venerdì 29 luglio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 settimana di Luglio


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Luglio

La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l'Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l'assenza di campagne di distribuzione di Emotet. 

  • Brata è stato diffuso con due campagne a tema Banking circolate via SMS. Il messaggio contiene un link che porta al download dell'APK dannoso;
  • Lokibot è stato in diffusione con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email vettore contengono allegati IMG, contenenti VBS e UUE;
  • Formbook è stato diffuso con due campagne, una generica e una mirata contro utenti italiani, a tema Contratti e Pagamenti. Gli allegati vettore sono in formato XZ e 7Z;
  • Guloader è stato diffuso con due campagne a tema Preventivo. Le email contengono allegati GZ. Su Guloader il CERT ha pubblicato uno specifico report, disponibile qui;

giovedì 28 luglio 2022

Nessun attacco ransomware all'Agenzia delle Entrate: l'attacco c'è stato, ma ha riguardato un'altra azienda


Da qualche giorno, tutti i media italiani e non solo riportano la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.

Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022. 

Per  saperne di più > Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?


Eppure qualcosa non tornava, fin dall'inizio

Tra i primi a visionare i file pubblicati dagli attaccanti a riprova dell'attacco ci sono gli esperti di Red Hot Cyber che, già nel pomeriggio di ieri, hanno messo le mani avanti e sollevato alcuni dubbi rispetto a quanto dichiarato dagli attaccanti.  I file pubblicati infatti non sembrerebbero appartenere all'Agenzia delle Entrate. Ad esempio tra i dati personali trapelati, ce ne sono alcuni di persone non italiane: su 4 documenti di identità pubblicati, 3 sono di cittadini stranieri. 

I sospetti che ci fosse qualcosa di strano dipendono anche dal fatto che, tra i sample pubblicati, c'è una cartella che si chiama "GESIS", che è per l'appunto un azienda che lavora per la Pubblica Amministrazione.


Finalmente la vicenda si chiarisce: è stato uno scambio di azienda

martedì 26 luglio 2022

Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?


Nella giornata di ieri, tutti i media italiani e non solo hanno riportato la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.



Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022. 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

L'analisi dei dati pubblicati dagli attaccanti solleva molti dubbi

lunedì 25 luglio 2022

Anatomia di SVCReady: il nuovo malware ancora in diffusione in Italia


SVCReady è un nuovo malware, che, come segnalato dal CERT è già in diffusione in Italia. Sfrutta documenti Word per infettare i sistemi bersaglio e ruba i dati bancari.

SVCReady: il debutto in Italia a Giugno

SVCReady è un nuovo malware che, fino a poco meno di un mese fa, era del tutto sconosciuto in Italia. Il ricercatore italiano di sicurezza JAMESWT il 13 Giugno pubblica l'analisi di quella che si presume essere la prima campagna di diffusione mirata, contro utenti italiani, di SVCReady. Le email, a tema "perdita di peso" e "invio curriculum", contenevano un file Word compromesso che, dopo l'abilitazione della macro, scaricava direttamente l'eseguibile del malware.

Fonte: https://twitter.com/jameswt_mht

Fonte: https://twitter.com/jameswt_mht

Il CERT aveva comunque dato notizia, relativamente a SVReady, già nell'Aprile 2022, quando era stato impiegato come downloader del malware Ursnif. 

Da metà Giugno ha continuato ad essere in diffusione con campagne mirate contro utenti italiani, anche se a cadenza irregolare. Nel report settimanale del CERT relativo alla scorsa settimana (16-22 Luglio) si legge che SVCReady è stato di nuovo in diffusione, con due campagne a tema Covid 19 e Delivery contenenti, anche in questo caso, file Word compromessi. 

Anatomia di SVCReady: le analisi dei ricercatori di sicurezza

giovedì 21 luglio 2022

Cosa "gira" in Italia? L'analisi comparativa del CERT primo semestre 2021 - primo semestre 2022


Il CERT ha pubblicato un analisi comparativa tra i dati relativi al 1° semestre 2021 e il 1° semestre 2022: il dato principale è che le campagne malware sono più che raddoppiate. 

I dati del primo semestre 2022: campagne malware

Nel 1° semestre del 2022 il CERT ha individuato un totale di 1272 campagne dannose e ha prodotto per le organizzazioni accreditate 22.510 Indicatori di compromissione. Rispetto allo stesso periodo del 2021 si registrano:

  • +70,5% di campagne malware dannose attive nello spazio italiano;
  • +173,51% di IoC diffusi. 

Il CERT specifica comunque come questi dati in parte siano da attribuirsi anche al fatto che sono aumentate le segnalazioni spontanee pervenute al CERT (contattabile, lo ricordiamo, tramite l'indirizzo email malware@cert-agid.gov.it) sia da parte delle pubbliche amministrazioni che dei privati.  Ma anche all'evoluzione stessa dell'infrastruttura di monitoraggio del CERT. 

Meno preoccupante la crescita delle campagne di phishing: la crescita c'è, ma ben lontana dalle percentuali di crescita relative alle campagne malware. 

I malware più attivi

mercoledì 20 luglio 2022

Lockbit 3.0 colpisce ancora in Italia: il ransomware "buca" la Rovagnati


Il ransomware Lockbit 3.0 colpisce la nota azienda alimentare Rovagnati. La rivendicazione dell'attacco è sul leak site del ransomware: 15 giorni alla pubblicazione dei dati. 

Lockbit colpisce di nuovo in Italia

Il ransomware Lockbit non è affatto una novità in Italia: fin dalla su prima versione è stato diffuso contro aziende e pubbliche amministrazioni italiane. Qualche settimana fa il gruppo ransomware ha comunicato il passaggio alla versione 3.0 di LockBit e, pochissimi giorni dopo, già si è registrata la pima vittima della nuova versione ovvero la multinazionale di base italiana FAAC, specializzata in produzione di cancelli automatizzati.

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

Ora c'è un'altra vittima eccellente, almeno stando a quando dichiarato dagli attaccanti: parliamo del gigante italiano dei salumi Rovagnati. 

Rovagnati hacked: la rivendicazione nel dark web

Ad ora non ci sono dichiarazioni ufficiali da parte dell'azienda: sulla vicenda c'è solo la rivendicazione dell'attacco da parte di Lockbit 2.0. La rivendicazione è comparsa il 19 Luglio sul site leak di Lockbit 3.0 e contiene già alcuni dei file rubati, a riprova del fatto che il data breach c'è davvero stato.

Fonte: Lockbit 3.0 leak site

martedì 19 luglio 2022

Perimetro di cyber security nazionale: completato il quadro normativo con l'ultimo decreto


Perimetro di cyber security nazionale: con l'ultimo decreto è stato completato il Perimetro di Sicurezza Nazionale Cibernetica a difesa delle infrastrutture critiche italiane. 

Perimetro di cyber security nazionale: l'integrazione europea

All'origine dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

L'implementazione italiana della Direttiva NIS passa dalla legge n.133 del 2019 e prevedeva 4 decreti diversi per l'istituzione del Perimetro di cyber security nazionale, che altro non è che lo scudo difensivo dell'Italia dai cyber attacchi che potrebbero minacciare aziende e la PA nazionale. 

Sicurezza Nazionale Cibernetica: ecco il quarto (e ultimo) DPCM

venerdì 15 luglio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - prima settimana di Luglio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della prima settimana di Luglio

La scorsa settimana il CERT-AGID ha individuato e analizzato 28 campagne dannose contro utenti italiani. Una sola campagna è stata generica ma ha riguardato anche utenti italiani. Le famiglie malware in diffusione sono state 6, per un totale di 14 campagne di distribuzione malware. Ecco i dettagli:

  • Emotet si conferma il malware più diffuso in Italia. Le campagne individuate la scorsa settimana sono state 7, a tema Resend. Due sono transitate nel circuito PEC: le email contenevano archivi ZIP protetti da password. Al loro interno file XLS dannosi.  Sotto una delle email vettore. La distribuzione delle email nel circuito PEC è avvenuta da Epoch4 e Epoch5;
  • EnvyScout è stato diffuso in Italia con una email a tema Covid-19 che imitava una comunicazione ufficiale del Governo Italiano. Su questa minaccia, il CERT ha pubblicato uno specifico alert;
  • Formbook è stato diffuso con una campagna mirata contro utenti italiani a tema Pagamenti: le email veicolavano allegati XZ;
  • Snake è stato diffuso con una campagna a tema Ordine con allegati archivio ZIP;
  • Urnsif è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand del noto corriere DHL. Le email veicolavano allegati XLSM;
  • AgentTesla è stato l'unico malware diffuso con una campagna generica ma circolata anche nel cyber spazio italiano. Le email allegavano archivi ZIP contenenti file HTML. L'HTM contiene, a sua volta, un iframe in base 64 ed è da qui che si ottiene l'archivio ZIP criptato contenente il vero eseguibile (EXE) del malware.

mercoledì 13 luglio 2022

Microsoft: Office non bloccherà più le macro VBS di default (per adesso)


Microsoft ha annunciato che non bloccherà più, di default, le macro VBA nei file office scaricati dal web. Le motivazioni non sono chiare, mentre chiaro è il rischio al quale sono esposti gli utenti.

Stop al blocco delle macro VBA

Inversione a U per Microsoft che ha deciso, contrariamente a quanto stabilito a Febbraio, di non bloccare più per impostazione predefinita le macro VBA nei file Office scaricati dal web. In breve, tutte le macro VBA incorporate nei documenti Office dannosi non saranno più bloccate automaticamente: la decisione vale per Access, PowerPoint, Visio e, soprattutto, per Excel e Word. 

Questa modifica interessa per adesso la versione 2203, la cui distribuzione è iniziata il 12 Aprile 2022. Dovrà poi divenire generale, ma non ci sono indicazioni specifiche rispetto alle tempistiche. 

martedì 12 luglio 2022

Novità Emotet: ora ruba le carte di credito salvate su Chrome


Emotet, presenza fissa nel cyber spazio italiano, ora distribuisce una nuova variante che ruba le carte di credito salvate su Chome. I dettagli

Emotet in breve:

Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori downloader dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet


Emotet le ultime novità:

Le novità recenti sono pessime e non hanno fatto altro che anticipare quel che è la conferma della settimana, ovvero Emotet è tornato, è più forte di prima e non se ne andrà a breve. Le ultime novità riferiscono a due evidenze:

  • il volume di email di spam per la diffusione di Emotet è passato da 3000 a 30000 email al giorno tra Febbraio e Marzo e il trend, anche per Aprile, è ancora in crescita;
  • Epoch4, la parte dell'infrastruttura di Emotet usata a fini di test, sta diffondendo da un paio di settimane un nuovo payload del malware, che è passato da 32-bit a 64-bit. Il tasso di individuazione da parte delle più diffuse soluzioni di sicurezza è passato da 60% al 4%. 

Per saperne di più > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

lunedì 11 luglio 2022

Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia


E' un nome ricorrente: rimbalza in ognuno dei report che, settimanalmente, il CERT-AgiD pubblica ricostruendo e dettagliando le campagne dannose attive di settimana in settimana nel cyber spazio italiano. Parliamo di FormBook, un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati. E anche un cosiddetto "form grabber" quei malware pensati per rubare le informazioni che gli utenti inseriscono in form di login, di contatto e di pagamento. 

E' un malware as a service, ovvero un servizio malware online tramite il quale utenti malintenzionati possono affittare il malware e distribuirlo, gestendolo tramite la dashboard del servizio: si, proprio come fosse un servizio professionale ad abbonamento. Gli autori non vendono il malware in se, ma il suo pannello tramite il quale viene generato il file eseguibile. 

venerdì 8 luglio 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - ultima settimana di Giugno


Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware dell'ultima settimana di Giugno

La scorsa settimana il CERT-AGID ha individuato e analizzato 32 campagne dannose mirate contro obiettivi italiani. Le famiglie malware in diffusione sono state 7:

  • Emotet sul podio, si conferma il malware più diffuso in Italia. La scorsa settimana sono state rilevate 8 campagne di diffusione a tema Resend. Le email contenevano allegati ZIP protetti da password contenenti, a loro volta, file XLS;
  • Brata è stato diffuso con 4 campagne a tema Banking, veicolate via SMS. I messaggi contenevano il link al download di un file APK. Questi file sono solitamente denominati "BancaSicura.apk";
  • Formbook è stato diffuso con 2 campagne a tema Ordine. Le email veicolavano allegati archivio ZIP con, all'interno, un file XLSX;

mercoledì 6 luglio 2022

sLoad e PEC: il malware usa una nuova tecnica per eludere i controlli sulle estensioni file


Il CERT ha scoperto, nel corso del monitoraggio dei cyber rischi circolanti nel circuito PEC, che il malware sLoad usa una nuova tecnica per eludere i controlli.

Prima di iniziare, le presentazioni: sLoad in breve

Di sLoad abbiamo parlato spesso. Dovutamente, dato che è uno dei malware più diffusi in Italia. Ma soprattutto perch è il malware che ha fatto delle PEC il suo "campo di battaglia preferito" e questo è, nei fatti, un problema di sicurezza nazionale. 

Sviluppato per operare sui sistemi Windows e per colpire le aziende, si basa su uno script Powershell del cui download è appunto responsabile un dropper solitamente nascosto entro un archivio ZIP e "ospitato" entro file che assumono diverse forme. E' questo Powershell che installa ed esegue il core di sLoad. Manco a dirsi è altamente offuscato, ma i ricercatori hanno osservato che sLoad si installa in APPDATA in una cartella il cui nome ha lunghezza variabile. 

La prima operazione compiuta è, ovviamente, quella di garantirsi la persistenza. Per farlo crea una task apposita che inizia con la lettera S ed è seguita, nel nome, da un numero sequenziale: sLoad così si anniderà nel sistema e sarà sempre pronto ad agire.

lunedì 4 luglio 2022

Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)


LockBit evolve ancora e debutta con la versione 3.0 facendo già la prima vittima italiana. Con la stop alle operazioni di Conti, LockBit si prende lo scettro del mondo ransomware. 


Da LockBit 2.0 a 3.0: il primo programma di Bug Bounty del cybercrime

Ci siamo: lo avevano annunciato ed è successo davvero. Conti non ha neppure fatto in tempo ad annunciare il "pensionamento" che LockBit si presenta con una nuova versione, ancora più temibile. Ma le modifiche non sono solo tecniche: è migliorata l'intera infrastruttura di gestione "commerciale" del RaaS, che ha addirittura inaugurato un programma di bug bounty. 

Prima di calarci quindi nei dettagli tecnici, ci soffermiamo sul "modello di business" scelto da LockBit. Nei fatti, dobbiamo prendere atto di questa importante trasformazione del mondo del cyber crime, che non riguarda soltanto i ransomware, ma in generale tutti i modelli di malware / ransomware in affitto. Il cyber crime fa profitti da capogiro e, di conseguenza, si organizza esattamente secondo i modelli di business delle grandi aziende. 

Nel caso di LockBit 3.0 c'è una novità assoluta, il lancio del programma di Bug Bounty. In pratica gli sviluppatori del ransomware hanno lanciato un programma di ricerca sulle vulnerabilità del proprio software. Come una Microsoft qualsiasi, propongono una ricompensa in denaro a chiunque individui punti deboli, errori di sviluppo, vulnerabilità nei software in uso. E' una pratica estremamente comune e diffusa nel mondo delle software house, ma è la prima volta che viene richiesto a terzi di correggere un software pensato per danneggiare e estorcere denaro. 

"Invitiamo tutti i ricercatori di sicurezza, gli hacker etici e non etici del pianeta a partecipare al nostro programma di Bug Bounty. L'ammontare delle ricompense varia dai 1000 al milione di dollari".