lunedì 31 gennaio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Gennaio 2022


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana
Nel corso della scorsa settimana, il CERT-Agid ha individuato e sottoposto ad analisi 56 campagne dannose: di queste, 52 erano mirate contro utenti italiani mentre 4 sono state campagne generiche ma veicolate anche in Italia.

Le famiglie malware in diffusione sono state 6. Ecco il dettaglio:

venerdì 28 gennaio 2022

Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota


Che il mondo del cyber crime stia evolvendo continuamente è sotto gli occhi di tutti. Nuove tecniche di attacco, meccanismi di intrusione, vulnerabilità sconosciute... insomma per stare al passo coi tempi anche le difese devono adattarsi alle novità degli attaccanti. Del principio di sicurezza multilivello abbiamo già parlato qui, non ci dilunghiamo.

E' a questo principio che va affiancato quello che è corretto definire come un nuovo approccio, una nuova metodologia di cyber security: parliamo del modello "zero trust", basato sul principio "non fidarti mai di nessuno", letteralmente.

ZeroTrust: perchè
partiamo dal principio. Le novità che hanno indotto alla necessità di un approccio zero trust sono due, fondamentalmente: il primo è la (ri) scoperta della centralità dell'infrattruttura IT per le aziende, resa evidentente dal ricorso massivo allo smart working e, in generale, alle forme di lavoro remoto conseguenti alla pandemia. Il secondo è invece l'evidente cambiamento nelle metodologie di attacco e, sopratutto, le tecniche di elusione evasione. Gli attaccanti cioè sono sempre più attenti a cercare di evadere o eludere le soluzioni di sicurezza attive nella rete bersaglio, riuscendo anche sempre più spesso ad arrestarle.

Per approfondire > ZeroTrust: per l'agenzia di Sicurezza Nazionale U.S.A e Microsoft questo è l'unico approccio valido alla cybersecurity

Esempi sul tema ve ne sarebbero a migliaia: rimanendo in Italia potremmo parlare di Lockbit, un ransomware che sta colpendo duramente sia enti che aziende italiane e che è stato il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo. E' una tecnica nuova, mai vista, e che richiede misure di mitigazione specifiche.

giovedì 27 gennaio 2022

LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali

 


Lockbit ha bisogno di poche presentazioni, i fatti parlano per lui/loro: in Italia si devono a questo gruppo ransomware molti attacchi, recenti e meno recenti. L'ultima vittima in ordine cronologico è Bricofer Italia, nota azienda di vendita al dettaglio di materiali per bricolage e edilizia: oltre 2000 file rubati, una richiesta di doppio riscatto (per non rendere pubblici i dati e per renderli di nuovo accessibili all'azienda). Lockbit è però anche il ransomware che ha devastato il sistema sanitario regionale del Lazio, che sta ricattando proprio in queste settimane la regione Veneto per i dati rubati dall'ASL di Padova. Ancora: Lockbit 2.0 ha colpito anche piccole e medie aziende come Acquazzurra Firenze, noto calzaturificio attivo nel settore del lusso, ERG SPA la nota compagnia italiana dell'energia, GiCinque Srl, Mascherpa Tecnologie Gestionali e terminiamo qui la lista per non annoiarvi.

Già a fine 2020 Lockbit aveva colpito duramente in Italia (ne abbiamo parlato qui ), poi si è evoluto nella versione attuale, famosa e famigerata: Lockbit 2.0. Versione che oltre a non presentare falle nella criptazione tali da consentire di "forzare" l'algoritmo e riportare in chiaro i file, è stata anche la prima in assoluto, nel mondo dei ransomware, a rendere completamente automatizzata la criptazione dei domini Windows sfruttando le policy di gruppo.

Qui, per chi volesse, ci sono alcuni dettagli tecnici: Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

La criptazione delle macchine virtuali VMware ESXi

mercoledì 26 gennaio 2022

Attenzione ai vostri siti web: Let's Encrypt revocherà migliaia di certificati SSL in due giorni



Let's encrypt è un authority di certificazione no profit di Internet Security Research Group (ISRG): fornisce gratuitamente le certificazioni per la criptazione TLS sui siti web ed è popolarissima. Attualmente conta oltre 221 milioni di certificazioni attive.

La novità che può interessare i gestori di siti web che provvedono ai certificati TLS / SSL tramite Let's Encrypt  è che sono irregolari tutti i certificati SSL / TLS emessi negli ultimi 90 giorni: dal 28 Gennaio Let's Encrypt revocherà i certificati non validi. L'ISRG è stato avvisato da terze parti che ha esaminato il repository del Boulder di Let's Encrypt e ha riscontrato due irregolarità nel metodo di convalida "TLS using ALPN".

