Web Browser: la classifica dei più vulnerabili

Web browser: secondo il report di AtlasVPN non ci sono dubbi, il più vulnerabile è Chrome. 

Classifica dei browser più vulnerabili: una doverosa premessa

Una premessa è d'obbligo: tanto più un software o un sistema operativo è diffuso e popolare tanto più attira l'attenzione. Non solo degli attaccanti, ma anche dei ricercatori di sicurezza e dei "bug hunter", i cacciatori di vulnerabilità. Questo dato di fatto avrà sicuramente influenzato i risultato di questo report, senza però togliere valore a quanto vi è riportato: Chrome è il browser più vulnerabile, lo è molto più di Edge e questo è anche perché Chrome è molto più usato di Edge e quindi attira più ricercatori e attaccanti di quanto non faccia Edge. 

Nulla di diverso da quanto vale anche per i sistemi operativi: di Windows si conoscono molte più vulnerabilità di quante non se ne conoscano per Linux. Windows è più vulnerabile di Linux. 

Finite le premesse, andiamo al sodo

Torniamo quindi al punto centrale: la classifica dei web browser più vulnerabili. Il report completo è disponibile qui > Google Chrome has the most reported vulnerabilities among browsers in 2022

Anzitutto Atlas VPN pone un punto importante: la sicurezza dei web browser è cruciale. Per vari motivi: certo, la sicurezza di tutti i software è importante, ma i browser web sono tra i software più afflitti da vulnerabilità. L'altro motivo è che i web browser sono estremamente popolari e utilizzati: vedono transitare al loro interno, quindi, una enorme mole di dati, molti dei quali anche sensibili e personali. Il che li rende estremamente ghiotti per gli attaccanti. 

Nasce da qui la volontà dei ricercatori Atlas VPN  di stilare la classifica dei browser più vulnerabili. Che è scontata, verrebbe da dire, e rimandiamo quindi alla premessa iniziale. 

Web browser più vulnerabili: Chrome sul gradino più alto del podio

Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo

Botnet Emotet: rilevata una nuova attività collegata alla botnet Emotet. Nella nuova campagna sono usati file PDF ed Excel come esca, mentre l'archivio RAR (protetto da password) contenente il malware si sblocca da sé

La nuova campagna di Emotet

L'alert viene dai ricercatori Trustwave-SpiderLabs: la botnet Emotet è legata ad una nuova ondata di campagne di phishing che sfruttano archivi protetti da password per diffondere due malware sui sistemi infetti. I due malware sono CoinMiner e QuasaRat. La particolarità è che l'archivio, protetto da password, si auto sblocca senza necessità che sia l'utente ad inserire codici per estrarlo ed eseguirne il contenuto. 

Come? Semplicemente, gli attaccanti hanno aggiunto un file batch che fornisce automaticamente le password. Si riduce il ruolo che deve "giocare" l'utente nel corso dell'infezione. Il problema non è secondario, come si è visto di recente, quando il CERT ha segnalato che una campagna di diffusione di sLoad contro il circuito PEC non ha funzionato perché gli attaccanti si sono dimenticati di allegare al corpo email la password per estrarre l'archivio. 

La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.

Per saperne di più > La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

Emotet: dettagli di diffusione

Il malware Ursnif cambia strategia: dal furto di account bancari a accesso iniziale nelle reti (per i ransomware?)

E' stata individuata una nuova versione del malware Ursnif che presenta soltanto funzionalità da backdoor: non c'è traccia delle funzionalità, caratteristiche di Ursnif, da trojan bancario. Un cambiamento molto indicativo per questo malware diffuso a livello mondiale e, molto spesso, anche in Italia: potrebbe infatti significare che Ursnif sta mutando funzioni. Non punta più a rubare gli account bancari ma si specializza nell'aprire punto di accesso iniziale su reti bersaglio. E' pronto il debutto nelle operazioni ransomware?

La nuova variante di Ursnif LDR4

La nuova variante, nome in codice LDR4, è stata individuata a Giugno e si sospetta che sia stata diffusa dagli stessi autori che hanno mantenuto la versione RM3 negli anni passati.

Le varianti Ursnif circolate negli ultimi anni. Fonte: Mandiant

La nuova campagna di diffusione di Ursnif

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 8 - 14 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla c0nsapevolezza. 

