Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 18 - 24 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 21 campagne dannose: praticamente tutte sono state mirate contro utenti italiani, mentre una sola campagna è stata generica ma veicolata anche in Italia. La principale minaccia, spiegano dal CERT resta comunque la vulnerabilità Log4Shell di Log4j, per la quale sono stati resi disponibili più di 26800 indicatori di compromissione (IoC).

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Per approfondire > CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

4 sono state le famiglie malware individuate in diffusione e c'è la conferma definitiva che Emotet è rinato dalle proprie ceneri:

• Emotet è stato individuato in diffusione  con una campagna che sfrutta comunicazioni fake della Pubblica Amministrazione: nel corpo email un link che punta al download di un file in formato XLS. Alcune di queste email sono state inviate ad account PEC da falsi account PEC;
• Formbook è stato in diffusione con una campagna a tema Pagamenti: le email veicolano un allegato .ZIP dannoso;
• Dridex è stato ancora in diffusione tramite la vulnerabilità Log4Shell;
• Diamondfox è stato in diffusione in Italia con una campagna a tema Covid-19: lo schema di infezione prevede il download di un file .ZIP contenente il malware. Il server di comando e controllo è sul dominio altervista.org.

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

DiamondFox in breve:

NAS QNAP: il ransomware eChoraix (QNAPcrypt) di nuovo in diffusione. Già molti attacchi in Italia

Ne danno notizia i siti e i portali di informazione specializzati e possiamo purtroppo confermare la cattiva notizia, visto il numero di professionisti, aziende e home user che ci stanno contattando per supporto: il ransomware eChoraix, conosciuto anche come QNAPcrypt, è di nuovo in diffusione. Siamo alla ennesima campagna di diffusione, nonostante ormai da 2 anni QNAP abbia pubblicato appositi avvisi di mitigazione e upgrade. 

Per approfondire > NAS QNAP sotto attacco: campagna di diffusione del ransomware QNAPCyrpt

La nuova ondata di attacchi ha approfittato delle festività
I primi dati disponibili provengono dal servizio di analisi ransomware IDransomware: i suoi gestori spiegano come vengano riportati regolarmente attacchi di eChoraix contro NAS QNAP e Synology, ma dal 20 Dicembre in poi si è registrato un vero e proprio boom di invii al servizio. Si può dire che il boom di attacchi sia iniziato il 19 Dicembre e terminato il 26 Dicembre. 

Fonte: IDransomware

Insomma, copione già visto, gli attaccanti hanno atteso il periodo delle festività per scatenare gli attacchi, sapendo di avere maggiori possibilità di colpire professionisti o aziende chiuse o comunque sotto organico. 

Quale vettore di infezione?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 11 - 17 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose attive nel cyber spazio italiano. Ovviamente il report del CERT cita la vulnerabilità critica Log4Shell di Log4J, sicuramente la minaccia più pericolosa al momento. Qui i 5114 IoC resi disponibili dal CERT per mitigare questa minaccia. 

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

3 sono state le famiglie malware trovate in diffusione, alla quale vanno aggiunti però gli attacchi portati tramite Log4SHell per distribuire altri malware (Dridex e non solo).

Dridex, il malware bancario più diffuso in Italia, è l'ennesima minaccia che sfrutta la vulnerabilità di Log4j

E' una presenza fissa dei bollettini informativi settimanali del CERT-AgID: basta cercare "Dridex" nella barra di ricerca del sito https://cert-agid.gov.it per vedere confermata la sua circolazione in Italia dai dati telemetrici. La novità, preoccupante, è che Dridex non viene più diffuso soltanto tramite email di phsihing ma, come gran parte del cyber crime, sta approfittando della grave vulnerabilità Log4Shell della libreria Java Log4j. Andiamo con ordine.

Dridex in breve
Dridex è un malware bancario: è in diffusione dal 2011, ma ha subito negli anni vari upgrade divenendo una minaccia molto sofisticata. Nel 2020 è entrato nella lista dei top10 malware più diffusi al mondo. In Italia è una presenza fissa ormai, tantoché il nostro paese è considerato uno di quelli maggiormente impattati da questa cyber minaccia. 