Per saperne di più, l'annuncio di Let's Encrypt nella community > 2022.01.25 Issue with TLS-ALPN-01 Validation Method

venerdì 21 gennaio 2022

Il CERT individua una variante made in Italy del ransomware Chaos: attacca singoli utenti

Il CERT AGID, su segnalazione di alcuni ricercatori di sicurezza, ha analizzato una variante del ransomware Chaos in distribuzione in Italia in queste ultime due settimane.  La nota di riscatto è interamente in lingua italiana e sfrutta come tema la Polizia di Stato e la presunta presenza di materiale pedopornografico nel dispositivo infetto. 

La nota di riscatto viene generata al termine della criptazione dei file, mentre lo sfondo desktop viene sostituito con la foto di due agenti di Polizia. 

La nota di riscatto

L'ammontare del riscatto è assolutamente irrisorio rispetto alla media dei ransomware, ma la cosa si deve all'evidenza che questo ransomware non è pensato per attacchi mirati contro aziende ed enti pubblici, ma contro singoli utenti dai quali non si possono "cavare" riscatti di entità importante. E', un ritorno alle origini: se negli ultimi anni si sono specializzati in attacchi mirati per richiedere alti riscatti, in origine i ransomware puntavano più sulla quantità che sulla qualità delle vittime. Campagne come queste, che richiedono riscatti scarni, sono pensati per la diffusione massiva contro singoli utenti che, si presume, non sono dotati di strumenti di cyber security avanzati come quelli aziendali. 


Pagare il riscatto non fa rientrare in possesso dei file

martedì 18 gennaio 2022

L'assalto ai dati sanitari in Italia: ransomware contro le ASL

La corsa ai dati sanitari ormai non è una novità. Sia che lo facciano aziende legittimamente (più o meno) sia che lo facciano cyber attaccanti in maniera illegale poco conta, il dato è certo: i dati sanitari sono molto appetibili. Di ransomware che hanno colpito ospedali, istituti medici, ambulatori ne abbiamo scritto a bizzeffe, ma nella maggior parte dei casi questi eventi sono avvenuti all'estero con un'alta concentrazione negli Stati Uniti, fermo restando che in Europa, in Germania in dettaglio, si è registrato il primo caso di decesso dovuto ad attacco ransomware: una terribile tragedia che spinse alcuni dei principali gruppi Ransomware a dichiarare (alcuni lasciando le parole al vento, altri praticando davvero la risoluzione) di non voler attaccare più strutture ospedaliere e, nel caso fosse successo, di garantire la decriptazione gratuita dei dati. 

Per approfondire > Attacchi hacker, dati sanitari in pericolo: la lista segreta dei 35 ospedali colpiti - di Milena Gabanelli e Simona Ravizza

Tanta "nobiltà d'animo" non è però ad appannaggio di tutti i cyber criminali: gli attacchi contro strutture del settore sanitario sono in costante crescita e ormai sono sbarcati in Italia. Non torneremo di nuovo sulla vicenda che ha riguardato la Regione Lazio (ne abbiamo parlato qui e qui), ma raccontiamo altri due eventi che hanno portato al furto e alla divulgazione online di dati sanitari (che, ricordiamo, godono di tutela rafforzata conseguente alla sensibilità che il GDPR riconosce loro): il primo è l'attacco subito, pochissimi giorni fa, dall'ASL Napoli 3, mentre dell'altro, ovvero l'attacco all' USLL Euganea di Padova abbiamo già parlato qui ma ci sono aggiornamenti. 

Per approfondire > Italia sotto un diluvio di attacchi informatici: nuove vittime ASL Roma 3, Artsana, ASL 2 Savona e Comune di Perugia

  • ASL Napoli 3 hacked 

lunedì 17 gennaio 2022

NAS QNAP - il ransomware Qlocker torna a colpire (anche in Italia) e non è l'unico: cosa è utile sapere, cosa serve fare

Ormai torniamo sul punto a cadenza quasi regolare: il ransomware Qlocker torna a colpire dispositivi NAS QNAP in tutto il mondo. La diffusione dei NAS QNAP va quasi di pari passo, ormai, con le campagne dannose che li vedono come target. Puntualmente, ad ogni ondata malware contro NAS QNAP riceviamo centinaia di richieste di assistenza per la decriptazione dei file e, altrettanto puntualmente, scopriamo che il punto di accesso degli attaccanti o è dovuto a credenziali deboli oppure è una vulnerabilità già corretta. 

Sperando quindi di fare cosa utile, oltre ad una breve panoramica di Qlocker e dei principali malware in diffusione contro i NAS QNAP, ribadiamo nuovamente le misure di mitigazione e di patching. 

QLocker: nuova ondata in tutto il mondo

Qlocker non si vedeva in diffusione dal 2021, almeno non in forma massiva: in quel caso il ransomware non eseguiva propriamente una routine di criptazione sui file. Si limitava invece a spostarli entro archivi 7Zip protetti da password, per ottenere la quale era ovviamente richiesto il pagamento di un riscatto in criptovalute. Per l'occasione QNAP pubblicò uno specifico alert, spiegando che gli attaccanti stavano sfruttando la vulnerabilità CVE-2021-28799 presente nell'app HBS 3 Hybrid Backup Sync.

