Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della 3° settimana di Giugno
La scorsa settimana il CERT ha individuato e analizzato 22 campagne dannose contro obiettivi italiani: 1 sola campagna generica ha invece interessato anche il cyber spazio italiano. Rispetto alla 2° settimana di Giugno si nota una drastica riduzione del numero di campagne dannose.
Le campagne malware sono state 17 e hanno diffuso 9 famiglie di malware:
- Emotet al solito al primo posto, ma con 7 campagne rilevate contro le 16 della 2° settimana di Giugno. Le campagne sono state a tema Resend e veicolavano allegati ZIP protetti da password. L'archivio ZIP conteneva file LNK o XLS;
- Formbook è stato diffuso con tre diverse campagne a tema Ordine e Pagamenti. Le email veicolavano allegati dannosi nei formati ACE o XLSX;
- AsyncRat è stato l'unico malware diffuso con la campagna generica diffusa anche in Italia. L'email era a tema Aggiornamenti e conteneva, nel corpo messaggio, il link al download di un eseguibile;
- SVCReady di nuovo in diffusione con una campagna a tema Documenti. Le email veicolavano allegati dannosi in formato DOC. Gli esperti del CERT sottolineano come fino ad ora, la maggior parte delle diffusioni di SVCReady siano state veicolo per il download di Ursnif. Sono però stati osservati alcuni casi in cui è stato invece installato il malware IceID;
- Snake è stato diffuso con una campagna a tema Ordine: le email veicolavano un allegato ZIP;
- Bumblebee è stato diffuso con una campagna a tema Documenti. Le email veicolavano archivio ZIP contenenti file LNK. Bumblebee è alla sua prima diffusione in Italia: è un malware noto per i suoi legami con la campagna ransomware Conti;
- Lokibot torna in diffusione dopo un mese di pausa. E' stato diffuso con una email a tema Delivery veicolante allegati 7Z;
- Guloader è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegati ZIP contenenti file VBS;
- Urnsif è stato diffuso con una campagna che ha sfruttato il brand TNT: le email veicolavano allegati XLSM.
Bumblebee in breve
E' la novità della settimana: non è mai stato diffuso in Italia prima. Di questo downloader sappiamo che è strettamente legato all'operazione Ransomware Conti. Ha nei fatti sostituito BazarLoader, che il gruppo Conti ha utilizzato fino a poco tempo fa distribuire CobalStrike. E', in breve, l'origine di un successivo attacco ransomware. Ha tre funzionalità: ruba le informazioni del sistema attaccato, stabilisce le comunicazioni col server C2 e invia i dati raccolti mettendosi in attesa di comandi, quindi scarica altri malware, ransomware compresi.
SVCReady in breve:
SVCReady è alla seconda settimana di distribuzione Italia. Per la propagazione predilige i documento Word con macro, grazie alla quale esegue uno shellcode memorizzato nelle proprietà del documento stesso. SVCReady può caricare ed eseguire file sulla macchina infetta, eseguire screenshot, raccogliere i dati di sistema, elencare i dispositivi collegati alla macchina bersaglio. Si guadagna la persistenza impostandosi come attività pianificata.
Fonte: https://cert-agid.gov.it |
Le campagne di phishing della 3° settimana di Giugno
Le campagne di phishing individuate e analizzate sono state 6 e hanno coinvolto solo 2 brand stavolta: Intesa San Paolo e Poste (via SMS). Il resto delle campagne analizzate è stato volto al furto di credenziali di account webmail, ma non ha sfruttato uno specifico brand.
Fonte: https://cert-agid.gov.it |
Fonte: https://cert-agid.gov.it |
Tipologia di file di attacco e vettore
Si torna alle origini: i file Excel conquistano saldamente il podio con un primo posto (XLS) e un terxo posto (XLSX). Netta riduzione dell'uso del formato archivio ZIP, anche se torna l'uso di 7Z.
Fonte: https://cert-agid.gov.it |
Nessun commento:
Posta un commento