I malware della settimana 8 - 14 Ottobre

La scorsa settimana il CERT AgID ha individuato e analizzato 24 campagne dannose che hanno preso di mira utenti italiani. Le famiglie malware individuate in diffusione sono state 7. In dettaglio sono state:

• Remcos è stato diffuso con due campagne a tema Documenti e Preventivo: le email veicolavano allegati archivio in formato RAR;
• Avemaria è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegati in formato 7Z;
• Guloader è stato diffuso con una campagna a tema Pagamenti. Le email veicolavano allegati GZ;
• AgenTesla è stato diffuso con una campagna a tema Delivery. Le email veicolavano allegati GZ. Si registra l'uso di Guloader come downloader. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con una campagna a tema Banking. Le email veicolavano archivi RAR. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• sLoad dopo due mesi di silenzio torna in diffusione in Italia. La campagna è stata a tema Pagamenti ed è circolata nel circuito PEC. Gli attaccanti hanno però compiuto un errore, veicolando un archivio ZIP protetto da password senza inserire la password nel corpo email: questo ha, per adesso, impedito le infezioni. Qui il report dettagliato del CERT su questa campagna;
• Brata è stato diffuso con una campagna veicolata via SMS e mirata contro utenti Android. L'SMS, a tema banking, conteneva un link che conduceva al download di un APK dannoso. Per approfondire > Brata, il RAT per Android diffuso in Italia, si evolve in minaccia persistente. Ora intercetta gli SMS e le OTP. 

Remcos in breve:

La Polizia olandese beffa il gruppo ransomware DeadBolt: ottenute 155 chiavi di decriptazione

La Polizia olandese, in collaborazione con alcune aziende di cyber sicurezza, ha truffato il gruppo ransomware DeadBolt, sottraendo loro oltre 155 chiavi di decriptazione. 

Il ransomware DeadBolt e le ondata di attacchi contro i NAS Qnap

Di DeadBolt abbiamo già parlato: è un ransomware che si è specializzato negli attacchi contro i NAS del vendor QNAP. L'Italia è stata riguardata in due diverse ondate di attacchi, risalenti al Febbraio e al Settembre 2022.

L'operazione ransomware DeadBolt è iniziata nel Gennaio del 2022 prendendo fin da subito di mira i NAS Qnap: nel Febbraio del 2022 il raggio di azione si è allargato, fino ad andare a colpire i NAS ASUSTOR. Nella quasi totalità dei casi, gli accessi ai NAS Qnap sono stati dovuti all'exploit di vulnerabilità 0-day. 

Per approfondire > Ancora NAS QNAP, ancora ransomware: DeadBolt colpisce in Europa, Italia compresa (Febbraio 2022)

NAS QNAP: ennesima campagna ransomware in corso. Ma il vendor ha già reso disponibile la patch (Settembre 2022)

La Polizia olandese truffa i truffatori

Microsoft Exchange: nuova vulnerabilità 0day sfruttata dal Ransomware Lockbit

Microsoft ha individuato un'ondata di attacchi legati alla campagna ransomware Lockbit: sta sfruttando una nuova vulnerabilità 0day.

Microsoft sta analizzando una serie di segnalazioni relative all'uso di una vulnerabilità 0day sfruttata dal servizio ransomware Lockbit per attaccare i server Exchange. La prima individuazione di attacchi che sfruttano questa 0day in realtà risale al Luglio 2022: in questo caso gli attaccanti, affiliati di Lockbit, hanno usato una webshell distribuita in precedenza su un server Exchange per l'escalation dei privilegi di amministrazione nell'Active Directory. Sono così riusciti a rubare più di 1 TB e a criptare i sistemi aziendali.  I ricercatori di AhnLab, che per primi hanno analizzato la 0day, riferiscono che gli attaccanti hanno impiegato una settimana per acquisire l'account admin dell'Active Directory. La compromissione è stata possibile grazie, appunto, ad una "0-day non divulgata". 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Nuova vulnerabilità 0day di Microsoft Exchange

Anatomia di BluStealer, il nuovo malware per il furto dati distribuito in Italia

Alla fine è arrivato anche in Italia, come indicato dal CERT nell'ultimo report settimanale sulle minacce informatiche circolate nel nostro paese. Parliamo del malware per il furto dati BluStealer

BluStealer: la campagna di diffusione individuata dal CERT

Il CERT ha pubblicato un lungo reportage su BlueStealer, dopo aver individuato per la prima volta nel nostro paese una campagna di diffusione di questo malware. Le email erano a tema Bonifici e emulavano comunicazioni ufficiali di un fantomatico Istituto di Credito Relax Banking. Nel corpo email erano visibili in anteprima due file PDF, pensate per indurre l'utente a cliccarci sopra. Il click sulle anteprime conduceva al download di un file ISO. L'infezione inizia con l'apertura di questo file. 

