Il gruppi di cyber attaccanti Conti ha rivendicato ieri pomeriggio, Lunedì 25 ottobre, l'irruzione nei sistemi della San Carlo Gruppo alimentare Spa: si è proprio lei, la famosissima azienda che produce patatine fritte, pop corn, pane e dolci. Il gruppo ha rivendicato l'attacco sul proprio sito Tor di leak:
 |
| Il sito di leak su Tor del gruppo ransomware Conti |
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 09 - 15 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 31 campagne dannose attive nel cyber spazio italiano: 25 sono state mirate contro obiettivi italiani, 6 invece sono state campagne generiche veicolate anche in Italia. 889 gli indicatori di compromissione che il CERT ha messo a disposizione, consultabili dal sito istituzionale.
Le campagne malware analizzate sono state 12 e hanno visto la diffusione di 6 diverse famiglie malware:
Aggiornamento 22/10/2021: a quanto si apprende da testate di settore e dalle dichiarazioni rese dal gruppo di attaccanti di Everest, l'attacco non ha previsto l'uso di ransomware. I dati cioè non sono stati criptati, ma semplicemente esfiltrati. L'attaccante ha dichiarato che l'attacco si è svolto con un penetration test sulle infrastrutture digitali di SIAE, quindi si è proceduto con l'esfiltrazione dei dati. Il riscatto, inizialmente fissato a 3 milioni di euro in Bitcoin, è stato abbassato a 500.000 euro, anche in seguito alla volontà, pubblicamente dichiarata da SIAE, di non pagare alcun riscatto. Il Garante intanto ha annunciato pubblicamente l'apertura dell'istruttoria.
La SIAE, Società Italiana degli Autori ed Editori, è stata colpita da un attacco ransomware: stando a quanto dichiarato dai cyber attaccanti, i dati rubati ammontano a circa 60 GB (28.000 documenti) e conterrebbero carte e documenti di identità (numeri dipassaporto, patenti di guida), documenti di iscrizione e deposito di migliaia di artisti. La conferma dell'esito dell'attacco e del furto dei dati è stata data dalla Siae stessa alla redazione di Cybersecurity360: è stato confermato anche il fatto che è già stata presentata la richiesta di riscatto in Bitcoin per un ammontare di 3 milioni di euro (così riporta il Corriere della Sera). Gli attaccanti hanno anche già fatto sapere che se SIAE si rifuterà di pagare, i 60GB di dati saranno resi pubblici a piccole dosi. Intanto la cyber gang ha già provveduto a pubblicare e mettere in vendita, sul proprio sito di leak, una prima parte dei dati rubati a mò di prova dell'avvenuta irruzione nei sistemi SIAE, facendo anche sapere si essere già pronti a pubblicarne altri.
 |
| Il sito di leak del ransomware Everest |
 |
| Fonte: https://cert-agid.gov.it |
Come si vede, l'oggetto rimanda ad un fantomatico "aggiornamento critico" di Dike, il programma per la firma digitale di InfoCert molto diffuso nella PA, ma anche nel settore privato.
Di Hancitor abbiamo parlato per la prima volta nel mese di Luglio di quest'anno, quando il CERT-AGiD, nell'ambito delle verifiche sulle campagne di attacco in corso nel cyberspazio italiano, individuò la prima campagna di diffusione in Italia: come tutti i downloader, Hancitor era impostato per scaricare e installare ulteriori malware che, in quel caso era FickerStealer, un infostealer.
Per approfondire > Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer
Dal mese di Settembre ad ora, Hancitor figura costantemente tra i malware diffusi in Italia e monitorati dal CERT: anche nel corso della settimana 02 - 08 Ottobre Hancitor si conferma il secondo malware più distribuito in Italia, stando ai dati del CERT AGID. Ecco perchè riteniamo utile dedicarvi un breve approfondimento.
Info tecniche
Hancitor è un infostealer, ma la sua funzione principale è quella di Donwloader. Una volta che ha infettato un dispositivo, infatti, vi scarica e installa ulteriori malware: nel 2020 ha iniziato ad utilizzare il tool di penetration testing Cobal Strike, mentre le prime campagne italiane lo vedevano in coppia con FickerStealer. Negli ultimi mesi gli attori che lo gestiscono hanno iniziato anche ad utilizzare un tool per il ping delle reti, utile a enumerare gli host attivi nell'ambiente Active Directory.