L'alert arrivò però in ritardo: la campagna di Aprile fruttò agli attaccanti 350.000 dollari in meno di 20 giorni. 

Per approfondire > Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

Per approfondire > Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP

Dalla prima settimana di Gennaio abbiamo ricevuto molte richieste di assistenza: Qlocker è di nuovo in diffusione con una nuova campagna. Questa è iniziata il 6 Gennaio ed è contraddistinta da una nota di riscatto chiamata !!!READ_ME.txt e dall'uso dannoso e illegittimo di 7ZIP. 

giovedì 13 gennaio 2022

Tutti pazzi per le criptovalute: Avira e Norton minano Ethereum dalle macchine dei clienti quando il processore non è occupato

Inutile dire che la decisione lascia profondamente perplessi: Avira e Norton hanno deciso in integrare nei rispettivi prodotti un miner di criptovalute. Il modulo di Avira si chiama Avira Crypto ed è stato inserito nella versione free dell'anti malware, mentre Norton Cyrpto è stato inserito in Norton 360: in entrambi i casi, i due noti vendor antivirus e antimalware hanno deciso di minare la criptovaluta Ethereum. Ovviamente Avira e Norton non sono enti di beneficenza ed hanno previsto di trattenere una fetta  di quanto viene prodotto dal PC dell'utente: la percentuale che verrà trattenuta da Avira non è ancora stata dichiarata pubblicamente, mentre Norton terrà per sé ben il 15%. 

Una bella giravolta, non c'è che dire: ricorrono alla memoria i tempi (neppure troppo remoti) in cui tutti i vendor informatici avevano deciso di dichiarare guerra alle criptovalute. Da NVIDIA e il blocco delle criptovalute per le proprie GPU, passando proprio per Norton, Avira e altri popolari vendor i cui prodotti segnalavano come pericolosi o ingannevoli quei siti web che avevano al proprio interno le funzionalità per l'estrazione delle criptovalute

Ora, nell'evidenza del fallimento di ogni tentativo di arginare la corsa alla criptovalute, alcuni hanno deciso evidentemente di abbracciarle e a fornire gli strumenti per il mining sono proprio coloro che, un tempo, stavano cercando in ogni maniera di arginare il fiume in piena. 

Per approfondire > Invasione dei miner di cripto-valuta. Ora anche per Android
Per approfondire > Criptovalute: crollo dei miner in-browser, impennata dei malware

Come funzionano Avira Crypto e Norton Crypto

mercoledì 12 gennaio 2022

Il CERT-AGID pubblica il report dei malware diffusi in Italia nel 2021


Tempo di bilanci questo: il CERT-AGID ha pubblicato un report riassuntivo sui malware e le campagne di attacco che ha individuato, analizzato e segnalato. Il report completo è disponibile qui. Nell'articolo rendiamo solo i punti salienti, ritenendo necessaria la consapev0lezza riguardo le principali minacce diffuse in Italia in modo da prevenire e minimizzare almeno gli attacchi più comuni. 

Il bilancio complessivo, spiega il CERT, è di 47 diverse famiglie malware individuate in diffusione nell'ambito di 496 diverse campagne: questo certosino lavoro di analisi ha consentito al nostro Computer Emergency Response Team di rendere disponibili oltre 16.000 indicatori di compromissione (IoC).

Il grafico sottostante mostra le 47 famiglie malware 

martedì 11 gennaio 2022

Alert di Microsoft: ancora in corso l'ondata di attacchi che sfruttano le vulnerabilità di Apache Log4j

La questione del patching si rivela sempre, e anche in questo caso, il problema maggiore: forse più grave della vulnerabilità stessa. Al punto che Microsoft ha dovuto pubblicare un nuovo alert, pochi giorni fa, riguardo la vulnerabilità Log4Shell della libreria Java Log4J: questa è stata risolta e patchata con tre successive versioni aggiornate rese disponibili da Apache nell'arco di pochi giorni dall'individuazione della vulnerabilità 0day, ma i sistemi patchati sono ancora una netta minoranza. 

"I tentativi di sfruttamento e i test di ricerca della vulnerabilità sono rimasti estremamente elevati nelle ultime settimane di Dicembre" ha dichiarato il Microsoft Threat Intelligence center. "Abbiamo osservati molti attaccanti aggiungere questo exploit ai loro kit di attacco: si va dai miner di criptovaluta fino ad arrivare, addirittura, ad attacchi condotti manualmente (Microsoft parla di attacchi hands-on-keyboard n.d.r)".

Log4Shell in breve
Individuata da Apache Software Fiundation il 10 Dicembre 2021, questa vulnerabilità riside in Apache Log4J e, se sfruttata correttamente, consente l'esecuzione di codice arbitrario non autenticato da parte di un utente remoto. La facilità di sfruttamento l'ha resa velocemente popolare, al punto che in pochissimi giorni Log4Shell è divenuto un vettore di attacco estremamente diffuso e molto apprezzato da una vasta gamma di attori di minacce.