Fonte: https://cert-agid.gov.it/

L'email risulta proveniente da una macchina facente parte di un servizio localizzato negli Stati Uniti, le due "anteprime PDF" altro non sono che immagini contenenti il link che punta al download del file ISO

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 1-7 Ottobre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 1 - 7 Ottobre

La scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose: 18 sono state mirate contro gli utenti italiani, 4 sono invece state generiche ma circolate comunque nel cyber spazio italiano. 

Le famiglie malware individuate in diffusione sono state 8: tra tante conferme, c'è una novità. E' stato individuato in diffusione per la prima volta in Italia il malware per furto dati BluStealer. Ecco qui i malware diffusi:

• Formbook è stato diffuso con due diverse campagne email, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati dannosi nei formatiLZH e RAR.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;
• BluStealer è stato diffuso per la prima volta in Italia con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email  contenevano un link che rimanda al download di un file in formato ISO.
  Rimandiamo al dettagliato approfondimento del CERT per approfondire questa minaccia;
• Qakbot è stato diffuso con due campagne mirate, una a tema Resend e una a tema Pagamenti. Il corpo email conteneva un link che conduce al download di un archivio ZIP. Entro l'archivio sono presenti file ISO, LNK o XLSB.
  Per approfondire > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia;
• Lokibot è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati RAR;
• SMSRat è stato diffuso con una campagna circolata via SMS e rivolta ad utenti Android. Gli SMS erano a tema banking e contenevano un link che portava al download di un APK dannoso;
• AgentTesla è stato diffuso con una campagna a tema Delivery che ha sfruttato il brand DHL. Le email veicolavano allegati dannosi in formato XLSX.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Remcos è stato diffuso con una campagna a tema Documenti diffusa vie email con allegati RAR;
• IceID è stato diffuso con una campagna fale di Agenzia Entrate e Riscossione: le email veicolavano allegati XLS dannosi. La campagna ha riguardato anche indirizzi PEC. 

Lokibot in breve

Industrial Spy: il marketplace di dati rubati lancia il suo ransomware. Ha già colpito in Italia

Industrial Spy nasce come marketplace dove comprare dati rubati. Da qualche settimana è però diventata anche una operazione ransomware che ha già colpito utenti italiani.

Abbiamo ricevuto richieste di assistenza da parte di utenti italiani per la risoluzione dell'infezione ransomware Industrial Spy. Con i nostri partner tecnologici stiamo analizzando l'infezione: ad ora questa non ha soluzione, quindi ci limitiamo a fornire una prima analisi tecnica e qualche misura di mitigazione.

Industrial Spy: dal marketplace al ransomware

Nell'Aprile di quest'anno un gruppo di cyber attaccanti ha lanciato un nuovo marketplace di dati rubati. Vi si trovano in vendita i dati rubati da aziende e organizzazioni, ma i gestori offrono anche dataset gratuiti agli affiliati. La particolarità di Industrial Spy è che si promuove come un marketplace nel quale le aziende possono acquistare i dati della concorrenza, ottenendo l'accesso a segreti commerciali, report, database dei clienti, progetti, diagrammi di produzione ecc...

Dall'altro lato, il marketplace era già usato come metodo di estorsione verso le vittime "bucate" dagli attaccanti: in pratica le aziende attaccate vengono minacciate di pubblicazione dei dati rubati proprio in questo marketplace. Un pagamento in criptovalute scongiurerebbe la pubblicazione di dati critici. In pratica lo stesso identico meccanismo utilizzato dalle campagne ransomware che, come secondo o terzo livello di estorsione oltre alla criptazione dei dati, usano proprio la minaccia di pubblicazione dei dati rubati. Non solo: tra i dati in vendita se ne trovano alcuni provenienti proprio da aziende già in passato vittime di operazioni ransomware.

Insomma il marketplace Industrial Spy aveva già un piede nel mondo dei ransomware e ora ha deciso di entrarci "mettendosi in proprio".

Ransomware Industrial Spy: cosa sappiamo per adesso?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 24 - 30 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 24 - 30 Settembre

La scorsa settimana il CERT ha individuato e analizzato 20 campagne dannose attive nel cyber spazio italiano: 17 sono state mirate contro obiettivi italiani, 3 invece sono state generiche. Le famiglie malware in distribuzione sono state 6:

• AgenTesla è stato distribuito con 4 diverse campagne a tema Informazioni e Pagamenti. Le campagne email sono state 2 generiche e 2 mirate contro utenti italiani. Le email veicolavano allegati GZ, 7Z e IMG. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
• Formbook è stato diffuso con due campagne, una a tema Ordine e una a tema Pagamenti. Le email veicolavano allegati ZIP e ISO. Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia;