mercoledì 31 agosto 2022

Italia: i ransomware non vanno in vacanza e ce lo hanno ricordato. Cronaca di un'Agosto difficile


Il mese di Agosto ha visto molteplici attacchi contro aziende ed enti pubblici italiani. Una breve panoramica, che ci ricorda che i ransomware non vanno in vacanza e sono una minaccia che può colpire chiunque.

Aziende italiane: Lockbit scatenato

Della nuova, famigerata, versione di Lockbit, la 3.0, abbiamo già parlato qui per una infarinatura di tipo tecnico e relativa alle tecniche estorsive. Non ci dilunghiamo oltre. Il punto semmai è che, dopo poche settimane di test, si può dire che Lockbit si conferma uno dei ransomware più efficaci e attivi presenti nel panorama delle cyber minacce. Italia inclusa. Si conferma la strategia utilizzata da questo gruppo ransomware di commisurare le richieste di riscatto alle effettive disponibilità economiche delle vittime. 

Nel mese di Agosto ha colpito e messo sotto ricatto alcune aziende italiane, dandone notizia sul proprio leak site nel dark web. Tra queste figura lo studio di consulenza del lavoro Studio Barba: la rivendicazione dell'attacco è stata pubblicata il 24 Agosto, il 1° Settembre scade il countdown e i dati rubati potrebbero venire pubblicati.

lunedì 29 agosto 2022

Nuovo ransomware bersaglia i NAS Qnap: Checkmate è già in diffusione in Italia

Stiamo ricevendo molte segnalazioni e richieste di supporto da parte di utenti italiani di NAS Qnap colpiti da attacco ransomware. La nuova minaccia si chiama Checkmate.

Il nuovo ransomware Checkmate: è specializzato in NAS Qnap

Il vendor QNAP ha pubblicato un alert relativo ad una nuova operazione ransomware che sta bersagliando i NAS QNAP: il malware si chiama Checkmate e mira alla criptazione di tutti i dati contenuti nei NAS. Nell'alert l'azienda spiega che Checkmate mira i dispositivi QNAP esposti sul web con i servizi SMB attivi e account con password deboli facilmente cracckabili con attacchi di brute-force. Le prime analisi hanno infatti portato a scoprire che il ransomware utilizza un attacco a dizionario per accedere agli account protetti con password deboli. Una volta che gli attaccanti hanno violato l'account, eseguono login da remoto sul dispositivo esposto: procedono quindi a distribuire il ransomware 

Checkmate è stato individuato in diffusione per la prima volta intorno al 28 di Maggio: è individuabile a colpo d'occhio perché aggiunge ai file criptati l'estensione .checkmate e la nota di riscatto si chiama !CHECKMATE_DECRYPTION_README. Nella foto sotto, la nota di riscatto: mediamente sono richiesti 15.000 dollari in Bitcoin.