Nato come malware finalizzato al furto di credenziali bancarie online si è evoluto nel tempo fino a divenire un downloader: viene usato cioè per scaricare e attivare vari moduli che eseguono diverse attività dannose come installare ulteriori payload, diffondersi su altri dispositivi, fare screenshot e fungere da keylogger ecc..  Note e famigerate sono ormai le sue collaborazioni con i ransomware: Dridex funge da downloader dei ransomware BitPaymer e DopplePaymer permettendo di monetizzare al massimo un attacco. 

Dridex: come si diffonde?

Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

I CSIRT vengono da lontano: iniziamo dal 1988
Nel 1998, un laureato fresco di studi ad Harward decide di lanciare sull'Internet del tempo il suo codice dannoso: è un worm, che lo studente Robert Morris lancia su una rete che al tempo contava 60.000 computer connessi tra enti governativi, militari ed universitari. In meno di 24 ore cadono vittime del worm oltre 6000 macchine e Morris raggiunge il suo obiettivo: dimostrare la totale inadeguatezza delle misure poste a protezione della rete. 

Morris, per fortuna, non è un cybercriminale e, di fronte al dilagare del suo worm, abbozza il primo tentativo mai registrato di Incident response: invia infatti in forma anonima le istruzioni necessarie non solo per rimuovere il suo worm, ma anche per impedire che possa di nuovo infettare le macchine bersaglio. Peccato che la rete sia in totale paralisi per il suo attacco e le informazioni non arrivino in tempo. Il worm continua a fare danni e diventano palesi l'assenza totale di coordinamento tra i vari "nodi" della rete nonché i problemi comunicativi.

L'agenzia USA DARPA, che finanzia progetti di ricerca di sicurezza nazionale, colpita profondamente dalle azioni di Morris, istituisce il primo centro di incident response per la risposta coordinata ai cyber attacchi. E' il primo CERT - Computer Emergency Response Team Coordination Center della storia, che poi si evolverà negli CSIRT- Computer Security Incident Response Team.

CERT e CSIRT sono poi stati istituzionalizzati in tutto il mondo.

La Direttiva NIS plasma il volto della cyber security europea
Approvata nel 2016, la  Direttiva Europea 1148/2016, detta Direttiva NIS mira a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

Log4Shell: prima installazione ransomware sfruttando la vulnerabilità di Java Log4j (risolvibile!)

La CVE-2021-44228 in breve
La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria. 

In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.15.0.

Nota Bene: la  vulnerabilità è stata risolta nella versione Log4j 2.16.0, scaricabile qui. Consigliamo l'update prima possibile!

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Il primo exploit di Log4Shell per installare ransomware
I ricercatori di sicurezza hanno riportato ieri martedì 14 Dicembre la notizia della prima famiglia ransomware che sta attivamente sfruttando l'exploit della CVE-2021-44228 per installare ransomware. 

Nel caso in oggetto, l'exploit scarica una classe Java da hxxp://3.145.115[.]94/Main.class: questa classe viene caricata ed eseguita nell'applicazione L0g4j. Una volta caricata, questa scarica un binario .NET dallo stesso server per installare il nuovo ransomware, chiamato Khonsari.

Il nome Khonsari deriva dall'estensione che il ransomware stesso appone alla fine del nome del file e ricorre anche nella nota di riscatto

Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

N.B: consigliamo la lettura dell'aggiornamento in fondo all'articolo

Ci siamo presi del tempo prima di scrivere qualcosa rispetto a questa gravissima vulnerabilità che affligge Log4j, sviluppato dalla Apache Foundation e che è utilizzato sia per le app che per i servizi cloud nelle aziende di tutto il mondo. E' stato necessario del tempo perché si placassero chiacchiericcio, isteria e panico, che hanno determinato una buona fetta di disinformazione. Il panico non è mai utile, soprattutto nella cybersecurity dove avere le idee chiare è condizione necessaria (anche se non sufficiente) ad approntare efficaci mitigazioni ed evitare il peggio.

Qui non ci prendiamo l'onere di trattare l'argomento con completezza ma il fatto che questa vulnerabilità 0-day, registrata come CVE-2021-44228, abbia ottenuto un punteggio di 10/10 sulla scala CVSSv3 ribadisce la sua criticità e pericolosità: descrivere i punti salienti e fornire ulteriori materiali di approfondimento (ben verificandone le fonti) è quindi dovuto e necessario. D'altronde è un dato di fatto: Java è ovunque, quindi anche questa vulnerabilità è ovunque. E già circolano exploit e si registra un picco di attacchi verso la libreria Log4j. Ma andiamo con ordine

La CVE-2021-44228: dettagli tecnici
La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto nella libreria Java Log4j. Log4J è una libreria basata su Java che è utilizzata come tool di logging per strumenti ed applicazioni varie. 

Log4Shell è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria. 

In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.15.0.

ULSS Padova, Comune di Torino, Alia Servizi ambientali Toscana, Clementoni: continua il cyber bombardamento contro aziende, enti e istituzioni italiane

Non c'è tregua: aziende, enti e istituzioni italiane continuano ad essere sotto un fitto cyber bombardamento. Certo, attacchi contro Comuni e Aziende sanitarie fanno molto notizia, ma quel che fa meno notizia sono gli attacchi contro piccole e medio grandi aziende italiane. Il sito Double Extortion, il cui gestore monitora i siti di leak dei principali ransomware attualmente attivi, riporta molti attacchi in Italia, molti più di quelli che hanno fatto notizia:

Fonte: https://doubleextortion.com

Le novità di queste ultime settimane sono l'attacco con estorsione ad Alia Servizi ambientali Toscana, la pubblicazione del primo sample di dati sottratti al Comune di Torino, l'attacco contro Clementoni e l'ULSS di Padova. 

1. Alia servizi Ambientali: 400.000 euro di riscatto

Cybersecurity: eppur si muove! Gli investimenti delle aziende italiane sono aumentati del 134%

Certo, la pandemia ha giocato un ruolo importante nella faccenda: il picco di attacchi informatici che si è visto scatenarsi in questi ultimi due anni era futuribile, ma forse neppure noi addetti al settore potevamo prevedere un volume tale di attacchi. Futuribile però perchè, con l'aumentare del ricorso allo smart working e al tele lavoro, i dipendenti da remoto hanno concorso all'aumento della superficie di attacco: aggiungiamoci i tanti che hanno lavorato da casa con pc e tablet proprio, mischiando vita privata e vita lavorativa, magari con macchine osbolete o eseguenti software vulnerabili e il gioco è fatto.

Non solo smart working comunque: in generale il cyber crime ha affilato le armi, si è fatto sempre più pericoloso per tipologia di attacchi, efficacia degli stessi al punto da aver prodotto un volume di "affari" pari al 6% del PIL mondiale.

Per approfondire > Rapporto Clusit 2021: +12% di attacchi informatici nel mondo. Il cybercrime produce il 6% del PIL mondiale

Uno scenario che non ha fatto sconti a nessuno, Italia compresa: i dati della Polizia Postale parlano chiaro, con un +246% di attacchi informatici nel 2020. E il 2021 non sta andando meglio: dati del Viminale parlano di una media di 800 cyber attacchi al giorno solo nella prima metà di quest'anno.

Lo stato della cybersecurity nelle aziende italiane
La nota positiva è che, finalmente, si sta diffondendo, volenti o nolenti, la consapevolezza del problema: almeno così confermano i numeri dell'indagine che Twt ha svolto sul punto, assieme all'istituto di ricerca Eumetra MR. Le aziende italiane hanno iniziato ad investire seriamente in cyber security.

Qualche numero:

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 20 - 26 Novembre
La scorsa settimana il CERT ha individuato e analizzato 44 campagne dannose: 38 di queste sono state mirate contro obiettivi italiani, mentre 6 erano generiche e veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 8, diffuse con 14 diverse campagne. Ecco il dettaglio:

• Formbook è stato diffuso con 4 campagne diverse. I temi sono stati Ordine e Pagamenti: le email veicolavano allegati Office in formato .DOC e .XLSX;
• Dridex è stato diffuso con 4 diverse campagne, due mirate contro utenti italiani e due generiche a tema Pagamenti e Premi: le email veicolavano allegati in formato .XLB e .XLS;
• Urnsif è stato veicolato con una campagna a tema Energia: l'email recava una finta bolletta in formato .XLS;
• Lokibot è stato diffuso con una campagna a tema ordine: le email contenevano allegati in formato archivio .ZIP;
• Emotet torna dopo dieci mesi di inattività. Rinato dalle proprie ceneri, torna in diffusione anche in Italia, con una campagna a tema Documenti: le email recavano allegati .ZIP;
• sLoad si conferma in diffusione mirata in Italia. La nuova campagna di diffusione, a tema Documenti e con allegati .ZIP, circolava via circuito PEC: è stata contrastata grazie alla collaborazione tra il CERT e gestori di servizi PEC;
• Qakbot è stato diffuso con una campagna a tema Resend: le email contenevano un link ad un file archivio .ZIP;
• AgentTesla è stato diffuso con una campagna a tema pagamenti: le email contenevano allegati in formato .IMG.

