Pubblicato l'expoit per sfruttare ProxyNotShell di Microsoft Server Exchange

E' stato pubblicato l'exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.

ProxyNotShell: breve sintesi

Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:

• CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
• CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante. 

Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server" di Microsoft.

Microsoft ha patchato già queste vulnerabilità

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 05 - 11 Novembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 05 - 11 Novembre

La scorsa settimana il CERT ha intercettato e analizzato 36 campagne dannose: di queste 32 sono state mirate contro utenti italiani mentre 4 sono state generiche ma veicolate anche nel cyber spazio italiano. Le famiglie individuate in diffusione sono state 7, con una sovraesposizione del malware Emotet. Ecco il dettaglio:

• Emotet è stato diffuso con 11 diverse campagne a tema Documenti, Pagamenti e Resend. Le email hanno veicolato allegati ZIP e XLS. Per la diffusione sono state usate le parti Epoch5 e Epoch4 dell'infrastruttura di Emotet. Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento;
• AgentTesla è stato diffuso con 6 diverse campagne a tema Pagamenti e Delivery: 2 di queste sono state campagne generiche, ma 4 invece sono state mirate contro utenti italiani. Gli allegati vettore sono stati nei formati 7Z, ACE, IMG e DOC. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• IceID è stato in diffusione con 2 campagne mirate molto insidiose: uno a tema Energia, che ha simulato comunicazioni relative a bollette Enel e una che ha simulato comunicazioni dell'Agenzia delle Entrate. Le email hanno veicolato allegati XLS. Maggior info sul canale Telegram del CERT;

Data breach: in vendita i dati dei clienti di Luxottica

Data breach: in vendita su Breach Forum i dati di 300 milioni di clienti di Luxottica. L'azienda, nel 2021, era già stata colpita da un ransomware. Siamo di fronte ad un nuovo attacco?

Luxottica: i dati in vendita su Breach Forum

Di nuovo, come ormai succede da tempo, i dati di un'azienda italiana finiscono in vendita su Breach Forum, community di black hacker specializzata in rivendita di dati rubati. Stando a quanto riportato dalla redazione di Red Hot Cyber, l'utente che ha pubblicato il post su Breach Forum ha affermato che i dati sono stati sottratti nel 2021. 

Fonte: Red Hot Cyber

Vi si trovano informazioni come:

Kelvin Security: il gruppo di cyber criminali specializzati in data breach colpisce di nuovo in Italia

Kelvin Security, il gruppo di cyber criminali specializzati in data breach ha colpito di nuovo in Italia, pubblicando i dati rubati da un'azienda  italiana. Chi sono e come agiscono.

Kelvin Security: gli attacchi più recenti

Per approcciarsi alla storia di questo gruppo di attaccanti è utile prendere spunto da un episodio reale, accaduto pochi giorni fa, e da prendere come contesto. Qualche giorno fa in BreachForums (forum dell'underground hacking specializzato nella rivendita di dati rubati) è comparso un nuovo post dell'utente KevinSecurity: nel post gli attaccanti mettono in vendita i dati di Norigine Italia, un'azienda farmaceutica con sede a Milano. 

LockBit stringe una nuova alleanza: il malware Amadey Bot per distribuire il ransomware

C'è una novità per quanto riguarda il Ransomware As a Service LockBit: alcuni affiliati hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware

Il malware Amadey Bot viaggia via email

I ricercatori di sicurezza lanciano l'allarme: affiliati del ransomware LockBit hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware. Gli affiliati distribuiscono il malware tramite email di phishing personalizzate per le aziende target. Ad ora le campagne sono state di due tipi: false offerte di lavoro destinate ai dipendenti delle aziende target e presunte notifiche per violazione del copyright. 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Amadey Bot è un malware piuttosto vecchio che presenta tre gruppi principali di funzionalità:

• riconoscimento del sistema bersaglio;
• esfiltrazione dei dati;
• loader di payload. 

I ricercatori hanno però notato come, dall'inizio del 2022, l'attività collegata a questo malware sia andata sempre più intensificandosi. Poi nel Luglio di quest'anno è stata intercettata in diffusione una nuova versione. Nella campagna di Luglio, Amadey ha funto da dropper di diversi malware per il furto dati, soprattutto RedLine. Poi la virata: le campagne recenti distribuiscono il payload di LockBit 3.0.

La catena di infezione

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 29 Ottobre - 4 Novembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 29 Ottobre - 4 Novembre

La scorsa settimana il CERT-agID ha individuato e analizzato 30 campagne dannose: 1 sola è stata generica mentre tutte le altre sono state mirate contro obiettivi italiani. 5 sono state le famiglie malware individuate in diffusione:

• Emotet torna a colpire in Italia dopo 4 mesi di assenza. E' stato diffuso con ben 5 diverse campagne: le solite email con allegati archivio ZIP protetti da password e contenenti file Excel con macro dannosa. Per approfondire > Emotet torna a colpire in Italia;
• AgentTesla è stato diffuso con quattro campagne a tema Pagamenti e Delivery. Le email vettore veicolavano alleati 7Z, ISO e RAR. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• IceID è stato diffuso con una campagna email che simulava l'invio delle bollette Enel: le email sono circolate nel circuito PEC con allegati dannosi XLS;
• Formbook è stato diffuso con una campagna a tema Ordine: le email veicolavano allegati archivio 7Z. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• Qakbot è stato diffuso con una campagna a tema Resend veicolata via email. Gli allegatio erano file archivio ZIP contenenti, al loro interno, file ISO. Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;

IceID in breve:

Vulnerabilità critica in WMware: pubblicati alcuni exploit

Sono stati pubblicati alcuni exploit per una vulnerabilità di esecuzione di codice da remoto pre autenticato che consentirebbero di eseguire codice arbitrario da remoto con privilegi di root su dispositivi Cloud Foundation e NSX Manager non patchati.

