venerdì 10 settembre 2021

Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un'azienda chimica

Ha colpito due volte in un solo giorno: prima vittima, Butali S.p.A che possiede la ben più nota catena di elettronica e elettrodomestici Euronics; subito dopo sotto attacco è finita anche 3V Sigma. Parliamo di ViceSociety, una nuova campagna ransomware. Nel frattempo i dati parlano chiaro: l'attenzione dei ransomware contro le aziende e gli enti italiani è tutt'altro che scemato. Anzi, sono stati portati ulteriori tentativi di attacco contro aziende italiane da parte del ransomware Lockbit: è stato ad esempio rilevato, sempre nella giornata di ieri, un tentativo di doppia estorsione ai danni dell'azienda chimica Tovo Gomma. 

L'attacco contro Euronics è riuscito
Inutile dire che, tra i tanti, l'attacco subito da Euronics sta facendo più notizia rispetto ad altri. Intanto, una specifica: l'attacco è stato condotto contro la società Butali S.pA, che ha sede legale nei Paesi Bassi e che detiene parte della catena di elettronica di consumo. 

L'attacco è confermato dalla presenza, sul sito di leak collegato al ransomware Vice Society, di una parte dei dati rubati. 

I dati rubati sono molteplici, ma colpisce la presenza di liste di username e password in chiaro all'interno di semplici file .xls. Vi sono contenuti, probabilmente, gli accessi alle reti delle varie filiali. E' presente perfino una coppia user e password di accesso amministrativo ad un'area riservata: qui è possibile vedere, calendari, prenotazioni, servizi offerti dai negozi. 

Fonte: https://www.redhotcyber.com

Tra i dati rubati, che riguardano per la maggior parte negozi Euronics tra Toscana e Umbria, troviamo inventari, fatture, informazioni di budget, planning, offerte future, fatture, procedure interne ecc... ma anche i dati dei clienti non sono in salvo.

Da Redhotcyber, tra i primi a dare la notizia, fanno sapere anche del ritrovamento di un registro nel quale sono visibili, dal 2018 a oggi, le chiamate che le varie filiali hanno fatto ad una serie di clienti: nel file si trovano informazioni personali dei clienti come nome e cognome, indirizzo, numero di telefono ecc...

Fonte: https://www.redhotcyber.com

Ad ora non ci sono aggiornamenti e l'azienda non ha rilasciato alcuna dichiarazione pubblica.

Vice Society: qualche info tecnica
Comparso verso la metà del 2021 sui radar dei ricercatori, Vice Society è divenuto famoso per l'uso di exploit per l'insieme di vulnerabilità di Windows chiamate PrintNightmare. In dettaglio sono 3:

e affliggono lo spooler di stampa di Windows. Se correttamente sfruttate consentono ad un attaccante i privilegi di amministrazione, quindi la possibilità di eseguire codice arbitrario e di eseguire movimenti laterali nelle reti. 

Patchate il 10 Agosto, queste falle sono ancora sfruttate non solo perchè sono ancora molti i sistemi vulnerabili, ma anche perchè la patch sembra non essere definitiva: alcuni ricercatori hanno infatti verificato che il blocco dell'esecuzione di codice da remoto può venire facilmente aggirato con una semplice modifica degli exploit usati. 

Vice Society aggiunge ai file criptati l'estensione di criptazione v.society.

Fonte: https://twitter.com/demonslay335

Nessun commento:

Posta un commento