Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Febbraio
In questa settimana il CERT AGID ha individuato e analizzato 52 campagne dannose: di queste 51 sono state mirate contro utenti italiani, 1 sola è stata generica ma veicolata anche in Italia. Le famiglie malware osservate in diffusione sono state ben 11:

• Formbook scavalca Emotet al primo posto dei malware più distribuiti, dopo settimane di dominio incontrastato. Formbook è stato diffuso con ben 4 campagne: 3 sono state mirate contro utenti italiani, una generica. Tutte erano  a tema Preventivo e Pagamenti. Gli allegati email sono stati in formato 7Z, GZ e DOC;
• Emotet è stato diffuso solo con campagne mirate contro utenti italiani. I temi sono stati Resend, Documenti e Pagamenti, gli allegato vettore utilizzati invece sono stati il formato archivio .ZIp e i file Excel XLSM e XLS;

Hermetic Wiper, il malware usato contro l'Ucraina è già arrivato in Italia. Ha un solo scopo: distruggere.

C'è una guerra nella guerra, o forse sarebbe meglio dire che c'è un nuovo aspetto della guerra, meno visibile ma comunque molto devastante. E' la cyber war ed è l'aspetto forse meno raccontato di questo conflitto in Ucraina. 

L'ingresso delle truppe russe in Ucraina è stato anticipato da una pesante giornata di attacchi informatici: i classici DDoS contro siti governativi e i principali istituti bancari del paese, ma non solo. Dalla giornata di mercoledì l'Ucraina è stata investita da una massiva diffusione di un nuovo malware: i ricercatori di sicurezza lo hanno ribattezzato Hermetic Wiper.

Hermetic Wiper: una prima presentazione
Hemertic Wiper è una nuova famiglia di wiper, cioè malware pensati per cancellare tutte le informazioni presenti sui supporti di memoria presenti nelle macchine bersaglio. Si presenta sotto forma di eseguibile che è addirittura firmato con un certificato valido di Hermetica Digital Ltd.

sLoad: l'approfondimento del CERT sul malware che colpisce solo in Italia (via PEC)

Il CERT ha reso pubblico qualche giorno fa un importantissimo report sul malware sLoad. sLoad è in diffusione in Italia ormai da tempo e si contraddistingue per essere diffuso tramite campagne via email PEC. Il CERT collabora da qualche tempo con alcuni dei principali provider di servizi PEC italiani proprio nell'ottica di individuare, tracciare e quindi contrastare campagne dannose che dovessero transitare tramite un circuito come quello PEC che deve distinguersi necessariamente per sicurezza. 

Il report è da inquadrarsi proprio nell'ambito di queste attività di tutela e protezione del circuito PEC, dato che sLoad è veicolato esclusivamente tramite questo canale. Il report abbonda di dettagli tecnici che non renderemo nella loro totalità: tratteremo i punti salienti invitando a consultare il report completo disponibile sul sito istituzionale del CERT.

sLoad: biografia
sLoad è stato diffuso per la prima volta in Italia nell'Ottobre del 2018, anche se alcune fonti datano la prima individuazione nel nostro cyber spazio già nel Giugno 2018. In quel periodo circolava un report del ricercatore di sicurezza Vitali Kremez nel quale si affermava che fosse il malware bancario Ramnit il payload di sLoad. 

Per la maggior parte dei ricercatori è un malware pensato appositamente per colpire in Europa (Italia e Inghilterra in primis) ma è andato progressivamente a concentrarsi solo sull'Italia. Nell'osservazione delle campagne italiane non è mai stato individuato il malware Ramnit come payload di Sload, sottolinea il CERT. Si ipotizza quindi che il malware sia nato veicolando Ramnit in Inghilterra e che poi si sia focalizzato sul nostro paese sostituendo il payload. 

sLoad: come si diffonde?

Accordo tra Garante privacy e Agenzia per la sicurezza nazionale cibernetica

Dopo tante parole finalmente di passa ai fatti: il 26 Gennaio 2022 Pasquale Stanzione, presidente dell'Autorità Garante per la Protezione dei dati personali e Roberto Baldoni, direttore generale dell'Agenzia per la sicurezza nazionale cibernetica, hanno sottoscritto il Protocollo d'Intesa Biennale. Questo ha l'obiettivo di attivare una stretta collaborazione in difesa del cyber spazio nazionale e della privacy dei cittadini. Con un'attenzione particolare al fatto che entrambe le materie sono soggette a continui e celeri cambiamenti: il protocollo lascia infatti libere entrambe le parti di poter proporre variazioni e aggiornamento secondo l'avanzamento dello stato dell'arte della tecnologia, delle normative e delle cyber minacce. 