La vulnerabilità CVE-2021-3914: qualche info tecnica

La vulnerabilità in questione è la CVE-2021-39144, che si trova nella libreria open source XStream, utilizzata in due prodotti WMware. Ha un punteggio di 9,8 su 10, livello critico: per VMware è così rischiosa che il vendor ha deciso di pubblicare le patch perfino per una serie di prodotti end-of-life.

Attori non autenticati potrebbero sfruttarla da remoto, con un attacco tutto sommato piuttosto semplice che non richiede l'interazione dell'utente. 

VMware è intervenuta già sul problema, pubblicando un alert di sicurezza relativo alla CVE-2021-39144: qui l'alert. La vulnerabilità è già stata risolta, per gli utenti sarà sufficiente l'aggiornamento di XStream alla versione 1.4.19. Contestualmente VMware consiglia anche di patchare una seconda falla, la CVE-2022-31678 che innescare DoS o esporre informazioni in seguito ad attacchi XXE (XML External Entity).

Pubblicati gli exploit per la CVE-2021-39144

Emotet torna a colpire in Italia

Emotet torna a colpire in Italia: la notizia proviene dal CERT, che ha individuato una nuova campagna di distribuzione del malware. Emotet non si vedeva nel nostro paese da 4 mesi.

La nuova campagna di distribuzione di Emotet

Il CERT ha individuato e analizzato una campagna di diffusione di Emotet in Italia. Il malware torna attivo nel nostro paese dopo 4 mesi di assenza: l'ultima campagna individuata contro utenti italiani risaliva infatti al 15 Luglio 22. 

La nuova campagna, circolata via email, veicola un allegato in formato ZIP protetto da password e contenente un classico file XLS con macro dannosa. 

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

La catena di infezione, spiega il CERT, non è cambiata: vi sono 4 dropurl usate dalla macro. Queste, parzialmente leggibili direttamente dal file XLS, conducono al download della libreria DLL a 64BIT di Emotet. Questa DLL viene quindi eseguita con il comando regsvr32

Web Browser: la classifica dei più vulnerabili

Web browser: secondo il report di AtlasVPN non ci sono dubbi, il più vulnerabile è Chrome. 

Classifica dei browser più vulnerabili: una doverosa premessa

Una premessa è d'obbligo: tanto più un software o un sistema operativo è diffuso e popolare tanto più attira l'attenzione. Non solo degli attaccanti, ma anche dei ricercatori di sicurezza e dei "bug hunter", i cacciatori di vulnerabilità. Questo dato di fatto avrà sicuramente influenzato i risultato di questo report, senza però togliere valore a quanto vi è riportato: Chrome è il browser più vulnerabile, lo è molto più di Edge e questo è anche perché Chrome è molto più usato di Edge e quindi attira più ricercatori e attaccanti di quanto non faccia Edge. 

Nulla di diverso da quanto vale anche per i sistemi operativi: di Windows si conoscono molte più vulnerabilità di quante non se ne conoscano per Linux. Windows è più vulnerabile di Linux. 

Finite le premesse, andiamo al sodo

Torniamo quindi al punto centrale: la classifica dei web browser più vulnerabili. Il report completo è disponibile qui > Google Chrome has the most reported vulnerabilities among browsers in 2022

Anzitutto Atlas VPN pone un punto importante: la sicurezza dei web browser è cruciale. Per vari motivi: certo, la sicurezza di tutti i software è importante, ma i browser web sono tra i software più afflitti da vulnerabilità. L'altro motivo è che i web browser sono estremamente popolari e utilizzati: vedono transitare al loro interno, quindi, una enorme mole di dati, molti dei quali anche sensibili e personali. Il che li rende estremamente ghiotti per gli attaccanti. 

Nasce da qui la volontà dei ricercatori Atlas VPN  di stilare la classifica dei browser più vulnerabili. Che è scontata, verrebbe da dire, e rimandiamo quindi alla premessa iniziale. 

Web browser più vulnerabili: Chrome sul gradino più alto del podio

Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo

Botnet Emotet: rilevata una nuova attività collegata alla botnet Emotet. Nella nuova campagna sono usati file PDF ed Excel come esca, mentre l'archivio RAR (protetto da password) contenente il malware si sblocca da sé

La nuova campagna di Emotet

L'alert viene dai ricercatori Trustwave-SpiderLabs: la botnet Emotet è legata ad una nuova ondata di campagne di phishing che sfruttano archivi protetti da password per diffondere due malware sui sistemi infetti. I due malware sono CoinMiner e QuasaRat. La particolarità è che l'archivio, protetto da password, si auto sblocca senza necessità che sia l'utente ad inserire codici per estrarlo ed eseguirne il contenuto. 

Come? Semplicemente, gli attaccanti hanno aggiunto un file batch che fornisce automaticamente le password. Si riduce il ruolo che deve "giocare" l'utente nel corso dell'infezione. Il problema non è secondario, come si è visto di recente, quando il CERT ha segnalato che una campagna di diffusione di sLoad contro il circuito PEC non ha funzionato perché gli attaccanti si sono dimenticati di allegare al corpo email la password per estrarre l'archivio. 

La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.

Per saperne di più > La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

Emotet: dettagli di diffusione

Il malware Ursnif cambia strategia: dal furto di account bancari a accesso iniziale nelle reti (per i ransomware?)

E' stata individuata una nuova versione del malware Ursnif che presenta soltanto funzionalità da backdoor: non c'è traccia delle funzionalità, caratteristiche di Ursnif, da trojan bancario. Un cambiamento molto indicativo per questo malware diffuso a livello mondiale e, molto spesso, anche in Italia: potrebbe infatti significare che Ursnif sta mutando funzioni. Non punta più a rubare gli account bancari ma si specializza nell'aprire punto di accesso iniziale su reti bersaglio. E' pronto il debutto nelle operazioni ransomware?

La nuova variante di Ursnif LDR4

La nuova variante, nome in codice LDR4, è stata individuata a Giugno e si sospetta che sia stata diffusa dagli stessi autori che hanno mantenuto la versione RM3 negli anni passati.

Le varianti Ursnif circolate negli ultimi anni. Fonte: Mandiant

La nuova campagna di diffusione di Ursnif

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 8 - 14 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla c0nsapevolezza. 

I malware della settimana 8 - 14 Ottobre

La scorsa settimana il CERT AgID ha individuato e analizzato 24 campagne dannose che hanno preso di mira utenti italiani. Le famiglie malware individuate in diffusione sono state 7. In dettaglio sono state:

• Remcos è stato diffuso con due campagne a tema Documenti e Preventivo: le email veicolavano allegati archivio in formato RAR;
• Avemaria è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegati in formato 7Z;
• Guloader è stato diffuso con una campagna a tema Pagamenti. Le email veicolavano allegati GZ;
• AgenTesla è stato diffuso con una campagna a tema Delivery. Le email veicolavano allegati GZ. Si registra l'uso di Guloader come downloader. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con una campagna a tema Banking. Le email veicolavano archivi RAR. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• sLoad dopo due mesi di silenzio torna in diffusione in Italia. La campagna è stata a tema Pagamenti ed è circolata nel circuito PEC. Gli attaccanti hanno però compiuto un errore, veicolando un archivio ZIP protetto da password senza inserire la password nel corpo email: questo ha, per adesso, impedito le infezioni. Qui il report dettagliato del CERT su questa campagna;
• Brata è stato diffuso con una campagna veicolata via SMS e mirata contro utenti Android. L'SMS, a tema banking, conteneva un link che conduceva al download di un APK dannoso. Per approfondire > Brata, il RAT per Android diffuso in Italia, si evolve in minaccia persistente. Ora intercetta gli SMS e le OTP. 

Remcos in breve:

La Polizia olandese beffa il gruppo ransomware DeadBolt: ottenute 155 chiavi di decriptazione

La Polizia olandese, in collaborazione con alcune aziende di cyber sicurezza, ha truffato il gruppo ransomware DeadBolt, sottraendo loro oltre 155 chiavi di decriptazione. 

Il ransomware DeadBolt e le ondata di attacchi contro i NAS Qnap

Di DeadBolt abbiamo già parlato: è un ransomware che si è specializzato negli attacchi contro i NAS del vendor QNAP. L'Italia è stata riguardata in due diverse ondate di attacchi, risalenti al Febbraio e al Settembre 2022.

L'operazione ransomware DeadBolt è iniziata nel Gennaio del 2022 prendendo fin da subito di mira i NAS Qnap: nel Febbraio del 2022 il raggio di azione si è allargato, fino ad andare a colpire i NAS ASUSTOR. Nella quasi totalità dei casi, gli accessi ai NAS Qnap sono stati dovuti all'exploit di vulnerabilità 0-day. 

Per approfondire > Ancora NAS QNAP, ancora ransomware: DeadBolt colpisce in Europa, Italia compresa (Febbraio 2022)

NAS QNAP: ennesima campagna ransomware in corso. Ma il vendor ha già reso disponibile la patch (Settembre 2022)

La Polizia olandese truffa i truffatori

Microsoft Exchange: nuova vulnerabilità 0day sfruttata dal Ransomware Lockbit

Microsoft ha individuato un'ondata di attacchi legati alla campagna ransomware Lockbit: sta sfruttando una nuova vulnerabilità 0day.

Microsoft sta analizzando una serie di segnalazioni relative all'uso di una vulnerabilità 0day sfruttata dal servizio ransomware Lockbit per attaccare i server Exchange. La prima individuazione di attacchi che sfruttano questa 0day in realtà risale al Luglio 2022: in questo caso gli attaccanti, affiliati di Lockbit, hanno usato una webshell distribuita in precedenza su un server Exchange per l'escalation dei privilegi di amministrazione nell'Active Directory. Sono così riusciti a rubare più di 1 TB e a criptare i sistemi aziendali.  I ricercatori di AhnLab, che per primi hanno analizzato la 0day, riferiscono che gli attaccanti hanno impiegato una settimana per acquisire l'account admin dell'Active Directory. La compromissione è stata possibile grazie, appunto, ad una "0-day non divulgata". 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Nuova vulnerabilità 0day di Microsoft Exchange

Anatomia di BluStealer, il nuovo malware per il furto dati distribuito in Italia

Alla fine è arrivato anche in Italia, come indicato dal CERT nell'ultimo report settimanale sulle minacce informatiche circolate nel nostro paese. Parliamo del malware per il furto dati BluStealer

BluStealer: la campagna di diffusione individuata dal CERT

Il CERT ha pubblicato un lungo reportage su BlueStealer, dopo aver individuato per la prima volta nel nostro paese una campagna di diffusione di questo malware. Le email erano a tema Bonifici e emulavano comunicazioni ufficiali di un fantomatico Istituto di Credito Relax Banking. Nel corpo email erano visibili in anteprima due file PDF, pensate per indurre l'utente a cliccarci sopra. Il click sulle anteprime conduceva al download di un file ISO. L'infezione inizia con l'apertura di questo file. 

Fonte: https://cert-agid.gov.it/

L'email risulta proveniente da una macchina facente parte di un servizio localizzato negli Stati Uniti, le due "anteprime PDF" altro non sono che immagini contenenti il link che punta al download del file ISO

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 1-7 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 1 - 7 Ottobre

La scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose: 18 sono state mirate contro gli utenti italiani, 4 sono invece state generiche ma circolate comunque nel cyber spazio italiano. 

Le famiglie malware individuate in diffusione sono state 8: tra tante conferme, c'è una novità. E' stato individuato in diffusione per la prima volta in Italia il malware per furto dati BluStealer. Ecco qui i malware diffusi:

• Formbook è stato diffuso con due diverse campagne email, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati dannosi nei formatiLZH e RAR.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• BluStealer è stato diffuso per la prima volta in Italia con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email  contenevano un link che rimanda al download di un file in formato ISO.
  Rimandiamo al dettagliato approfondimento del CERT per approfondire questa minaccia;
• Qakbot è stato diffuso con due campagne mirate, una a tema Resend e una a tema Pagamenti. Il corpo email conteneva un link che conduce al download di un archivio ZIP. Entro l'archivio sono presenti file ISO, LNK o XLSB.
  Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;
• Lokibot è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati RAR;
• SMSRat è stato diffuso con una campagna circolata via SMS e rivolta ad utenti Android. Gli SMS erano a tema banking e contenevano un link che portava al download di un APK dannoso;
• AgentTesla è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati dannosi in formato XLSX.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Remcos è stato diffuso con una campagna a tema Documenti diffusa vie email con allegati RAR;
• IceID è stato diffuso con una campagna fale di Agenzia Entrate e Riscossione: le email veicolavano allegati XLS dannosi. La campagna ha riguardato anche indirizzi PEC. 

Lokibot in breve

Industrial Spy: il marketplace di dati rubati lancia il suo ransomware. Ha già colpito in Italia

Industrial Spy nasce come marketplace dove comprare dati rubati. Da qualche settimana è però diventata anche una operazione ransomware che ha già colpito utenti italiani.

Abbiamo ricevuto richieste di assistenza da parte di utenti italiani per la risoluzione dell'infezione ransomware Industrial Spy. Con i nostri partner tecnologici stiamo analizzando l'infezione: ad ora questa non ha soluzione, quindi ci limitiamo a fornire una prima analisi tecnica e qualche misura di mitigazione.

Industrial Spy: dal marketplace al ransomware

Nell'Aprile di quest'anno un gruppo di cyber attaccanti ha lanciato un nuovo marketplace di dati rubati. Vi si trovano in vendita i dati rubati da aziende e organizzazioni, ma i gestori offrono anche dataset gratuiti agli affiliati. La particolarità di Industrial Spy è che si promuove come un marketplace nel quale le aziende possono acquistare i dati della concorrenza, ottenendo l'accesso a segreti commerciali, report, database dei clienti, progetti, diagrammi di produzione ecc...

Dall'altro lato, il marketplace era già usato come metodo di estorsione verso le vittime "bucate" dagli attaccanti: in pratica le aziende attaccate vengono minacciate di pubblicazione dei dati rubati proprio in questo marketplace. Un pagamento in criptovalute scongiurerebbe la pubblicazione di dati critici. In pratica lo stesso identico meccanismo utilizzato dalle campagne ransomware che, come secondo o terzo livello di estorsione oltre alla criptazione dei dati, usano proprio la minaccia di pubblicazione dei dati rubati. Non solo: tra i dati in vendita se ne trovano alcuni provenienti proprio da aziende già in passato vittime di operazioni ransomware.

Insomma il marketplace Industrial Spy aveva già un piede nel mondo dei ransomware e ora ha deciso di entrarci "mettendosi in proprio".

Ransomware Industrial Spy: cosa sappiamo per adesso?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 24 - 30 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 24 - 30 Settembre

La scorsa settimana il CERT ha individuato e analizzato 20 campagne dannose attive nel cyber spazio italiano: 17 sono state mirate contro obiettivi italiani, 3 invece sono state generiche. Le famiglie malware in distribuzione sono state 6:

• AgenTesla è stato distribuito con 4 diverse campagne a tema Informazioni e Pagamenti. Le campagne email sono state 2 generiche e 2 mirate contro utenti italiani. Le email veicolavano allegati GZ, 7Z e IMG. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con due campagne, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati ZIP e ISO. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;

Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

Microsoft ha confermato la scoperta di due vulnerabilità 0-day in Microsoft Exchange Server 2013, 2016 e 2019. Le due vulnerabilità sono:

• CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
• CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante. 

Queste le descrizioni brevi di Microsoft rispetto alle due vulnerabilità: la corporation ha comunque fatto sapere di essere già al lavoro per produrre i fix necessari a "tappare" le due falle. 

"Al momento, Microsoft è a conoscenza di attacchi mirati che stanno sfruttando queste due vulnerabilità per accedere ai sistemi degli utenti" ha dichiarato Microsoft.

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che al momento queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Le due 0-day sono in uso in attacchi reali contro le aziende

Anatomia di Hydra, il nuovo banking trojan diffuso in Italia

Individuato in diffusione la scorsa settimana dal CERT, non si era mai visto in Italia. Arriva Hydra, il trojan bancario diffuso via SMS.

La campagna di diffusione della scorsa settimana

Il CERT-AgID ha individuato, assieme a D3Lab, un nuovo malware pensato per i dispositivi Android che non era mai stato intercettato in Italia: il malware si chiama Hydra ed è stato diffuso la scorsa settimana con una campagna di smishing mirata contro utenti italiani. 

Il malware è stato diffuso via SMS contenenti un link che conduce ad una pagina di download. Questa pagina risulta visibile solo nel caso in cui  il browser presenti uno user agent Android. Il file dannoso, in formato APK, è hostato su un server Discord e da lì viene scaricato.  La pagina di download si presenta come una pagina dove scaricare o aggiornare l'APP per transazioni in criptovalute CoinBase.

Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati

Pessima notizia che potrebbe segnare un cambio di passo nelle strategie ransomware: è stata individuata in diffusione una versione di BlackCat che, una volta rubati i dati, non cripta quelli rimasti nella macchina, ma li distrugge. Dopo il modello del Ransomware as a service, dei leak site e della tripla estorsione, siamo di fronte all'ennesima evoluzione del mondo ransomware? 

BlackCat "sposa Exmatter", il modulo distruggi-dati

La nuova versione di BlackCat che distrugge i dati è stata individuata dalla società di sicurezza informatica Cyderes. La particolarità di questa versione è quella di portare con sé, oltre alle classiche funzionalità di esfiltrazione dei dati, anche un modulo chiamato Exmatter. 

Exmatter è un tool di esfiltrazione dati in .NET  ed è sviluppato per prendere alcuni tipi specifici di file da cartelle selezionate e caricarli in server controllati dagli attaccanti, prima che il ransomware entri in esecuzione e avvii la routine di criptazione. Va detto, è già usato da molte operazioni ransomware, non solo BlackCat. Il punto è che il gruppo BlackCat lo utilizza in una maniera del tutto nuova. 

Questa versione di Exmatter infatti tenta di corrompere i file nel sistema bersaglio anzichè criptarli: in pratica li mette in fila per distruggerli. Infatti, la prima operazione compiuta da Exmatter è quella di generare la coda dei file rispondenti ad una lista di estensioni bersaglio: questa lista è "hard-coded" nel tool stesso. La coda viene composta proprio mettendo in fila tutti i file con le estensioni target. Questi file vengono quindi esfiltrati verso server controllati dagli attaccanti. Una volta esfiltrati, i dati sono aggiungi in una nuova coda per essere processati da una classe che si chiama Eraser. In dettaglio un segmento di dati di dimensioni arbitrarie che inizia all'inizio del secondo file viene letto in un buffer, quindi scritto all'inizio del primo file: in pratica viene sovrascritto e danneggiato. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

Ulteriori analisi hanno individuati altri dettagli

Attacchi ransomware: Italia prima in Europa, settima nel mondo

Il "Report sulla cybersecurity del primo semestre 2022" di Trend Micro non lascia spazio a interpretazioni: i gruppi ransomware hanno scelto l'Italia come bersaglio preferito. Il numero di attacchi è addirittura aumentato rispetto al 2021

Ransomware: bad news per l'Italia

L'Italia è al primo posto per numero di attacchi ransomware per il periodo Gennaio - Marzo 2022. Se guardiamo alla classifica mondiale invece siamo la 7° nazione più colpita al mondo. Più in generale, siamo in testa in Europa anche per attacchi malware subiti, terzi nel mondo.

Ecco qualche numero.

Classifica attacchi ransomware nel mondo:

• Stati Uniti (19,69%), 
• Giappone (10,18%), 
• Turchia (7,97%), 
• India (5,11%), 
• Taiwan (4,29%), 
• Messico (4%), 
• Italia (3,56%), 
• Olanda (3,26%), 
• Francia (3,08%), 
• Germania (2,96%).

