Emotet attacca la Germania: Francoforte bloccata per un giorno intero

Stiamo parlando spesso del trojan bancario Emotet, una cyber minaccia in continua evoluzione diffusa da qualche mese anche in Italia, con vere e proprie campagne di malspam mirate contro enti pubblici e aziende italiane. 

Con l'avvicinarsi del nuovo anno gli attori responsabili di Emotet (che ricordiamo è un MaaS - Malware as a Service, affittabile online da chiunque paghi la quota di affiliazione) hanno provveduto ad alcune modifiche che, quasi sicuramente, vedremo operative nelle nuove versioni che saranno diffuse in questi giorni di festività: la principale è sulla modalità di diffusione, ma ne daremo conto nel caso in cui tali modifiche diverranno operative. 

Intanto è notizia di ieri di una serie di attacchi mirati contro numerosi enti pubblici tedeschi, che hanno messo in difficoltà tale gli amministratori da dover bloccare numerosi sistemi per mitigare i danni.

A subire i danni maggiori la municipalità di Francoforte, obbligata allo shut down di tutti i sistemi IT per impedire la propagazione del malware in ulteriori infrastrutture: così per 24 ore tutti i i siti web della municipalità relativi ai servizi online per i cittadini sono rimasti offline. Anche in questo caso, la gravissima infezione si è sviluppata a partire da un solo click, stando alle ricostruzioni della stampa locale: il solito click sbagliato su mail compromessa da parte di un dipendente della municipalità.

Nuovi attacchi contro utenti italiani: in distribuzione Ursnif e Emotet

Il Cert-PA e la compagnia di cyber sicurezza Yoroi hanno diramato due diversi alert riguardanti campagne di diffusione malware via email rivolte contro utenti italiani. Una prima campagna diffonde il trojan Emotet tramite caselle di Posta Elettronica ordinaria. La seconda invece diffonde il trojan Ursnif tramite false comunicazioni di noti Corrieri quali GLS. Vediamole in dettaglio:

1. La campagna di diffusione di Emotet

la rilevazione è avvenuta ad opera del Cert-PA, che ha individuato una campagna di email di spam con riferimenti al Ministero dell'Economia e Finanze (MEF) e all'Ispettorato Generale di Finanza (IGF), un portale che ospita vari applicativi correlati alle funzioni di vigilanza. 

Il corpo email contiene un link che, all'apparenza, sembra condurre ad un documento istituzionale del MEF: in realtà reindirizza verso un dominio compromesso nel quale è in download un file .doc che ha funzioni di downloder del malware Emotet. Il tutto avviene tramite traffico SSL, così le parti di codice e i componenti dannosi del malware supereranno almeno i livelli basilari di sicurezza. 

Attacco ransomware obbliga la città di New Orleans al blocco di server e sistemi

La città di New Orleans sta lentamente tornando alla normalità, dopo aver subito un attacco ransomware di ampia portata che ha colpito le infrastrutture IT della municipalità costringendo allo shut down di computer, sistemi e server della città. 

Kim LaGrue, Chief Information Officer di New Orleans ha fatto sapere che le prime attività sospette sono state registrate già alle 5 del mattino di Venerdì scorso. Alle 8 del mattino, quando gli impiegati hanno effettuato l'accesso ai propri pc, si è verificato un vero e proprio picco di individuazioni di attività sospette ed è iniziata immediatamente una verifica dello stato di reti e sistemi. Intorno alle 11, 11.30 circa è stato confermato, anche a mezzo stampa, che la città era sotto attacco ransomware e che i partner statali e federali erano già stati allertati. E' stato diramato quindi l'ordine, a tutti i dipendenti, di spegnere e disconnettere i computer dal sistema pubblico del Municipio. Anche i server della città sono stati spenti. Sono rimasti attivi e funzionanti soltanto i servizi di emergenza come L'emergency Operation Center, il 911, il Dipartimento dei Vigili del Fuoco, il Dipartimento di Polizia ecc..

La nota di riscatto che non c'è

Il ransomware Zeppelin attacca aziende sanitarie e IT in Europa e negli U.S.A

E' in diffusione in questi giorni una nuova variante della famiglia di ransomware Buran: la nuova versione, chiamata Zeppelin, è stata individuata nel corso di attacchi reali contro aziende statunitensi ed europee. Nessuna campagna massiva di email vettore per questo ransomware, che anzi, viene distribuito quasi esclusivamente tramite attacchi mirati. 

Buran è una famiglia di ransomware della quale abbiamo già parlato, che ha debuttato come ransomware as a service (RaaS) , pubblicizzato dal Maggio 2019 su molteplici forum di hacking in lingua russa. Il "business" funziona bene, gli affiliati sono già centinaia: il RaaS Buran infatti garantisce ben il 75% di guadagno dal pagamento del riscatto per gli affiliati, riservando invece per i propri operatori solo un 25%. Da Maggio sono state rilasciate almeno tre nuove varianti della famiglia, Vegalocker e Jamper, quindi la versione attualmente in distribuzione, Zeppelin appunto. 

Zeppelin in dettaglio

L'ultimo Update Patch di Microsoft risolve una grave vulnerablità 0-day in uso in attacchi reali

Con la più recente (e ultima per quest'anno) Patch Tuesday, Microsoft ha risolto una vulnerabilità 0-day che gli attaccanti stanno sfruttando attivamente via exploit: se l'exploit ha successo gli attaccanti ottengono il controllo da remoto delle macchine vulnerabili. Pare che tale vulnerabilità venga sfruttata in combinato con un'altra vulnerabilità 0-day, la CVE-2019-13720 di Google Chrome. 

La 0-day in oggetto è indicata con CVE-2019-1458 ed è una vulnerabilità che consente l'escalation di privilegi di amministrazione sul sistema. In dettaglio, Microsoft ha spiegato che “Un attaccante che abbia sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Potrebbe, quindi, installare programmi, visionare, modificare o cancellare dati, oppure creare nuovi account con pieni privilegi di utente”.