambiamento: alcuni dei principali forum di hacking, solitamente utilizzati dai gruppi ransomware per promuoversi e per cercare nuovi affiliati, hanno iniziato a bannare e rimuovere gli annunci collegati ai RaaS. Sulla scia di quanto deciso dai gestori di Exploit (uno dei principali forum di hacking), la scelta è stata giustificata dal fatto che i gruppi ransomware, attaccando indiscriminatamente in tutto il mondo, "attraggono troppa attenzione".  Dopo l'attacco ransomware al Colonial Pipeline, ma anche ospedali, scuole ed enti pubblici / governativi è difficile dare loro torto.  Lockbit ha subito questo trattamento assieme a "colleghi" di altrettanta fama come REvil, Darkside, Netwalker ecc... 

Dal momento del ban, il gruppo di Lockbit ha iniziato a promuovere il nuovo servizio RaaS LockBit 2.0 sfruttando direttamente il proprio sito di leak. 

Il sito di leak di LockBit 2.0

Quali sono le novità?

lunedì 26 luglio 2021

Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende

A giudicare dall'andamento di questi anni, l'intero paradigma "di attacco" contro le aziende pare essersi evoluto (e ancora si sta evolvendo) verso una riduzione delle tipologie di attacco e maggiori investimenti nella ricerca e produzione di tool di accesso e attacco: insomma meno tipologie di attacco con cui confrontarsi, ma portate con strumenti molto insidiosi che richiedono investimenti e rodaggio. Di conseguenza, è ancora più importante per i cyber attaccanti, garantire che tali strumenti siano effettivamente capitalizzabili e quanto più possibile monetizzabili: colpire meno obiettivi, ma più grossi sembra il nuovo orizzonte.

Ecco che virus e worm, pur sempre presenti, perdono di importanza (molti report parlano di una riduzione intorno al 50%, rispetto allo scorso anno di questi classici strumenti di attacco) rispetto alle tecniche di ingegneria sociale e ai malware di nuova generazione. In questo momento a farla da padrone sono proprio gli attacchi di ingegneria sociale e malware di vario tipo (downloader e infostealer principalmente), che ormai spesso si combinano con attacchi ransomware (questi ultimi segnano un +62% rispetto allo scorso anno).

Oltre a ciò, l'emergere di nuovi settori e nuove tecnologie richiede la scelta di strumenti di attacco mirati: il Cyber Threat Report 2021 di Sonicwall, ad esempio, rivela una vera e propria impennata di attacchi contro l'Internet of Things, che si attestano a 56,9 milioni con una crescita del 66% rispetto allo scorso anno.

La novità degli ultimi due anni, non perchè questa tipologia non fosse già diffusa quanto per il peso politico ed economico che hanno avuto i recenti attacchi, è quella degli attacchi cosiddetti Supply chain. Questa tipologia di attacchi consiste nel colpire una o più aziende contemporaneamente individuando e colpendo l'anello debole della catena della sicurezza: gli eventi che hanno riguardato SolarWinds e Kaseya sono solo la punta dell'iceberg di un rischio sempre più diffuso e insidioso, e che tavolta si mischia anche col social engineering (tecniche di ingegneria sociale sono ormai usate nel 96% degli attacchi).

venerdì 23 luglio 2021

Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer


Nel corso di svolgimento delle regolari attività di monitoraggio e analisi delle campagne di attacco nel cyber spazio italiano il CERT-Agid ha individuato per la prima volta in diffusione un nuovo malware, chiamato Hancitor. Il malware è stato osservato in distribuzione in due campagne diverse a tema Pagamenti: le email presentano un link che punta al download di un file .doc dotato di macro. Manco a dirlo, abilitare la macro attiva la catena di installazione di un altro malware, anche questo nuovo in Italia, ovvero FickerStealer. Hancitor quindi è un malware downloader che però, come dimostrato dalle analisi tecniche, è anche un infostealer. 

Una nuova campagna di diffusione di Hancitor e FickerStealer risale al 21 Luglio e si differenzia dalle precedenti perché utilizza un allegato .XLS al posto di un DocuSign fake confermando la diffusione in Italia.

giovedì 22 luglio 2021

Attacco ai server Aruba: esposti dati anagrafici, dati di fatturazione e password.

Aruba, uno dei giganti italiani dei servizi Internet e web, ha informato pochi giorni fa i clienti della violazione dei propri server: l'evento risale al 23 Aprile e ha comportato, così si legge nella comunicazione che Aruba sta inviando ai clienti l'esposizione di "dati anagrafici di fatturazione e quelli di login”. I clienti che sicuramente hanno visto esposti i propri dati hanno ricevuto una comunicazione specifica, ma la notifica è stata inviata a tutti i clienti.

La comunicazione che Aruba ha inviato a tutti i clienti

Una prima rassicurazione: i dati di login sono già stati disabilitati. I dati anagrafici però non sono