In questa classifica, l'Italia è prima in Europa. LockBit e Conti i due ransomware più aggressivi, facendo registrare un +500% su base annua di attacchi. nei primi sei mesi del 2022 hanno raddoppiato il numero dei rilevamenti. Ora, come raccontato qui, Conti è un'operazione ransomware abbandonata che però si è "divisa" in mille rivoli di altre operazioni ransomware e malware ed è responsabile del ritorno in attività della botnet Emotet. 

Classifica attacchi macro - malware

L'anello debole della sicurezza informatica: hacker 18enne viola i sistemi di Uber mandando una email ad un dipendente

Stiamo parlando di Uber, il colosso della mobilità condivisa a basso costo. Che spende milioni di dollari in cyber sicurezza. Eppure Uber è stata "bucata" qualche giorno fa:

"sembra che abbiano compromesso molte cose” e "da quello che sembra, si tratta di una compromissione totale" ha dichiarato Sam Curry, un ingegnere informatico tra i primi a comunicare con l'attaccante. L'attaccante infatti ha dimostrato di aver fatto irruzione, con accesso completo, anche negli ambienti cloud aziendali ospitati su Amazon e Google, dove Uber archivia sia dati che codice sorgente. Non solo: l'attaccante ha fornito anche prove che confermano che ha avuto accesso alla rete Slack interna della società. 

Uber è stata costretta a disattivare i sistemi di comunicazione e di ingegneria interni, per analizzare l'incidente e minimizzare i rischi. Certo è che il data breach è avvenuto, come confermato dalla società stessa su Twitter.

We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.

— Uber Comms (@Uber_Comms) September 16, 2022

La società ha anche diramato un comunicato ufficiale, consultabile integralmente qui 

Come un 18enne ha violato la sicurezza informatica di un colosso

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 10 - 16 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 10 - 16 Settembre

La scorsa settimana il CERT ha individuato e analizzato 24 campagne dannose mirate contro utenti italiani e 2 campagne generiche veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 5, diffuse con sette diverse campagne:

• AgentTesla è stato diffuso con due campagne mirate a tema Ordine. Le email veicolavano allegati dannosi nei formati ISO e RAR. Una campagna è stata veicolata tramite Guloader.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con due campagne mirate, uno a tema Contratti e uno a tema Pagamenti. Le email veicolavano allegati nei formati ZIP e IMG. Anche in questo caso è stato usato Guloader come loader del malware.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;

La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

I ricercatori di sicurezza monitorano attentamente le attività della botnet Emotet: d'altronde resta una delle principali minacce alla sicurezza informatica di singoli utenti, aziende ed enti. Recentemente i ricercatori hanno fatto una pessima scoperta, che dimostra non solo come Emotet sia definitivamente tornata in attività, ma anche di come il gruppo che la gestisce sia molto attivo anche nello stipulare "partnership".

Come raccontato già in precedenza, la botnet Emotet era stata abbattuta da una coalizione di forze dell'ordine internazionali ad inizio 2021: fu con grande sforzo del gruppo ransomware Conti che la botnet è stata rimessa in piedi ed ha iniziato a distribuire il ransomware Conti.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

D'altronde la botnet Emotet porta un grande vantaggio ai gruppi ransomware e non solo, dato che fornisce il vettore iniziale di attacco, o precursore, per molteplici attacchi. 

Nel Giugno 2022 però si è sciolto il gruppo che gestiva il ransomware Conti, quindi la botnet ha trovato nuovi partner. Le analisi hanno indicato che al momento Emotet ha iniziato a distribuire i ransomware Quantum e BlackCat.

In dettaglio, spiegano i ricercatori, la botnet Emotet viene attualmente usata per distribuire un beacon di Cobalt Strike sui sistemi infetti. Cobal Strike è aa tutti gli effetti un payload di seconda fase e consente agli attaccanti di spostarsi lateralmente lungo le reti infette. Il payload del ransomware viene quindi distribuito nella rete della vittima. Il flusso è quindi identico alle modalità con cui veniva in precedenza distribuito Conti, con la differenza che il vettore di accesso iniziale non è più TrickBot. 

Emotet è più attiva che mai

Il ransomware LockBit colpisce aziende ed istituzioni: online i dati rubati al Comune di Gorizia

Certo, è impossibile (né è nostro scopo) elencare dettagliatamente tutti gli attacchi informatici avvenuti in Italia negli ultimi giorni. Alcuni però sono importanti, sia perché indicano tendenze sia perché indicano, invece, gravi mancanze dalle quali si può sempre imparare. 

Per approfondire > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC

LockBit colpisce la Software Line e il Comune di Gorizia

LockBit 3.0 è ormai, indubbiamente, in vetta e saldamente al comando tra le operazioni Ransomware: il più efficace, il più efficiente, quello che miete più vittime. In Italia ormai ve n'è una distribuzione costante e, di settimana in settimana, aumentano le vittime: di conseguenza continueremo, come stanno facendo giustamente tutti i nostri colleghi di settore, a lanciare l'allarme sul pericolo ransomware e sull'urgenza, ormai irrimandabile, di correre ai ripari. 