La Unit24 di PaloAltoNetwork ha condotto approfondite analisi su questo malware e le sue campagne di diffusione: l'immagine sotto mostra la catena di infezione, che tendenzialmente è invariata dal 2020 a parte lievi modifiche
Se in Italia sta rimbalzando negli ultimi giorni la notizia dell'attacco DDoS che ha colpito il sito nazionale della CGIL (più simbolico che sofisticato, ma comunque efficace), nel resto del mondo la fa da padrone la notizia del gigantesco attacco DDoS mitigato da Microsoft l'ultima settimana di Agosto. Ma non finisce qui: il problema degli attacchi DDoS si è fatto così urgente da aver portato ad intervenire anche le forze dell'ordine. Se in Ucraina finiscono in manette i gestori di una botnet da 100.000 device circa, affittabile per lanciare attacchi DDoS, dall'altra la Polizia olandese ha addirittura contattato direttamente una dozzina di clienti di un servizio DDoS, avvisandoli che i continui reati informatici porteranno a procedimenti giudiziari e che quindi è per loro consigliabile trovare alternative migliori e soprattutto legali. Insomma, cari lanciatori di attacchi DDoS, la Polizia vi osserva.
L'attacco DDoS che Microsoft ha mitigato e che era rivolto ad un cliente europeo di Azure, ha toccato i 2.4 terabit per secondo: un attacco del 140% più grande dell'attacco più pesante mai registrato da Azure, ovvero quello avvenuto nel 2020 e che ha toccato 1Tbps. L'attacco, durato 10 minuti circa, è stato suddiviso in 3 diverse ondate di volume decrescente: 2,4 tbps la prima, 0,55 tbps la seconda, 1,7 tbps la terza. L'infrastruttura dalla quale è stato lanciato l'attacco è composto da circa 70.000 bot, la maggior parte concentrati nelle regioni asiatiche del Pacifico e negli Stati Uniti. Questo attacco, di cui è avuta notizia solo la scorsa settimana, arriva dopo che Microsoft ha registrato un aumento superiore al 25% degli attacchi DDoS rispetto allo stesso trimestre del 2020.
 |
| Fonte: Microsoft |
Gli attacchi DDoS sono in crescita
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 25 Settembre – 01 Ottobre 2021
La scorsa settimana, il CERT ha individuato e analizzato 34 campagne dannose, 30 mirate specificatamente contro obiettivi italiani e 4 invece, generiche, veicolate anche in Italia: gli indicatori di compromissione messi a disposizione sono stati 461.
La campagne malware individuate in diffusione sono state 11: 7 le famiglie malware distribuite
Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia
Maggioli è un gruppo di rilevanza internazionale con sedi, oltre che in Italia, in Spagna, Grecia, Belgio e in Sud America: 25.000 installazioni software circa, un parco clienti di 150.000. La corporation offre servizi di vario tipo, molto usati nelle pubbliche amministrazioni, ma anche per aziende e professionisti. La notte del 25 Settembre, a partire dalle 3.00, i sistemi della Maggioli sono stati colpiti da attacco ransomware. L'azienda ha preso consapevolezza di aver subito un attacco soltanto 11 ore dopo l'accaduto, registrando numerosissime anomalie e disservizi sui sistemi.
Stando a quanto per ora è stato possibile ricostruire, l'attacco ransomware è stato portato dal gruppo del ransomware Conti, che però avrebbe mirato, pare, un'unità precisa del gruppo, ovvero la Maggioli Tributi. Tra i servizi sicuramente compromessi il "Concilia Service", usato dalle Polizie Municipali e non solo per le sanzioni amministrative conseguenti a violazione del Codice della Strada o altre norme amministrative e "MT tributi", molto usato nelle Ragionerie.
Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?
L'azienda ha comunicato l'evento ai clienti il 30 Settembre, segnalando l'indisponibilità temporanea dei dati e indicando che "le informazioni ivi contenute, potrebbero comprendere anche dati personali quali, anagrafiche di contribuenti, domicili fisici e/o elettronici, istanze di contribuenti, situazioni debitorie/creditorie, dati catastali/possessi immobiliari, dati di veicoli, conti correnti e datori di lavoro".
La comunicazione ufficiale, completa e non parziale sull'incidente, risale al 1° Ottobre. "L'attacco
Alle 17.30 circa di Lunedì 4 ottobre (ora italiana) utenti da tutto il mondo hanno iniziato a segnalare malfunzionamenti, o completa incapacità di accesso al servizio, per Facebook, Instagram e Whatsapp. Crediamo che ce ne siamo conto un pò tutti, mentre spostavamo le conversazioni con amici e colleghi su Telegram, Signal e altre app...
I tentativi di aprire uno dei 3 siti web davano lo stesso risultato: DNS_PROBE_FINISHED_NXDOMAIN e veniva quindi consigliato di verificare l'eventuale presenza di errori di battitura nel dominio scritto nella barra degli indirizzi. Gli utenti mobile invece, al malfunzionamento delle app, vedevano il messaggio "Per favore, verifica la tua connessione internet e riprova più tardi". Perfino il sito .onion di Facebook mostrava lo stesso errore dei DNS.
 |
Bleeping Computer ha reso pubblica una immagine che ritrae, per l'appunto, una di queste verifiche: la risposta è piuttosto eloquente.
 |
| Fonte: bleepingcomputer.com |
La situazione è tornata, lentamente, alla normalità verso le 23.30 ora italiana.
