Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana di Giugno

La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose mirate contro obiettivi italiani. Una sola è stata generica, ma ha interessato anche il cyber spazio italiano. Le famiglie malware in diffusione sono state soltanto 6:

• Emotet di nuovo la fa da padrone, distribuito con 7 campagne a tema Resend. Le email recavano allegati archivio in formato ZIP protetti da password. L'archivio contiene file XLS. Nessuno utilizzo di file LNK, fa notare il CERT: la novità della settimana è il template in uso in Italia, come reso pubblico sul canale Telegram;
• AgenTesla è stato diffuso con tre diverse campagne a tema Pagamenti, Documenti e Ordine. Le email veicolavano allegati ISO e IMG;
• Formbook è stato diffuso con tre campagne, a tema Ordine e Pagamenti. Le email veicolavano allegati in formato DOC, XLSX e XZ;
• Lokibot è stato diffuso con l'unica campagna generica analizzata dal CERT. A tema Pagamenti, l'email veicolava allegati dannosi ZIP;

RedLine stealer: il malware "rubapassword" ha fatto incetta di dati personali degli italiani

RedLine Stealer circola in Italia da due anni: specializzato in furto dati, ha fatto dell'Italia il suo campo di battaglia preferito. E i dati di migliaia di italiani sono pubblicati nel dark web.

RedLine stealer: biografia in breve

Continuando la nostra rassegna sui malware più diffusi in Italia, oggi è la volta di RedLine Stealer, anche perchè abbiamo ricevuto una segnalazione che ci ha fatto pervenire svariati file CSV pieni zeppi di sessioni di accesso e registrazione a siti web come quello dell'Agenzia delle Entrate, del Mise, le prenotazioni per la Carta di Identità Elettronica, di alcuni Comuni italiani e così via.

Andando con ordine, iniziamo con le presentazioni. RedLine Stealer è un malware finalizzato al furto dati personali, finanziari e delle macchine che infetta. In diffusione da Febbraio 2020 è responsabile di ingenti perdite finanziarie e di informazioni a discapito di aziende e molteplici enti pubblici. 

Il primo post pubblicato da RedLine sui forum di hacking.

Ha capacità di furto dati anche dai browser, dai sistemi di messaggistica instantanea e dai software di sharing. In dettaglio RedLine Stealer mira alle credenziali di accesso ai servizi privati e aziendali, alle informazioni sulle carte di credito, ai cookie di sessione attivi e ai dati relativi ai wallet di criptovalute.
In ultimo, RedLine spesso funge da precursore per successivi attacchi ransomware sulle reti colpite. 

RedLine è solito rivendere nel dark web tutti i dati che ruba. E' organizzato secondo il modello MaaS - Malware as a Service, nel quale una rete di affiliati affitta il malware (al costo di circa 200 dollari), lo distribuisce e divide con i profitti coi gestori del servizio.

I sample di dati italiani rubati nel mese di Giugno

Anatomia di MailBot, il nuovo malware per Android già sbarcato in Italia

Il CERT-AGID ha individuato e analizzato una campagna di diffusione di un nuovo malware per Android. Colpisce solo utenti italiani e spagnoli

MailBot,il nuovo malware per Android, in breve

E' stato individuato dal CERT-AGID, in uso in campagne di attacco contro utenti italiani, un nuovo malware pensato per colpire i sistemi Android. MailBot, come è stato soprannominato, ha funzionalità per il furto delle credenziali, dei cookie, per bypassare l'autenticazione multifattore (2FA, MFA) e la verifica in due passaggi: mira a credenziali finanziarie, dati personali e wallet di criptovaluta. E' anche capace di controllare da remoto i dispositivi infetti grazie ad un'implementazione server VNC.

Distribuzione di MailBot

Per quanto fino ad adesso osservato Mailbot viene diffuso tramite siti web fraduolenti. Le campagne SMS che lo distribuiscono, per adesso rinviano infatti a siti web truffaldini: i ricercatori di F5 ad esempio ne hanno individuati due, Mining X e TheCryptoApp. Questi siti web inducevano gli utenti a scaricare una "app per il mining di criptovalute" che invece nascondeva il malware. 

TheCryptoApp, ad esempio, è un'app legittima presente nel Google Play Store e vanta oltre un milione di download. In questo caso specifico, spiegano i ricercatori F5, il link indirizza l'utente al download dell'APK dannoso solo se utilizza un dispositivo Android, altrimenti viene visualizzata la pagina dell'app legittima nel Play Store.

Le variabili Javascript usate per modificare l'URL di download. Fonte: F5

MailBot però si "traveste" anche da altre app, non solo app per il mining: alcuni sample si camuffano da Chrome e MySocialSecurity e sicuramente la lista si allungherà.

L'abuso dell'API di Accesibilità

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Giugno

La scorsa settimana il CERT ha individuato e analizzato 22 campagne dannose contro obiettivi italiani: 1 sola campagna generica ha invece interessato anche il cyber spazio italiano. Rispetto alla 2° settimana di Giugno si nota una drastica riduzione del numero di campagne dannose. 

Le campagne malware sono state 17 e hanno diffuso 9 famiglie di malware:

Attacchi ransomware in Italia: pubblicati i dati dell'Ospedale Melloni di Milano e dell'Università di Pisa

I gruppi ransomware BlackCat e Vice Society hanno pubblicato i dati esfiltrati dalle reti dell'Università di Pisa e dell'Ospedale Melloni di Milano.

BlackCat e Università di Pisa: i dati in vendita nei forum dell'underground hacking

Sono stati puntuali, esattamente come annunciato: dopo varie minacce, ieri il gruppo ransomware ALPHV/BlackCat ha reso pubblici i dati rubati all'Università di Pisa. Anche se tramite una diversa strada, rispetto a quanto ci si aspettava. I dati infatti non si trovano nel leak site del gruppo ransomware, sul quale non figura alcun aggiornamento sulla vicenda.

Al contrario, gli attaccanti hanno fatto sapere alla redazione di Red Hot Cyber che i dati sono stati messi direttamente in vendita, senza passare dal leak site. I dati sono stati postato invece su XSS un forum dell'underground hacking molto frequentato dai cyber criminali. 

Fonte: Red Hot Cyber

Il fatto che i dati siano stati messi direttamente in vendita, per un prezzo complessivo di un milione di dollari circa, la dice lunga su come stia procedendo l'attacco. L'ateneo pisano si è chiuso nel mutismo più totale, non solo verso i propri studenti e dipendenti ai quali non ha ancora inviato alcuna comunicazione, ma anche evidentemente verso gli attaccanti. 

Nuova ondata di attacchi ransomware contro i NAS QNAP: di nuovo eChoraix

Stiamo ricevendo molteplici richieste di assistenza da parte di utenti italiani i cui dispositivi NAS QNAP sono stati colpiti da attacco ransomware. I dati sono confermati dal picco registrato anche dalla piattaforma ID Ransomware, che consente alle vittime, caricando un file criptato e la nota di riscatto, di avere informazioni sul tipo di infezione subita.

eCHoraix, conosciuto anche come QNAPCrypt, colpisce ad ondate i clienti QNAP almeno dal 2019. Le campagne di attacco come detto procedono ad ondate, con alcuni picchi e momenti di drastica riduzione dell'attività. In ogni caso non colpisce specificatamente in Italia: le campagne di attacco avvengono a livello mondiale. eChoraix infatti colpisce i dispositivi QNAP esposti in internet con attacchi di brute-force, ma nel tempo si è dotato anche di una serie di strumenti utili a sfruttare vulnerabilità note dei NAS QNAP. 

Dalla prima campagna del 2019, eChroaix ha colpito con altre ondate, nel Giugno 2020, nel Maggio 2020 e con un vero e proprio bombardamento a tappeto (sfruttando credenziali deboli) nel Dicembre 2021, proprio sotto le feste di Natale. 

L'ultima campagna, attualmente in corso, sembra aver avuto inizio l'8 Giugno ma ancora non è chiaro quale sia il vettore di attacco utilizzato. Da questo punto di vista quindi occorrerà attendere che il produttore pubblichi nuovi dettagli. La peculiarità di questa campagna è che se in passato eChoraix colpiva sia NAS QNAP che NAS Synology, questa volta si trovano conferme di infezioni solo sui dispositivi QNAP. 

In attesa di ulteriori dettagli, mitigate i rischi!

Ecco il nuovo ransomware BlackBasta: ha già colpito in Italia

Le prime individuazioni di BlackBasta risalgono all'Aprile 2022: anzi, Blackbasta ha fatto proprio irruzione nel mondo delle operazioni ransomware, colpendo ben 12 aziende nel mondo in pochissimi giorni. Un esordio molto rumoroso degno, in effetti, di un'operazione ransomware davvero molto pericolosa. Ovviamente Black Basta è un RaaS, anche se ad ora non è chiaro quanto sia vasta la sua rete di affiliati. 

Black Basta: tecniche estorsive

Black Basta è l'ennesima operazione ransomware specializzata in attacchi contro reti aziendali. Secondo "le mode" attuali, la  criptazione dei dati è preceduta dall'esfiltrazione di dati, documenti e informazioni utili per la fase estorsiva. Di conseguenza Black Basta ha un site leak su Tor chiamato 'Black Basta Blog' o 'Basta News" dove si trova la lista di tutte le vittime che non hanno pagato il riscatto o che si rifiutano di contrattare. 

La routine di infezione si avvia quando il ransomware ha ottenuto i privilegi di amministrazione

L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

L'università di Pisa sta fronteggiando un attacco ransomware. Anzi, considerando che una parte dei dati rubati sono già stati pubblicati online, è più corretto dire che ha subito un attacco ransomware. La notizia è di qualche giorno fa, quando sul leak site del gruppo ransomware ALPHV/BlackCat è stata pubblicata la rivendicazione dell'attacco.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Giugno

La scorsa settimana il CERT-AGID ha individuato e analizzato 45 campagne dannose mirate contro utenti italiani. Una sola è stata generica ed ha riguardato anche il cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 9: ben 30 le campagne finalizzate alla diffusione di malware.

• Emotet la fa da padrone, con ben 16 campagne mirate contro utenti italiani. Queste campagne sono state a tema Resend ed hanno veicolato allegati ZIP protetti da password contenenti, a loro volta, file LNK o XLS.  Gli esperti del CERT sottolineano come le campagne Emotet siano raddoppiate rispetto alla settimana scorsa. 

Comune di Palermo violato dal Ransomware ViceSociety. Pubblicati i dati

Qualche giorno fa abbiamo dato notizia di un attacco subito dal Comune di Palermo: si parlava di attacco ransomware, ma non c'era alcuna conferma ufficiale di questi sospetti, pur ampiamente diffusi nella comunità dei ricercatori ed esperti di sicurezza informatica.

L'attacco è grave, sicuramente, come testimonia il fatto che i sistemi del comune di Palermo sono in down da giorni (anche al momento della scrittura di questo articolo). Le preoccupazioni sono aumentate dal fatto che il Comune è alle porte delle elezioni per il rinnovo delle cariche comunali anche se la società responsabile della gestione dei servizi informatici comunali ha dichiarato che le liste elettorali sono state stampate e le tessere elettorali correttamente aggiornate. Anche i servizi anagrafici sembrano tornato online. 

I sistemi sono stati messi offline in via cautelativa, come ha spiegato Paolo Petralia Camassa, assessore all'innovazione del Comune di Palermo, tramite il proprio profilo social:

 “al momento il sistema è stato cautelativamente spento e isolato dalla rete. La situazione è seria e i disservizi potrebbero perdurare per giorni"

Per saperne di più > Comune di Palermo sotto attacco: sistemi offline. Le credenziali di accesso alla rete erano in vendita nel dark web 

Arriva la rivendicazione: è stato il gruppo ransomware ViceSociety

Individuata una vulnerabilità 0day molto pericolosa sui SO Windows e Windows Server: la CVE-2022-30190 Follina è già usata in attacchi reali

E' stata individuata una vulnerabilità 0day classificata come "severe" in Windows Support Diagnostic Tool (MSDT). Consente l'esecuzione di codice arbitrario da remoto, non è ancora patchata ed è già usata in attacchi reali.

CVE-2022-30190 Follina: info tecniche

La guida di Microsoft la descrive così:

"E' una vulnerabilità di esecuzione di codice da remoto che sussiste quando MSDT è chiamato usando il protocollo URL da un'applicazione richiamante come Word. Un attaccante che dovesse sfruttare con successo questa vulnerabilità può eseguire codice arbitrario da remoto coi privilegi dell'applicazione richiamante. L'attaccante può installare programmi, vedere, modificare e cancellare dati o creare nuovi account".

Qui l'alert di Microsoft > Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability

Windows Support Diagnostic Tool MSDT è un tool usato dal supporto di Microsoft per diagnosticare problemi su Windows e facilitarne la risoluzione. Questo tool è presente in tutte le versioni di Windows dalla 7 in poi, comprese le versioni Windows Server, dalla 2008 e successive. A tutt'ora non è stata pubblicata alcuna patch.

La 0day individuata per caso

Comune di Palermo sotto attacco: sistemi offline. Le credenziali di accesso alla rete erano in vendita nel dark web

Il sito del Comune di Palermo è offline dal 2 Giugno: si parla di attacco ransomware, ma non ci sono conferme. E mentre iniziano le preoccupazioni sulle imminenti elezioni comunali, si scopre che le credenziali di accesso alla rete erano in vendita nel dark web.

Il sito web del Comune di Palermo offline da giorni

La notizia si è diffusa nella prima mattinata dal 2 Giugno: il sito web del Comune di Palermo va giù e lo è tutt'ora. 

Data: 06/06/2022 h. 12.00