In ordine di tempo, l'attacco più recente segnalato dagli attentissimi esperti di red Hot Cyber è stato quello della Software Line, comparsa pochi giorni fa nel leak site di LockBit 3.0: il countdown  per il pagamento del riscatto è fissato al 24 Settembre. 

Fonte: Red Hot Cyber

Come si può vedere, al countdown sono allegati alcuni sample che, come da consuetudine, servono a provare che l'attacco è realmente avvenuto e riuscito. 

I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

Un numero crescente di gruppi ransomware sta adottando una nuova tecnica per criptare i dati presenti nei sistemi bersaglio: questa nuova tecnica li aiuta a velocizzare la criptazione, quindi riduce la possibilità che le soluzioni EDR o semplicemente antivirus possano individuare e bloccare la routine di criptazione. 

Questa tecnica si chiama criptazione intermittente e consiste nel criptare soltanto parti del contenuto dei file sotto attacco: i file saranno comunque inaccessibili e irrecuperabili senza ottenere la chiave di decriptazione, ma è indubbio che "il lavoro" che deve svolgere il ransomware si riduce drasticamente. E con esso il tempo necessario per criptare un intero sistema. Per parlare concretamente: saltare ogni 16 byte di file consente di criptare un file nella metà del tempo che solitamente occorrerebbe per una criptazione completa. Il risultato non cambia però: il contenuto del file diviene inaccessibile. 

C'è un secondo vantaggio, per gli attaccanti: la criptazione è più leggera, più blanda quindi è più complesso, per gli strumenti di rilevamento automatico che si basano sull'individuazione degli attacchi rilevando e segnalando pesanti operazioni di modifica sui file. 

Per saperne di più > Il fattore tempo: quale ransomware cripta più velocemente i dati?

La criptazione intermittente è sempre più diffusa

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 - 9 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 3-9 Settembre

La scorsa settimana il CERT ha individuato e analizzato 28 campagne dannose: di queste 25 sono state mirate contro obiettivi italiani mentre 3 sono state generiche, ma hanno comunque colpito il cyber spazio italiano. 

Sono state 4 le famiglie di malware individuate in diffusione. Soltanto 7 le campagne dannose che hanno diffuso malware: 

Infrastrutture energetiche italiane sotto attacco ransomware: GSE, Eni e Canarbino colpite in pochi giorni

Le infrastrutture energetiche italiane stanno subendo un'ondata di attacchi ransomware. Da GSE ad ENI, passando per Canarbino, qualcuno sta puntando ad infrastrutture critiche del nostro paese

BlackCat attacca GSE: dopo una settimana è tornato online solo il sito web

GSE, Gestore dei servizi energetici, è una società pubblica controllata dal Ministero dell'economia e delle finanze. Si occupa di energie rinnovabili. Nella notte tra il 28 e il 29 Agosto 

"il Gse è stato vittima di un attacco informatico per mezzo di un malware di ultima generazione. Al fine di mettere in sicurezza i dati e i sistemi informativi, il sito internet e i portali sono stati resi temporaneamente indisponibili”

come ha fatto sapere il gestore stesso, dichiarando anche di aver tempestivamente segnalato l'attacco alle autorità competenti. Il sito web è finito offline e il ripristino è riuscito solo pochi giorni fa. L'attacco è stato rivendicato da una vecchia conoscenza, che in Italia si è già fatta notare più volte: parliamo dell'operazione ransomware BlackCat. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

La rivendicazione è avvenuta, come da consuetudine, nel leak site di Black Cat: qui gli attaccanti affermano di aver esfiltrato 700 GB di dati dall'infrastruttura GSE

Fonte: leak site di BlackCat / ALPHV

NAS QNAP: ennesima campagna ransomware in corso. Ma il vendor ha già reso disponibile la patch

QNAP sta avvisando i clienti riguardo una campagna di diffusione del ransomware DeadBolt, iniziata Sabato scorso. Questa campagna sta sfruttando una vulnerabilità 0-day, cioè sconosciuta prima degli attacchi, presente nella Photo Station. 

Viste le numerose richieste di assistenza per attacchi ransomware su NAS QNAP che continuiamo a ricevere, pensiamo sia importante far sapere che QNAP ha risolto la vulnerabilità sfruttata da questa operazione ransomware per criptare i dispositivi. 

La campagna ransomware DeadBolt contro i NAS QNAP

"QNAP ha scoperto che la minaccia alla sicurezza DeadBolt sfrutta una vulnerabilità presente in Photo Station per criptare i NAS QNAP direttamente connessi ad internet" spiega il vendor nel relativo avviso di sicurezza. 

Gli attacchi sono iniziati Sabato scorso. 

QNAP ha risolto la vulnerabilità 0-day: cosa devono fare gli utenti per mettersi in sicurezza

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 27 agosto – 2 settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 27 Agosto - 2 Settembre

Il CERT ha individuato e analizzato 14 campagne dannose mirate contro utenti italiani e 1 generica. Le famiglie di malware in diffusione sono state 5:

• Guloader è stato diffuso con due campagne a tema Pagamenti. Una campagna è stata mirata contro utenti italiani, una invece generica ma diffusa anche nel cyber spazio italiano. Le email veicolavano allegati dannosi DOC e RTF con sfruttamento della vulnerabilità di Office CVE-2017-11882  e allegati IMG;
• Formbook è stato diffuso con due campagne mirate contro utenti italiani, una a tema Pagamenti e una a tema Documenti. Le email veicolavano allegati ZIP e XZ.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia
• AgenTesla è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegato GZ compromessi.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia
• IceID è stato diffuso con una campagna a tema Resend. Le email veicolavano allegati ZIP.
  Per approfondire > IceId- un nuovo, sofisticato Trojan bancario: un'analisi tecnica dei Lab di sicurezza Quick Heal
• Ursnif è stato diffuso con una campagna a tema Agenzia delle Entrate. Le email veicolavano allegati compromessi XLS e XLSM. Qui l'alert pubblicato dal CERT sul proprio canale Telegram 

Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 27 Agosto - 2 Settembre

Le campagne di phishing individuate e analizzate sono state 9 e hanno coinvolti 4 brand, quasi tutti legati al settore bancario. La maggior parte delle campagne infatti sono state o a tema Banking o a tema Pagamenti (Formbook e Guloader). Sono state individuate anche campagne mirate al furto delle credenziali di accesso alle web mail: il tema più sfruttato a questo fine è stato quello della Riattivazione di account.

Tra i brand principali sfruttati dagli attaccanti per gli attacchi di phishing troviamo IntesaSanPaolo, Poste e Bper, quindi Aruba.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore 

I formati di compressione (archivi) l'hanno fatta da padroni: ZIP , GZ  e XZ occupano saldamente il podio. Si confermano i formati file più apprezzati per nascondere malware. Nuovamente, ricordiamo di fare attenzione ai file Office con macro attivabili. 

Fonte: https://cert-agid.gov.it

Italia: i ransomware non vanno in vacanza e ce lo hanno ricordato. Cronaca di un'Agosto difficile

Il mese di Agosto ha visto molteplici attacchi contro aziende ed enti pubblici italiani. Una breve panoramica, che ci ricorda che i ransomware non vanno in vacanza e sono una minaccia che può colpire chiunque.

Aziende italiane: Lockbit scatenato

Della nuova, famigerata, versione di Lockbit, la 3.0, abbiamo già parlato qui per una infarinatura di tipo tecnico e relativa alle tecniche estorsive. Non ci dilunghiamo oltre. Il punto semmai è che, dopo poche settimane di test, si può dire che Lockbit si conferma uno dei ransomware più efficaci e attivi presenti nel panorama delle cyber minacce. Italia inclusa. Si conferma la strategia utilizzata da questo gruppo ransomware di commisurare le richieste di riscatto alle effettive disponibilità economiche delle vittime. 

Nel mese di Agosto ha colpito e messo sotto ricatto alcune aziende italiane, dandone notizia sul proprio leak site nel dark web. Tra queste figura lo studio di consulenza del lavoro Studio Barba: la rivendicazione dell'attacco è stata pubblicata il 24 Agosto, il 1° Settembre scade il countdown e i dati rubati potrebbero venire pubblicati.

Nuovo ransomware bersaglia i NAS Qnap: Checkmate è già in diffusione in Italia

Stiamo ricevendo molte segnalazioni e richieste di supporto da parte di utenti italiani di NAS Qnap colpiti da attacco ransomware. La nuova minaccia si chiama Checkmate.

Il nuovo ransomware Checkmate: è specializzato in NAS Qnap

Il vendor QNAP ha pubblicato un alert relativo ad una nuova operazione ransomware che sta bersagliando i NAS QNAP: il malware si chiama Checkmate e mira alla criptazione di tutti i dati contenuti nei NAS. Nell'alert l'azienda spiega che Checkmate mira i dispositivi QNAP esposti sul web con i servizi SMB attivi e account con password deboli facilmente cracckabili con attacchi di brute-force. Le prime analisi hanno infatti portato a scoprire che il ransomware utilizza un attacco a dizionario per accedere agli account protetti con password deboli. Una volta che gli attaccanti hanno violato l'account, eseguono login da remoto sul dispositivo esposto: procedono quindi a distribuire il ransomware 

Checkmate è stato individuato in diffusione per la prima volta intorno al 28 di Maggio: è individuabile a colpo d'occhio perché aggiunge ai file criptati l'estensione .checkmate e la nota di riscatto si chiama !CHECKMATE_DECRYPTION_README. Nella foto sotto, la nota di riscatto: mediamente sono richiesti 15.000 dollari in Bitcoin.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 settimana di Luglio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Luglio

La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l'Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l'assenza di campagne di distribuzione di Emotet. 

• Brata è stato diffuso con due campagne a tema Banking circolate via SMS. Il messaggio contiene un link che porta al download dell'APK dannoso;
• Lokibot è stato in diffusione con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email vettore contengono allegati IMG, contenenti VBS e UUE;
• Formbook è stato diffuso con due campagne, una generica e una mirata contro utenti italiani, a tema Contratti e Pagamenti. Gli allegati vettore sono in formato XZ e 7Z;
• Guloader è stato diffuso con due campagne a tema Preventivo. Le email contengono allegati GZ. Su Guloader il CERT ha pubblicato uno specifico report, disponibile qui;