Una buona notizia: il ransomware Maze cessa le operazioni

I ransomware sono più numerosi e sempre più complessi, nel funzionamento dell'attacco e nella gestione dell'estorsione ma, ogni tanto, ci sono anche buone notizie e quella di oggi è davvero una Buona Notizia: il temibile ransomware Maze, capofila delle nuove tecniche di estorsione a doppio riscatto (uno per la chiave di decriptazione e uno per non vedere pubblicati online i dati rubati) sta sospendendo le operazioni di attacco. 

Maze ha rivoluzionato il mondo dei ransomware
E' significativo che Maze stia sospendendo le operazioni non solo per il livello raggiunto (in termini di importanza delle vittime e di ammontare dei riscatti), ma anche perchè Maze ha apportato modifiche così sostanziali alla metodologia di attacco ransomware da averla, nei fatti rivoluzionata. Ad esempio, prima del debutto di Maze sulla scena del cybercrime  nessun gruppo di cybercriminali aveva mai concesso interviste e risposto alle domande poste dai ricercatori di sicurezza e dei giornalisti: tutto è cambiato nel Novembre 2019, quando i gestori di Maze hanno deciso di contattare le redazioni di una serie di riviste online specializzate in cybersecurity, BleepingComputer su tutte, per diffondere la notizia che, per la prima volta, il loro attacco alla Allied Universal non aveva solo comportato la criptazione dei dati, ma anche il loro furto. Per la prima volta cioè, un gruppo di attaccanti ha spiegato alla stampa il proprio attacco, mettendone anche a conoscenza il mondo. In quel caso, da Maze spiegavano che la scelta di contattare le redazioni e informare dell'attacco dipendeva dalla volontà di aumentare la pressione estorsiva contro un'azienda che si stava rifiutando di partecipare alle trattative e pagare il riscatto.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 23/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose ai danni di utenti italiani: 382 gli indicatori di compromissione (IoC) resi disponibili. Le famiglie di malware individuate in diffusione sono state 9, in dettaglio:

Enel di nuovo sotto attacco ransomware: richiesti 14 milioni di dollari di riscatto

L'italiana Enel Group è stata colpita da attacco ransomware per la seconda volta nel corso di quest'anno. Questa volta responsabile dell'attacco è il gruppo ransomware Netwalker, che ha richiesto ben 14 milioni di dollari in Bitcoin per l'invio della chiave di decriptazione e per scongiurare la pubblicazione di terabyte di dati rubati. 

Il precedente
Lo scorso Giugno, la rete interna di Enel era stata attaccata e violata dal ransomware Snake, conosciuto anche come Ekans, ma il tentativo di diffondere il malware nella rete era stato bloccato dai sistemi di cyber sicurezza. Abbiamo parlato più dettagliatamente dell'episodio qui.

Il 19 ottobre un ricercatore di sicurezza ha scovato e inviato alla redazione di Bleeping Computer la nota di riscatto che il gruppo di Netwalker ha inviato ad Enel Group. 

Data leak e data breach: i dieci giorni dell'orrore

Notizie di data leak e data breach si susseguono ormai senza sosta: che dipenda da un attacco informatico, da dipendenti infedeli, da cattive configurazioni poco importa, la scorsa settimana si è registrato un numero impressionate di violazioni e furto di dati. Nell'impossibilità di raccontare tutti gli eventi, ci concentriamo su alcuni in particolare, importanti dal punto di vista della quantità di dati violati e per le modalità di violazione.

- Il data breach di Nitro PDF
Nitro PDF è un sistema molto usato dalle aziende per creare, modificare e firmare digitalmente PDF e altri tipi di documenti digitali: dichiara più di 10.000 clienti aziendali e 1.8 milioni di utenti su licenza. E' utilizzato da aziende del calibro di Microsoft, Apple, Google ma anche da centinaia di aziende italiane ed europee. 

Il 21 Ottobre, Nitro Software ha inviato un alert all'Australia Stock Echange per notificare un "incidente di sicurezza a basso impatto": nell'alert si specificava che nessuno dei dati dei clienti era stato violato. La realtà non è affatto questa, purtroppo: l'azienda di cybersicurezza Cyble ha fatto sapere di aver rintracciato, in vendita nel dark web, i dati dei clienti e più database di documenti, per un totale circa di 1TB di documenti rubati. Tutti i dati sono stati sottratti dal servizio in cloud che Nitro Software offre ai clienti di Nitro PDF. L'intero pacchetto è in vendita all'asta con una base d'asta iniziale di 80.000 dollari. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 16/10
Il CERT-AgID ha individuato e analizzato 23 campagne dannose attive contro utenti italiani. 284 gli Indicatori di Compromissione messi a disposizione, disponibili sul sito ufficiale CERT-AgID.

Tra i malware più individuati troviamo, al primo posto, MassLogger, che è stato veicolato con due diverse campagne, uno a tema Pagamenti e uno a tema Contatti. 

Al secondo posto Dridex, anch'esso distribuito con due campagne, praticamente contemporanee, Mercoledì 14 Ottobre. Una delle campagne era a tema Delivery, l'altra a tema Pagamenti: si conferma il formato .xlsm come il vettore di attacco più utilizzato da Dridex.