La prima dichiarazione ufficiale, dal punto di vista delle cause tecniche, è arrivata nella mattina di Martedì 5 ottobre: "i nostri team di ingegneri hanno riscontrato che le modifiche alla configurazione sui router della dorsale che coordinano il traffico di rete tra i nostri data center hanno causato problemi che hanno interrotto la comunicazione” ha dichiarato Santosh Janardhan, VP for Engineering and Infrastructure a Facebook. "Ciò ha causato l'interruzione del traffico di rete e ha avuto un effetto a cascata sulle modalità con cui comunicano i nostri data center, causando l'interruzione dei servizi" ha concluso. Santosh Janardhan ha inoltre rassicurato gli utenti: "non ci sono prove che i dati degli utenti siano stati compromessi nell'arco di questo downtime" ha fatto sapere. Insomma non c'è stato l'attacco hacker del secolo, ma "solo" un errore di configurazione avvenuto però, su una delle infrastrutture più grandi del mondo.
Dichiarazione che ha confermato i sospetti della comunità dei ricercatori che, durante il blocco delle app, avevano già supposto che i problemi riguardassero il Domain name System il Border gateway protocol (BGP) di Facebook, cioè due fattori fondamentali dell'infrastruttura Internet per instradare correttamente i dati: se il primo assegna i vari nomi ai nodi della rete, il secondo contiene le informazioni necessarie per raggiungere un indirizzo IP. Cloudflare ha spiegato che l'errore di Facebook, avvenuto in seguito ad una serie di aggiornamenti, è stato che queste modifiche hanno "dichiarato" al BGP, in pratica, che quei percorsi verso Facebook non esistevano più. Insomma, come cercare una casa in una via che non esiste sulla mappa.
I problemi non hanno riguardato solo i servizi di Facebook e delle sue controllate, ma anche gli uffici e le infrastrutture interne, fatto che ha reso ancora più complesso per i tecnici ottenere diagnosi veloce e risolvere il problema. Il New York Times ha riferito alcuni racconti dei dipendenti Facebook, Instagram e Whatsapp, nei quali si denunciava l'impossibilità di accedere al sistema email aziendale, ai tool e ai server stessi. Qualcuno, addirittura, non riusciva ad entrare in ufficio a causa del down completo del sistema di verifica degli accessi tramite badge.
In ogni caso, ad ora, è tornato tutto alla normalità: i malfunzionamenti al sistema DNS hanno impedito di risolvere il problema da remoto, così Facebook ha inviato in loco un team di tecnici e ingegneri che ha corretto manualmente la configurazione errata.
Interruzioni di verifica di questo tipo non sono frequenti, ma capitano: il più recente quello occorso ad Akamai, ma anche a Fastly ecc... il problema è che, quando capitano, producono danni di immagine ed economici di proporzioni epiche.
Flubot è un malware che manca da qualche tempo in Italia, ma che a metà di quest'anno ha bersagliato centinaia di migliaia di utenti italiani. Per un periodo è stato così martellante da aver indotto il CERT-AGiD a pubblicare una apposita e dettagliata guida (consultabile qui): per almeno un paio di mesi è stato diffuso tutte le settimane con apposite campagne contro utenti italiani, poi è scomparso dai radar. Ora è tornato, con nuovi metodi di diffusione.
Flubot in breve: qualche info tecnica
Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. La versione 3.9, quella diffusa in Italia qualche mese fa, non sfruttava alcuna falla del sistema Android, non eseguiva exploit: l'unico "exploit" è eseguito sulla vittima, che viene tratta in inganno per abilitare l'app dannosa come "servizio di accessibilità". Il malware richiede semplicemente che l'utente abiliti l'app come servizio di accessibilità del dispositivo: un servizio di accessibilità è semplicemente un supporto per aiutare l'interazione degli utenti col dispositivo, rivolto solitamente a persone con problematiche fisiche o di salute che hanno difficoltà ad interagire (scrivere, leggere, sentire) con un dispositivo. Abilitare un'app come servizio di accessibilità consente all'app stessa di eseguire azioni al posto dell'utente.
Tutto questo al solo scopo di rubare dal dispositivo e dall'utente quante più informazioni possibile: Flubot è infatti un infostealer, che presta particolare attenzione alle credenziali di accesso all'home banking, agli estremi delle carte di credito, all'intercettazione delle OTP ecc...
Ottenute le autorizzazioni come servizio di accessibilità, Flubot diffonderà ulteriori SMS dannosi e resterà attivo in background.
L'alert del CERT neozelandese: nuova tecnica di diffusione
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 18 – 24 Settembre 2021
Nel corso di questa settimana il CERT ha individuato e analizzato 25 campagne dannose, di cui 18 mirate contro obiettivi italiani e 7 generiche ma veicolate anche in Italia. 454 sono stati gli indicatori di compromissione individuati.
Le famiglie malware individuate in diffusione sono state 8, per un totale di 10 campagne malware. Ecco i malware:
