Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

Microsoft ha confermato la scoperta di due vulnerabilità 0-day in Microsoft Exchange Server 2013, 2016 e 2019. Le due vulnerabilità sono:

• CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
• CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante. 

Queste le descrizioni brevi di Microsoft rispetto alle due vulnerabilità: la corporation ha comunque fatto sapere di essere già al lavoro per produrre i fix necessari a "tappare" le due falle. 

"Al momento, Microsoft è a conoscenza di attacchi mirati che stanno sfruttando queste due vulnerabilità per accedere ai sistemi degli utenti" ha dichiarato Microsoft.

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che al momento queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Le due 0-day sono in uso in attacchi reali contro le aziende

Anatomia di Hydra, il nuovo banking trojan diffuso in Italia

Individuato in diffusione la scorsa settimana dal CERT, non si era mai visto in Italia. Arriva Hydra, il trojan bancario diffuso via SMS.

La campagna di diffusione della scorsa settimana

Il CERT-AgID ha individuato, assieme a D3Lab, un nuovo malware pensato per i dispositivi Android che non era mai stato intercettato in Italia: il malware si chiama Hydra ed è stato diffuso la scorsa settimana con una campagna di smishing mirata contro utenti italiani. 

Il malware è stato diffuso via SMS contenenti un link che conduce ad una pagina di download. Questa pagina risulta visibile solo nel caso in cui  il browser presenti uno user agent Android. Il file dannoso, in formato APK, è hostato su un server Discord e da lì viene scaricato.  La pagina di download si presenta come una pagina dove scaricare o aggiornare l'APP per transazioni in criptovalute CoinBase.

Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati

Pessima notizia che potrebbe segnare un cambio di passo nelle strategie ransomware: è stata individuata in diffusione una versione di BlackCat che, una volta rubati i dati, non cripta quelli rimasti nella macchina, ma li distrugge. Dopo il modello del Ransomware as a service, dei leak site e della tripla estorsione, siamo di fronte all'ennesima evoluzione del mondo ransomware? 

BlackCat "sposa Exmatter", il modulo distruggi-dati

La nuova versione di BlackCat che distrugge i dati è stata individuata dalla società di sicurezza informatica Cyderes. La particolarità di questa versione è quella di portare con sé, oltre alle classiche funzionalità di esfiltrazione dei dati, anche un modulo chiamato Exmatter. 

Exmatter è un tool di esfiltrazione dati in .NET  ed è sviluppato per prendere alcuni tipi specifici di file da cartelle selezionate e caricarli in server controllati dagli attaccanti, prima che il ransomware entri in esecuzione e avvii la routine di criptazione. Va detto, è già usato da molte operazioni ransomware, non solo BlackCat. Il punto è che il gruppo BlackCat lo utilizza in una maniera del tutto nuova. 

Questa versione di Exmatter infatti tenta di corrompere i file nel sistema bersaglio anzichè criptarli: in pratica li mette in fila per distruggerli. Infatti, la prima operazione compiuta da Exmatter è quella di generare la coda dei file rispondenti ad una lista di estensioni bersaglio: questa lista è "hard-coded" nel tool stesso. La coda viene composta proprio mettendo in fila tutti i file con le estensioni target. Questi file vengono quindi esfiltrati verso server controllati dagli attaccanti. Una volta esfiltrati, i dati sono aggiungi in una nuova coda per essere processati da una classe che si chiama Eraser. In dettaglio un segmento di dati di dimensioni arbitrarie che inizia all'inizio del secondo file viene letto in un buffer, quindi scritto all'inizio del primo file: in pratica viene sovrascritto e danneggiato. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

Ulteriori analisi hanno individuati altri dettagli

Attacchi ransomware: Italia prima in Europa, settima nel mondo

Il "Report sulla cybersecurity del primo semestre 2022" di Trend Micro non lascia spazio a interpretazioni: i gruppi ransomware hanno scelto l'Italia come bersaglio preferito. Il numero di attacchi è addirittura aumentato rispetto al 2021

Ransomware: bad news per l'Italia

L'Italia è al primo posto per numero di attacchi ransomware per il periodo Gennaio - Marzo 2022. Se guardiamo alla classifica mondiale invece siamo la 7° nazione più colpita al mondo. Più in generale, siamo in testa in Europa anche per attacchi malware subiti, terzi nel mondo.

Ecco qualche numero.

Classifica attacchi ransomware nel mondo:

• Stati Uniti (19,69%), 
• Giappone (10,18%), 
• Turchia (7,97%), 
• India (5,11%), 
• Taiwan (4,29%), 
• Messico (4%), 
• Italia (3,56%), 
• Olanda (3,26%), 
• Francia (3,08%), 
• Germania (2,96%).

In questa classifica, l'Italia è prima in Europa. LockBit e Conti i due ransomware più aggressivi, facendo registrare un +500% su base annua di attacchi. nei primi sei mesi del 2022 hanno raddoppiato il numero dei rilevamenti. Ora, come raccontato qui, Conti è un'operazione ransomware abbandonata che però si è "divisa" in mille rivoli di altre operazioni ransomware e malware ed è responsabile del ritorno in attività della botnet Emotet. 

Classifica attacchi macro - malware

L'anello debole della sicurezza informatica: hacker 18enne viola i sistemi di Uber mandando una email ad un dipendente

Stiamo parlando di Uber, il colosso della mobilità condivisa a basso costo. Che spende milioni di dollari in cyber sicurezza. Eppure Uber è stata "bucata" qualche giorno fa:

"sembra che abbiano compromesso molte cose” e "da quello che sembra, si tratta di una compromissione totale" ha dichiarato Sam Curry, un ingegnere informatico tra i primi a comunicare con l'attaccante. L'attaccante infatti ha dimostrato di aver fatto irruzione, con accesso completo, anche negli ambienti cloud aziendali ospitati su Amazon e Google, dove Uber archivia sia dati che codice sorgente. Non solo: l'attaccante ha fornito anche prove che confermano che ha avuto accesso alla rete Slack interna della società. 

Uber è stata costretta a disattivare i sistemi di comunicazione e di ingegneria interni, per analizzare l'incidente e minimizzare i rischi. Certo è che il data breach è avvenuto, come confermato dalla società stessa su Twitter.

We are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.

— Uber Comms (@Uber_Comms) September 16, 2022

La società ha anche diramato un comunicato ufficiale, consultabile integralmente qui 

Come un 18enne ha violato la sicurezza informatica di un colosso

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 10 - 16 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 10 - 16 Settembre

La scorsa settimana il CERT ha individuato e analizzato 24 campagne dannose mirate contro utenti italiani e 2 campagne generiche veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 5, diffuse con sette diverse campagne:

• AgentTesla è stato diffuso con due campagne mirate a tema Ordine. Le email veicolavano allegati dannosi nei formati ISO e RAR. Una campagna è stata veicolata tramite Guloader.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con due campagne mirate, uno a tema Contratti e uno a tema Pagamenti. Le email veicolavano allegati nei formati ZIP e IMG. Anche in questo caso è stato usato Guloader come loader del malware.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;

La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

I ricercatori di sicurezza monitorano attentamente le attività della botnet Emotet: d'altronde resta una delle principali minacce alla sicurezza informatica di singoli utenti, aziende ed enti. Recentemente i ricercatori hanno fatto una pessima scoperta, che dimostra non solo come Emotet sia definitivamente tornata in attività, ma anche di come il gruppo che la gestisce sia molto attivo anche nello stipulare "partnership".

Come raccontato già in precedenza, la botnet Emotet era stata abbattuta da una coalizione di forze dell'ordine internazionali ad inizio 2021: fu con grande sforzo del gruppo ransomware Conti che la botnet è stata rimessa in piedi ed ha iniziato a distribuire il ransomware Conti.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

D'altronde la botnet Emotet porta un grande vantaggio ai gruppi ransomware e non solo, dato che fornisce il vettore iniziale di attacco, o precursore, per molteplici attacchi. 

Nel Giugno 2022 però si è sciolto il gruppo che gestiva il ransomware Conti, quindi la botnet ha trovato nuovi partner. Le analisi hanno indicato che al momento Emotet ha iniziato a distribuire i ransomware Quantum e BlackCat.

In dettaglio, spiegano i ricercatori, la botnet Emotet viene attualmente usata per distribuire un beacon di Cobalt Strike sui sistemi infetti. Cobal Strike è aa tutti gli effetti un payload di seconda fase e consente agli attaccanti di spostarsi lateralmente lungo le reti infette. Il payload del ransomware viene quindi distribuito nella rete della vittima. Il flusso è quindi identico alle modalità con cui veniva in precedenza distribuito Conti, con la differenza che il vettore di accesso iniziale non è più TrickBot. 

Emotet è più attiva che mai

Il ransomware LockBit colpisce aziende ed istituzioni: online i dati rubati al Comune di Gorizia

Certo, è impossibile (né è nostro scopo) elencare dettagliatamente tutti gli attacchi informatici avvenuti in Italia negli ultimi giorni. Alcuni però sono importanti, sia perché indicano tendenze sia perché indicano, invece, gravi mancanze dalle quali si può sempre imparare. 

Per approfondire > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC

LockBit colpisce la Software Line e il Comune di Gorizia

LockBit 3.0 è ormai, indubbiamente, in vetta e saldamente al comando tra le operazioni Ransomware: il più efficace, il più efficiente, quello che miete più vittime. In Italia ormai ve n'è una distribuzione costante e, di settimana in settimana, aumentano le vittime: di conseguenza continueremo, come stanno facendo giustamente tutti i nostri colleghi di settore, a lanciare l'allarme sul pericolo ransomware e sull'urgenza, ormai irrimandabile, di correre ai ripari. 

In ordine di tempo, l'attacco più recente segnalato dagli attentissimi esperti di red Hot Cyber è stato quello della Software Line, comparsa pochi giorni fa nel leak site di LockBit 3.0: il countdown  per il pagamento del riscatto è fissato al 24 Settembre. 

Fonte: Red Hot Cyber

Come si può vedere, al countdown sono allegati alcuni sample che, come da consuetudine, servono a provare che l'attacco è realmente avvenuto e riuscito. 

I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

Un numero crescente di gruppi ransomware sta adottando una nuova tecnica per criptare i dati presenti nei sistemi bersaglio: questa nuova tecnica li aiuta a velocizzare la criptazione, quindi riduce la possibilità che le soluzioni EDR o semplicemente antivirus possano individuare e bloccare la routine di criptazione. 

Questa tecnica si chiama criptazione intermittente e consiste nel criptare soltanto parti del contenuto dei file sotto attacco: i file saranno comunque inaccessibili e irrecuperabili senza ottenere la chiave di decriptazione, ma è indubbio che "il lavoro" che deve svolgere il ransomware si riduce drasticamente. E con esso il tempo necessario per criptare un intero sistema. Per parlare concretamente: saltare ogni 16 byte di file consente di criptare un file nella metà del tempo che solitamente occorrerebbe per una criptazione completa. Il risultato non cambia però: il contenuto del file diviene inaccessibile. 

C'è un secondo vantaggio, per gli attaccanti: la criptazione è più leggera, più blanda quindi è più complesso, per gli strumenti di rilevamento automatico che si basano sull'individuazione degli attacchi rilevando e segnalando pesanti operazioni di modifica sui file. 

Per saperne di più > Il fattore tempo: quale ransomware cripta più velocemente i dati?

La criptazione intermittente è sempre più diffusa

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 - 9 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 3-9 Settembre

La scorsa settimana il CERT ha individuato e analizzato 28 campagne dannose: di queste 25 sono state mirate contro obiettivi italiani mentre 3 sono state generiche, ma hanno comunque colpito il cyber spazio italiano. 

Sono state 4 le famiglie di malware individuate in diffusione. Soltanto 7 le campagne dannose che hanno diffuso malware: 

Infrastrutture energetiche italiane sotto attacco ransomware: GSE, Eni e Canarbino colpite in pochi giorni

Le infrastrutture energetiche italiane stanno subendo un'ondata di attacchi ransomware. Da GSE ad ENI, passando per Canarbino, qualcuno sta puntando ad infrastrutture critiche del nostro paese

BlackCat attacca GSE: dopo una settimana è tornato online solo il sito web

GSE, Gestore dei servizi energetici, è una società pubblica controllata dal Ministero dell'economia e delle finanze. Si occupa di energie rinnovabili. Nella notte tra il 28 e il 29 Agosto 

"il Gse è stato vittima di un attacco informatico per mezzo di un malware di ultima generazione. Al fine di mettere in sicurezza i dati e i sistemi informativi, il sito internet e i portali sono stati resi temporaneamente indisponibili”

come ha fatto sapere il gestore stesso, dichiarando anche di aver tempestivamente segnalato l'attacco alle autorità competenti. Il sito web è finito offline e il ripristino è riuscito solo pochi giorni fa. L'attacco è stato rivendicato da una vecchia conoscenza, che in Italia si è già fatta notare più volte: parliamo dell'operazione ransomware BlackCat. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

La rivendicazione è avvenuta, come da consuetudine, nel leak site di Black Cat: qui gli attaccanti affermano di aver esfiltrato 700 GB di dati dall'infrastruttura GSE

Fonte: leak site di BlackCat / ALPHV

NAS QNAP: ennesima campagna ransomware in corso. Ma il vendor ha già reso disponibile la patch

QNAP sta avvisando i clienti riguardo una campagna di diffusione del ransomware DeadBolt, iniziata Sabato scorso. Questa campagna sta sfruttando una vulnerabilità 0-day, cioè sconosciuta prima degli attacchi, presente nella Photo Station. 

Viste le numerose richieste di assistenza per attacchi ransomware su NAS QNAP che continuiamo a ricevere, pensiamo sia importante far sapere che QNAP ha risolto la vulnerabilità sfruttata da questa operazione ransomware per criptare i dispositivi. 

La campagna ransomware DeadBolt contro i NAS QNAP

"QNAP ha scoperto che la minaccia alla sicurezza DeadBolt sfrutta una vulnerabilità presente in Photo Station per criptare i NAS QNAP direttamente connessi ad internet" spiega il vendor nel relativo avviso di sicurezza. 

Gli attacchi sono iniziati Sabato scorso. 

QNAP ha risolto la vulnerabilità 0-day: cosa devono fare gli utenti per mettersi in sicurezza

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 27 agosto – 2 settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 27 Agosto - 2 Settembre

Il CERT ha individuato e analizzato 14 campagne dannose mirate contro utenti italiani e 1 generica. Le famiglie di malware in diffusione sono state 5:

• Guloader è stato diffuso con due campagne a tema Pagamenti. Una campagna è stata mirata contro utenti italiani, una invece generica ma diffusa anche nel cyber spazio italiano. Le email veicolavano allegati dannosi DOC e RTF con sfruttamento della vulnerabilità di Office CVE-2017-11882  e allegati IMG;
• Formbook è stato diffuso con due campagne mirate contro utenti italiani, una a tema Pagamenti e una a tema Documenti. Le email veicolavano allegati ZIP e XZ.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia
• AgenTesla è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegato GZ compromessi.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia
• IceID è stato diffuso con una campagna a tema Resend. Le email veicolavano allegati ZIP.
  Per approfondire > IceId- un nuovo, sofisticato Trojan bancario: un'analisi tecnica dei Lab di sicurezza Quick Heal
• Ursnif è stato diffuso con una campagna a tema Agenzia delle Entrate. Le email veicolavano allegati compromessi XLS e XLSM. Qui l'alert pubblicato dal CERT sul proprio canale Telegram 

Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 27 Agosto - 2 Settembre

Le campagne di phishing individuate e analizzate sono state 9 e hanno coinvolti 4 brand, quasi tutti legati al settore bancario. La maggior parte delle campagne infatti sono state o a tema Banking o a tema Pagamenti (Formbook e Guloader). Sono state individuate anche campagne mirate al furto delle credenziali di accesso alle web mail: il tema più sfruttato a questo fine è stato quello della Riattivazione di account.

Tra i brand principali sfruttati dagli attaccanti per gli attacchi di phishing troviamo IntesaSanPaolo, Poste e Bper, quindi Aruba.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore 

I formati di compressione (archivi) l'hanno fatta da padroni: ZIP , GZ  e XZ occupano saldamente il podio. Si confermano i formati file più apprezzati per nascondere malware. Nuovamente, ricordiamo di fare attenzione ai file Office con macro attivabili. 

Fonte: https://cert-agid.gov.it