Il Comune di Torino lotta da giorni contro un attacco ransomware: l'accesso alla rete tramite un PC dei Vigili Urbani

Il Comune di Torino è sotto attacco da giorni: il calvario è iniziato Lunedì 15 Novembre, di buona mattina quando i dipendenti sono rientrati al lavoro dopo il fine settimana e si sono accorti di severi malfunzionamenti alle proprie postazioni. Problemi tali da impedire loro di svolgere le proprie mansioni. 

Alle 10.30 dello stesso giorno nella Home Page di Città di Torino, il Comune informa della sospensione dell'attività dell'anagrafe e di altri uffici per "malfunzionamento" al sistema informatico. Chi si aspetta un semplice problema tecnico viene smentito poco dopo:

"La Città di Torino comunica che, a causa di un probabile attacco hacker al proprio sistema informativo, è stata sospesa questa mattina l'attività di alcuni servizi, tra cui quelli anagrafici." 

Iniziano quindi a trapelare le prime voci che parlano di "attacco ransomware", forse ad opera della banda di Conti: il sito di leak del ransomware Conti però non riporta, come di consueto, alcuna rivendicazione dell'attacco né pubblica sample dei dati esfiltrati dalla rete.

Per approfondire > Cyber attacchi in Italia: anatomia del ransomware Conti

Il comparto IT del comune mette offline 7500 postazioni e server per controllare e impedire la diffusione del ransomware all'intera infrastruttura IT. Alcuni dipendenti confermano di aver visualizzato una nota di riscatto al momento dell'accensione della postazione lavorativa. Qualche grattacapo anche per la Polizia Municipale, che registra il down dei una serie di servizi di sportello. Viene anche sospeso qualsiasi accesso remoto all'infrastruttura aziendale. 

Bad news da Microsoft: dilagano i tentativi di brute forcing. Ma i dati forniscono indicazioni utili sulla password perfetta

Più che parola di Microsoft è parola di un dipendente di Microsoft: dipendente che, da anni, raccoglie ed analizza i dati di rete proveniente dai server honeypot di Microsoft. I risultati? In parte scontati, ma comunque interessanti.

A partire dal fatto che la maggior parte degli attaccanti che tentano il brute forcing delle password esegue prima di tutto tentativi con password brevi: i dati mettono nero su bianco il fatto che sono davvero poche le password lunghe o complesse che vengono prese di mira. 

"Ho analizzato le credenziali prese di mira in oltre 25milioni di attacchi di brute force contro le secure shell. Sono dati provenienti dai sensori di rete Microsoft in circa 30 giorni" ha dichiarato Ross Bevington, ricercatore di sicurezza presso Microsoft che di professione costruisce sistemi honeypot: parliamo di sistemi all'apparenza legittimi ma che servono ad attirare gli attaccanti al loro interno per poterne analizzare la azioni. E' una pratica molto usata dai ricercatori di sicurezza per verificare i trend nel mondo del cybercrime. 

Vediamo i dati nel dettaglio:

• il 77% dei tentativi totali registrati ha usato password tra 1 e 7 caratteri;
• solo il 6% dei tentativi ha visto l'uso di password superiori ai 10 caratteri; 
• soltanto il 7% dei tentativi di brute force ha previsto l'uso di un carattere speciale; 
• il 39% dei tentativi ha almeno un numero;
• 0% di attacchi che ha utilizzato password contenenti spazi vuoti.

I dati ci suggeriscono che la password più solida  (leggasi meno a rischio) è una password lunga almeno 8 caratteri, contenente caratteri speciali e spazi bianchi. Questo ovviamente, ci ricorda Bevington, se la password non è già trapelata precedentemente online: queste finiscono molto spesso nei dizionari usati dagli attaccanti.