Il protocollo: quali obiettivi?
Scopo del protocollo è rendere stabile e normata la cooperazione tra le due istituzioni per

"il miglior esercizio delle rispettive competenze, promuovendo iniziative congiunte nel campo della cybersicurezza nazionale e della protezione dei dati personali", come si legge nel comunicato ufficiale con cui il Garante e l'ACN hanno annunciato alla stampa la firma del protocollo. 

Il comunicato stampa > https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9739921

Tra i due istituti vi sarà un continuo scambio di informazioni e entrambi saranno motore di attività di consapevolezza e promozione di buone pratiche di sicurezza. Saranno previste collaborazioni col mondo accademico e della ricerca. 

Il ransomware Conti ha una nuova e potente arma: acquisite le operazioni di TrickBot

TrickBot è stato uno degli incubi più neri per i ricercatori di cybersecurity e i team IT di tutto il mondo. Le sue operazioni sono in corso ormai da quattro anni ed hanno avuto un volume e un'intensità tali da fargli guadagnare la "top 10" dei malware più temibili degli ultimi anni. 

Qualche giorno fa TrickBot ha annunciato lo stop alle proprie operazioni, visto che una parte consistente del vertice organizzativo della banda di cyber criminali è entrato a far parte delle operazioni del ransomware Conti. 

Trickbot in breve
Trickbot è un malware pensato per Windows: è un classico esemplare di malware modulare, ovvero che si compone di più moduli ognuno dei quali è deputato ad una diversa funzione dannosa. Le operazioni comunemente svolte da Trickbot sono furto di informazioni sensibili, furto di credenziali, primo accesso alla rete bersaglio, distribuzione di malware nelle reti violate, infiltrazione dei domini Windows. 

Ha sempre lavorato in coppia coi ransomware: dal 2016, anno del suo debutto, è stato responsabile dell'infezione di milioni di dispositivi in tutto il mondo, molti dei quali, dopo un iniziale accesso di TrickBot, sono stati poi colpiti da infezioni ransomware di varie varietà. Tra le prime collaborazioni troviamo quella con il ransomware Ryuk, al quale il gruppo dietro TrickBot concedeva l'accesso alle reti violate in cambio della spartizione dei proventi derivati dal riscatto delle vittime. Ma il divorzio è arrivato presto, quando si è preferito concedere gli accessi ai cyber criminali del ransomware Conti, più specializzati in attacchi alle reti aziendali e quindi forieri di maggiori profitti. La collaborazione con Conti prosegue ormai da anni e ha portato a guadagni ben oltre i 200 milioni di dollari. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Febbraio
La scorsa settimana il CERT-AGID ha individuato e analizzato ben 55 campagne dannose attive nel cyber spazio italiano. 52 di queste sono state campagne mirate contro utenti italiani, 3 invece quelle generiche ma veicolate anche nel nostro paese. 

Le famiglie malware individuate in diffusione sono state 11: Emotet si conferma il malware più diffuso in Italia.

• Emotet è stato diffuso con ben 6 campagne nel corso della settimana. I temi delle campagne sono stati Conferma, Resend e Documenti: i file vettore erano nei formati .XLS, .XLSM, .ZIP;

Ransomware news: risolvibili le criptazioni di Maze, Egregor e Sekhmet

Uno sviluppatore ransomware ha reso disponibili alla redazione della rivista specializzata in cyber security Bleeping Computer le master key per la risoluzione delle criptazioni effettuate dai ransomware Maze, Egregor e Sekhmet. 

Maze in breve
Le operazioni del ransomware Maze sono iniziate nel Maggio 2019 e, in pochi mesi, gli hanno valso il titolo di top ransomware. Maze è stata famiglia ransomware che ha introdotto il metodo della doppia estorsione, ovvero la modalità di ricatto con la quale alle vittime sono richiesti due riscatti: uno viene richiesto per la concessione del tool di decriptazione per riportare in chiaro i file, l'altro invece per evitare la pubblicazione dei dati rubati e la loro messa in vendita. All'origine c'è una nuova modalità di attacco: se fino a quel momento i ransomware si limitavano a criptare i ransomware presenti nei dispositivi e reti violate, con Maze la fase di criptazione viene preceduta da una fase di esfiltrazione dei dati. In breve, gli attaccanti prima rubano una copia dei dati, poi li criptano. 

Per approfondire> Come si ricatta un'azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l'incubo. Un nuovo paradigma per i ransomware?

Da Maze a Egregor

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 1° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana
La scorsa settimana il CERT-AGID ha individuato e analizzato 42 campagne dannose nel cyber spazio italiano. 40 sono state campagne dannose mirate contro utenti italiani, solo 2 sono state invece quelle generiche veicolate anche in Italia. 

Le famiglie malware in diffusione sono state 7, nello specifico:

Ancora NAS QNAP, ancora ransomware: DeadBolt colpisce in Europa, Italia compresa

Ci risiamo: i dispositivi NAS QNAP sono di nuovo sotto attacco. A partire dal 25 Gennaio 2022 è in diffusione un nuovo ransomware gestito, sembra, da un gruppo del tutto nuovo di cyber attaccanti. Parliamo di DeadBolt, che deve il suo nome all'estensione .deadbolt che aggiunge ai file una volta  criptati. Mira esclusivamente dispositivi NAS QNAP esposti in rete sfruttando una vulnerabilità del firmware dei dispositivi QNAP.

DeadBolt, differentemente dagli altri ransomware, non crea una nota di riscatto in ogni cartella criptata, ma sostituisce la pagina di login del dispositivo con uno screen dove si legge "WARNING:  Your files have been locked by DeadBolt". La richiesta di riscatto ammonta a 0.03 Bitcoin, circa 1.000 euro secondo il cambio attuale: l'indirizzo del wallet Bitcoin varia da ogni vittima. Una volta pagato il riscatto le vittime ricevono una conferma della transazione contenente la chiave di decriptazione da inserire tramite il collegamento presente nella schermata di blocco. 

Fonte: Bleeping Computer

Gli attaccanti hanno anche chiesto a QNAP un riscatto di 50 Bitcoin in cambio del decryptor da fornire ai propri clienti. 

Come si diffonde: qualche dettaglio tecnico

Ransomware Lockbit: l'FBI fornisce dettagli tecnici e consigli di difesa grazie alle informazioni inviate dalle aziende colpite

L'FBI ha pubblicato una relazione tecnica e numerosi indicatori di compromissione associati a LockBit, il ransonmware del quale abbiamo spesso parlato perché sta mietendo molteplici vittime anche in Italia. La relazione contiene anche indicazioni su come le organizzazioni possono bloccare i tentativi del gruppo ransomware di irrompere nelle proprie reti. Non è il primo alert pubblicato sul rischio Lockbit: già nell'Agosto del 2021 l'agenzia di Cybersecurity australiana avvisava tutte le aziende e le organizzazioni della repentina crescita del numero di attacchi di LockBit. 

LockBit in breve

• è attivo dal Settembre 2019 come Ransomware as a Service (SaaS);
• nel Giugno 2021 i suoi sviluppatori annunciando l'avvento della nuova versione di LockBit, la 2.0, con molte nuove funzionalità;
• viene aggiunta la funzionalità di criptazione automatica dei dispositivi nei domini Windows tramite le policy di gruppo;
• membri del gruppo iniziano a cercare insider per violare le aziende per ottenere accessi alle VN e agli RDP senza bisogno di gruppi intermediari;
• nel Gennaio 2022 viene aggiunto un encryptor per Linux per colpire i server VMware ESXi. 

Per approfondire > Italia sotto attacco: ancora ransomware contro aziende italiane. Lockbit 2.0 protagonista

La relazione tecnica dell'FBI

Italia sotto attacco: ancora ransomware contro aziende italiane. Lockbit 2.0 protagonista

 

Forse non c'è da stupirsi, ma continua l'incessante fuoco che le gang ransomware stanno facendo contro le aziende italiane. Delle varie ASL sotto attacco abbamo già abbondantemente reso un quadro: l'unica novità è che l'ASL3 Napoli, colpita dal ransomware Sabbath poche settimane fa, ha già visto pubblicati parte dei dati rubati e non riuscirà a pagare interamente gli stipendi dei dipendenti a causa del protrarsi delle problematiche ai sistemi IT conseguenti all'attacco.

Sono invece notizie fresche due attacchi ransomware che hanno colpito PMI italiane, a riconferma che non solo enti governativi e big corporation debbano temere questi attacchi. LockBit 2.0 ha colpito le aziende Isnardi e La Ponte Marmi nell'arco di una settimana circa.

Il sito https://doubleextortion.com dell'esperto di cybersecurity Luca Mella, riporta un numero preoccupante di attacchi contro aziende italiane nell'ultimo mese: dal 9 Gennaio ad ora sono state vittime di ransomware le aziende Uform srl, l'azienda di accessori e moda Giovanardi, la ben nota Moncler e le due già menzionate. Le famiglie ransomware più scatenate? Lockbit 2.0 la fa sicuramente da padrone, seguito Sabbath.

L'attacco contro Isnardi: cosa sappiamo