In vendita nel dark web un archivio con i dati di 4 miliardi di utenti del social Clubhouse: sono stati raccolti col web scraping

Il sito di informazione tecnica Cybernews ha dato notizia qualche giorno fa del ritrovamento, su un popolare forum di hacking nel dark web, di un gigantesco archivio contenente i dati di quasi 4 miliardi di account ClubHouse e Facebook messo a disposizione per la vendita. Il post, che reca la data del 4 Settembre, specifica che il database contiene principalmente i dati di utenti ClubHouse, il recente social "solo vocal" che in poco tempo ha avuto una diffusione impressionante: al suo interno però si trovano anche i numeri dei contatti in rubrica degli account violati nonché i dati dei profili Facebook associati all'account Clubhouse. 

Fonte: https://cybernews.com

Il Ransomware RansomEXX colpisce ancora in Italia: dopo la regione Lazio, rubati i dati di 8 comuni del bolognese

Dopo l'attacco che ha colpito la Regione Lazio, il ransomware RansomEXX torna a colpire in Italia: questa volta la vittima è l'Unione Reno Galliera, che riunisce 8 diversi comuni del bolognese. Sottolineamo come, quasi nelle stesse ore, iniziasse a colpire in Italia anche un nuovo ransomware chiamato BlackByte: prima vittima la BOSCA s.p.a.

L'Unione Reno Galliera riunisce i comuni di Argelato, Bentivoglio, Castello d'Argile, Castel Maggiore, Galliera, Pieve di Cento, San Giorgio di Piano, San Pietro in Casale: i loro dati, anzi 60GB circa di dati rubati per un totale di 120 file, sono stati pubblicati online nel dark web. Parliamo di dati molto sensibili, visto che i comuni che aderiscono all'Unione Reno Galliera hanno affidato all'Unione stessa servizi importanti come quello di Polizia Municipale,  gestione del personale, urbanistica e pianificazione del territorio, Protezione Civile, servizi alle imprese ecc...

Ad ora non sono trapelate notizie e non risultano comunicati ufficiali: l'unica traccia dell'avvenuto attacco è, appunto, la lista dei 120 file pubblicati sul sito di leak collegato al ransomware. 

I file pubblicati nel dark web. Fonte: Red Hot Cyber

RansomEXX ormai è un habituè in Italia: qualche info tecnica

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AgID,  ha individuato attive nello spazio italiano, 20 campagne dannose: 14 erano mirate contro obiettivi italiani, 6 invece sono state generiche ma veicolate anche in Italia. 

I malware della settimana 11 – 17 settembre 2021

9 sono state le famiglie di malware individuate, per un totale di 12 campagne malware: 

Addio alle password: Microsoft anticipa il nuovo mondo passwordless

Il 15 Settembre Microsoft ha pubblicato un avviso per tutti i milioni di utenti con account Microsoft: un annuncio che concretizza quella che fino ad adesso era solo un'idea, ovvero il superamento delle password come strumento di sicurezza. L'annuncio è semplice: cancellate le password. Non modificare: cancellare completamente e per sempre. 

Microsoft ha annunciato questa volontà molto tempo fa: l'idea è quella di trovare un metodo di autenticazione più efficace e sicuro, eliminando i problemi legati alle difficoltà di memorizzare le password, alla facilità di esporle e al rischio di usarne di eccessivamente deboli. E i dati sono chiari: 579 tentativi di furto password al giorno, 18 miliardi di tentativi l'anno. 

Ora quel che era una proiezione della volontà si fa concreta: gli utenti con account consumer possono adesso, anzichè digitare la password e confermare l'accesso con l'OTP, accedere usando una specifica app chiamata Microsoft Authenticator, già disponibile su iOS e Play Store. 

Trend cyber crime: la classifica delle vulnerabilità più sfruttate negli attacchi ransomware

Un gruppo di ricercatori ha stilato un elenco delle vulnerabilità che, secondo analisi e dati telemetrici, sono quelle attualmente più sfruttate da attacchi ransomware: sono le brecce che utilizzano per irrompere nei sistemi di aziende e utenti. 

Tutti i dati sono stati riassunti una semplice tabella, pubblicata su Twitter: un materiale estremamente utile per mettersi al riparo dalle minacce attualmente più attive e perchè ribadisce l'importanza e la centralità del patch management. Sottolineando però un punto: la prevenzione diventa un'attività sempre più complessa nella quale assume sempre più rilievo l'analisi e lo studio delle minacce più diffuse per procedere a patching mirato. L'elenco riprende i prodotti più utilizzati e diffusi e, sotto, vi sono riportati gli identificativi CVE assegnati ad ogni singola vulnerabilità. 

Fonte: https://twitter.com/uuallan/status/1438899102448820224

Ad ogni ransomware il suo ariete

REvil decrypted: risolvibile l'infezione ransomware

REvil non ha bisogno di presentazioni: parliamo di un "top ransomware" divenuto popolarissimo dopo l'attacco contro Kaseya, uno dei più gravi attacchi di tipo "supply chain" avvenuti quest'anno. Prima di Kaseya aveva già colpito migliaia di utenti nel mondo, Italia compresa.

Dopo l'attacco a Kaseya col quale, in colpo solo, la cybergang del ransomware era riuscita a colpire oltre 60 MSP e più di 1500 aziende, il ransomware era improvvisamente e repentinamente scomparso: infrastruttura offline, irraggiungibile sito di leak e pagina di pagamento Tor, blocco totale della campagna di attacco. 

Il 7 Settembre però REvil è tornato in grande spolvero: tornano attivi l'intera infrastruttura, il sito di leak che il gruppo di cyber attaccanti utilizza per pubblicare i dati rubati dalle vittime sotto ricatto, la pagina di pagamento / negoziazione Tor ecc... Tutte le vittime colpite in precedenza hanno visto ripartire da capo il timer e hanno ritrovato attive le loro richieste di riscatto. Il primo nuovo attacco, che certifica il ritorno in attività del ransomware, risale al 9 Settembre. 

Ora arriva il duro colpo: è disponibile un master decryptor, grazie ad una fonte interna alla task force internazionale che da mesi sta cercando di abbattere l'infrastruttura del ransomware e individuarne i responsabili. Quindi, tutte le criptazioni avvenute in data precedente al 13 Luglio 2021 sono risolvibili. 

I nostri tecnici sono già al lavoro per ricontattare coloro che già ci avevano chiesto assistenza: nuove vittime potranno richiedere il nostro supporto seguendo le procedure indicate sulla pagina web https://www.decryptolocker.it/

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 04 - 10 Settembre
Nel corso della settimana 4-10 Settembre il CERT-AGID ha individuato e analizzato, attive nello scenario italiano, ben 27 campagne dannose: 23 di queste erano rivolte direttamente contro obiettivi italiani, 4 invece sono state le campagne generiche ma diffuse anche in Italia. 354 gli indicatori di compromissione (IOC) che il CERT ha messo a disposizione.

10 sono state le famiglie di malware individuate, veicolate con 13 diverse campagne. In dettaglio:

Alert del CERT: è in corso in Italia l'ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro

Nella giornata di oggi il CERT-AGID ha pubblicato un alert riguardante una campagna di attacco, limitata all'ambito universitario italiano, ideata per veicolare il malware Lokibot. La comunicazione è una email che imita una comunicazione ufficiale di due atenei: una versione è camuffata da comunicazione dell'Università di Tor Vergata, l'altra invece dell'Università di Bologna. Nel primo caso il vettore di attacco è un allegato in formato .ZIP contenente l'eseguibile in doppia estensione, nel secondo caso invece la mail reca un allegato .XLS contenente una macro dannosa. 

Lokibot è un malware non certo nuovo in Italia, ma del quale è forse interessante tratteggiare nuovamente il profilo tecnico, dato che sempre più spesso torna a colpire utenti italiani. 

Nuovo malware per il furto dati arriva in Italia con una campagna di attacco contro clienti Intesa San Paolo: ecco BRATA

Il CERT-AgID ha pubblicato un alert specifico riguardo una campagna dannosa rilevata ai danni dei clienti dell'istituto bancario Intesa San Paolo. In dettaglio, i ricercatori del CERT hanno trovato online un dominio di recentissima registrazione che imita il sito web istituzionale di Intesa San Paolo.

Trattasi di una pagina di phishing in italiano, raggiungibile solo tramite dispositivi Android, pensata per rubare le credenziali di accesso all'home baking, che finiscono registrate in un file di testo sullo stesso server che ospita il dominio. 

Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un'azienda chimica

Ha colpito due volte in un solo giorno: prima vittima, Butali S.p.A che possiede la ben più nota catena di elettronica e elettrodomestici Euronics; subito dopo sotto attacco è finita anche 3V Sigma. Parliamo di ViceSociety, una nuova campagna ransomware. Nel frattempo i dati parlano chiaro: l'attenzione dei ransomware contro le aziende e gli enti italiani è tutt'altro che scemato. Anzi, sono stati portati ulteriori tentativi di attacco contro aziende italiane da parte del ransomware Lockbit: è stato ad esempio rilevato, sempre nella giornata di ieri, un tentativo di doppia estorsione ai danni dell'azienda chimica Tovo Gomma. 

L'attacco contro Euronics è riuscito
Inutile dire che, tra i tanti, l'attacco subito da Euronics sta facendo più notizia rispetto ad altri. Intanto, una specifica: l'attacco è stato condotto contro la società Butali S.pA, che ha sede legale nei Paesi Bassi e che detiene parte della catena di elettronica di consumo. 

L'attacco è confermato dalla presenza, sul sito di leak collegato al ransomware Vice Society, di una parte dei dati rubati. 

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L'attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma "la quasi totalità delle credenziali VPN risulterebbero ancora valide" (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password. 

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l'attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all'uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come "Orange", già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove. 

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.

Server Microsoft Exchange sotto attacco: oltre a LockFile, anche il ransomware Conti sta usando ProxyShell

Qualche giorno fa abbiamo dato notizia di un nuovo ransomware, chiamato LockFile e già in diffusione in Italia, che utilizza la suite di vulnerabilità ProxyShell per bucare i server Microsoft Exchange. Ricordiamo che ProxyShell è un insieme di vulnerabilità che consente, se sfruttate con successo, di ottenere l'accesso non autenticato, quindi l'esecuzione di codice da remoto sui server vulnerabili. Per quanto già patchate da Microsoft, ulteriori dettagli tecnici su queste vulnerabilità sono state pubblicate recentemente, cosa che ha consentito agli attaccanti di usarle di nuovo in attacchi mirati. 

Le prime ondate di attacchi che hanno visto l'uso di ProxyShell distribuivano fondamentalmente webshell e backdoor, poi qualche giorno fa è stato individuato in diffusione anche il ransomware LockFile. Ora la fila si allunga, perché anche il ransomware Conti ha iniziato a sfruttare ProxyShell. 

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 - 27 Agosto

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 21 - 27 Agosto
Nel corso della settimana, sono state individuate 18 campagne dannose in diffusione nello spazio italiano: 4 di queste sono state campagne generiche, 14 invece miravano ad obiettivi Italiani. 623 gli indicatori di compromissione individuati. 

7 le famiglie malware individuate in diffusione, 12 le campagne malware totali. In dettaglio, i malware più diffusi sono stati:

Nuovo ransomware colpisce in Italia: arriva LockFile, che sfrutta la vulnerabilità ProxyShell dei server Microsoft Exchange. E' il primo a criptazione intermittente

E' stato individuato un nuovo ransomware (già attivo anche in Italia), che colpisce i Windows domain: irrompe nei server Microsoft Exchange sfruttando la suite di vulnerabilità ProxyShell. 

ProxyShell indica un insieme di tre diverse vulnerabilità: 

1. la CVE-2021-34473;
2. la CVE-2021-34523; 
3. la CVE-2021-31207. 
   

Per approfondire > Le vulnerabilità di Microsoft Exchange Server (risolte) sfruttate per distribuire ransomware: ancora poca attenzione alle patch

Le tre vulnerabilità sono già state patchate rispettivamente le prime due ad Aprile e la terza nel mese di Maggio: nel frattempo però sono stati rivelati ulteriori dettagli tecnici riguardo a ProxyShell, fatto che ha permesso di "aggiustare" e riprodurre l'exploit. Manco a dirlo, i cyber criminali hanno ricominciato a scansionare attivamente Internet in cerca di server Microsoft Exchange vulnerabili sui quali installare backdoor, da usare per futuri accessi e, appunto, un nuovo ransomware chiamato LockFile.