Masterchef e Grande Fratello hacked: il ransomware DoppelPaymer colpisce la Endemol

La multinazionale francese Banijay Grousp SAS è stata colpita da un attacco ransomware da parte del noto gruppo ransomware DopplePaymer: sicuro anche il data breach, dato che ci sono già riscontri del fatto che gli attaccanti hanno avuto accesso e rubato informazioni sensibili durante l'incidente. 

Banijay è divenuto uno dei più grandi, se no il più grande, gruppo internazionale per la produzione e distribuzione di contenuti audiovisivi dopo aver proceduto all'acquisto di Endemol Shine Group per oltre 2.2 miliardi di dollari nel Luglio 2020. L'elenco dei marchi acquisiti da Banijay è molto lungo, ma tra i più famosi troviamo MasterChef, Survivor, il Grande Fratello, Black Mirror, Mr.Bean, Extreme Makeover: Home Edition ecc...

L'attacco ha colpito solo la rete di Endemol
La nota ufficiale pubblicata dal gruppo rivela che i tecnici e gli esperti di cybersecurity di Banijay "stanno gestendo un cyber incidente che ha colpito le reti dei preesistenti Endemol Shine Group e Endemol Shine International". "Abbiamo ragione di credere che alcuni dati personali di dipendenti ed alcuni ex dipendenti possano essere stati compromessi, così come le informazioni commerciali riservate" prosegue la nota. 

L'incidente è già stato notificato alle autorità competenti nel Regno Unito e nei Paesi Bassi, dove sono fisicamente locati gli asset riguardati dall'incidente e alcuni consulenti esperti in cybersecurity di terze parti sono stati assunti per aiutare nelle indagini. 

"Stiano continuando a prendere tutte le precauzioni e le misure necessarie per proteggere i nostri dipendenti, quelli attuali e quelli passati: stiamo monitorando qualsiasi uso illegittimo o illegale dei dati rubati, così da poter contattare direttamente gli individui interessati", chiude la nota. 

Dietro l'attacco il ransomware DoppelPaymer

Le VPN sono sicurissime! Ma ne siamo proprio sicuri? Il caso FortinetVPN e l'annoso problema delle patch

La notizia rimbalza da un paio di giorni su tutte le community di cybersecurity e di cyber attivisti: uno sconosciuto attaccante ha diffuso le credenziali di quasi 50.000 VPN Fortinet vulnerabili. Per capire la gravità del fatto è sufficiente dire che nell'elenco degli obiettivi vulnerabili sono presenti domini appartenenti a banche, aziende e perfino enti governativi nel mondo. 1370 sono le credenziali esposte afferenti ad utenti italiani.

I file pubblicati espongono username, password e IP non nascosti
La vicenda inizia lo scorso fine settimana, quando un attaccante non identificato ha pubblicato un lungo elenco di one-line exploit per la vulnerabilità CVE-2018-13379: exploit che rendono possibile sfruttare la falla per rubare le credenziali VPN da svariate tipologie di dispositivi. 

L'exploit della falla FortiOS di livello critico CVE-2018-13379 consente ad un attaccante di avere accesso ai file "sslvpn_websession", che contengono informazioni sensibili provenienti dalla VPN Fortinet. Questi file contengono informazioni relative alla sessione i corso ma, più importante, possono rivelare in chiaro nome utente e password degli utenti della VPN di Fortinet. 

Qualche giorno dopo viene individuato, sullo stesso forum di hacking, un data dump contenente i file "sslvpn_websession" per ognuno degli indirizzi IP presenti sulla lista: qui si trovano username, password, livello di accesso e l'IP originale non mascherato dell'utente connesso alla VPN.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 20/11
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 36 campagne dannose contro utenti italiani: 6 sono state veicolate anche in Italia, 30 avevano come target l'Italia. Sono stati ben 525 gli indicatori di compromissione pubblicati, consultabili sul sito ufficiale del CERT-AgID. 

Le famiglie di malware in diffusione sono state 9, nello specifico:

TrickBot risorge dalle ceneri e torna attivo con una nuova versione: è capace di eludere l'individuazione delle soluzioni di sicurezza

100. La nuova versione di TrickBot individuata in diffusione qualche giorno fa segna un "bel" traguardo per la cybergang dietro questo malware: è la 100° versione, rivista e migliorata soprattutto per quanto riguarda le funzionalità di evasione delle individuazioni. 

TrickBot in breve
TrickBot è un malware che viene comunemente diffuso tramite email di phishing o altri malware. Una volta installato, si esegue in background sul computer della vittima e inizia, silenziosamente, a scaricare alcuni moduli per eseguire differenti compiti: è quello che viene definito, in gergo tecnico, un malware modulare, dove ogni modulo è responsabile dell'esecuzione di una specifica funzione dannosa. Tra le attività eseguite da questi modulo ne troviamo alcune per il furto delle credenziali delle Active Directory, per la diffusione laterale nella rete, per lo screenlocking, per il furto dei cookie e delle credenziali salvate nelle password, per rubare le chiavi OpenSSH. 

Scopo principale è comunque quello di raccogliere i dati sulle macchine infette e continuare a diffondersi il più possibile nella stessa rete, per poi rivendere l'accesso ottenuto ad altri cybercriminali per la distribuzione dei ransomware Ryuk e Conti. 

Le (pessime) novità

Spotify: 300.000 account hackerati con un attacco di credential stuffing

E' già capitato molte volte, nel corso degli ultimi anni: utenti Spotify riscontrano difficoltà di accesso ai propri account, password cambiate, comparsa e scomparsa di playlist, aggiunta di utenti da altri paesi negli account. 

La nuova ondata di segnalazioni (ma non è stata affatto l'ultima) di questo tipo c'è stata questa estate, quando molteplici utenti hanno iniziato a segnare stranezze, malfunzionamenti, impossibilità di accedere ai propri account. C'è una (unica) causa scatenante? 

Forse si: un nuovo report ha rivelato che i cybercriminali stanno attivamente utilizzando un database contenente oltre 380 milioni di record, comprese credenziali di login, per accedere  agli account. Database che i ricercatori hanno individuato e acceduto poiché totalmente esposto e contenente informazioni non criptate. 

L'attacco di "credential stuffing"
Uno degli attacchi comunemente utilizzati contro gli account è detto di "credential stuffing" e, stranamente, non prevede alcun particolare accorgimento: con un attacco di credential stuffing, semplicemente, un attaccante fa uso di grandi combinazioni di credenziali (utenti e password) già trapelate in precedenti violazioni di sicurezza. Molto spesso questa tecnica funziona perché i legittimi proprietari non sono a conoscenza della violazione del proprio account, ne tantomeno che i propri dati siano in vendita nel dark web in database contenenti i dati di altri migliaia di utenti. Insomma, l'unica fatica degli attaccanti in questo caso, è quella di entrare in possesso di questi database e accedere agli account online. 

Il report del quale abbiamo accennato qualche riga fa è stato pubblicato qualche giorno fa da VPNMentor e dettaglia il ritrovamento di un database esposto online contenente oltre 380 milioni di username e password usate attivamente in attacchi di credential stuffing contro Spotify.