Il gruppi di cyber attaccanti Conti ha rivendicato ieri pomeriggio, Lunedì 25 ottobre, l'irruzione nei sistemi della San Carlo Gruppo alimentare Spa: si è proprio lei, la famosissima azienda che produce patatine fritte, pop corn, pane e dolci. Il gruppo ha rivendicato l'attacco sul proprio sito Tor di leak:
 |
| Il sito di leak su Tor del gruppo ransomware Conti |
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 09 - 15 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 31 campagne dannose attive nel cyber spazio italiano: 25 sono state mirate contro obiettivi italiani, 6 invece sono state campagne generiche veicolate anche in Italia. 889 gli indicatori di compromissione che il CERT ha messo a disposizione, consultabili dal sito istituzionale.
Le campagne malware analizzate sono state 12 e hanno visto la diffusione di 6 diverse famiglie malware:
Aggiornamento 22/10/2021: a quanto si apprende da testate di settore e dalle dichiarazioni rese dal gruppo di attaccanti di Everest, l'attacco non ha previsto l'uso di ransomware. I dati cioè non sono stati criptati, ma semplicemente esfiltrati. L'attaccante ha dichiarato che l'attacco si è svolto con un penetration test sulle infrastrutture digitali di SIAE, quindi si è proceduto con l'esfiltrazione dei dati. Il riscatto, inizialmente fissato a 3 milioni di euro in Bitcoin, è stato abbassato a 500.000 euro, anche in seguito alla volontà, pubblicamente dichiarata da SIAE, di non pagare alcun riscatto. Il Garante intanto ha annunciato pubblicamente l'apertura dell'istruttoria.
La SIAE, Società Italiana degli Autori ed Editori, è stata colpita da un attacco ransomware: stando a quanto dichiarato dai cyber attaccanti, i dati rubati ammontano a circa 60 GB (28.000 documenti) e conterrebbero carte e documenti di identità (numeri dipassaporto, patenti di guida), documenti di iscrizione e deposito di migliaia di artisti. La conferma dell'esito dell'attacco e del furto dei dati è stata data dalla Siae stessa alla redazione di Cybersecurity360: è stato confermato anche il fatto che è già stata presentata la richiesta di riscatto in Bitcoin per un ammontare di 3 milioni di euro (così riporta il Corriere della Sera). Gli attaccanti hanno anche già fatto sapere che se SIAE si rifuterà di pagare, i 60GB di dati saranno resi pubblici a piccole dosi. Intanto la cyber gang ha già provveduto a pubblicare e mettere in vendita, sul proprio sito di leak, una prima parte dei dati rubati a mò di prova dell'avvenuta irruzione nei sistemi SIAE, facendo anche sapere si essere già pronti a pubblicarne altri.
 |
| Il sito di leak del ransomware Everest |
 |
| Fonte: https://cert-agid.gov.it |
Come si vede, l'oggetto rimanda ad un fantomatico "aggiornamento critico" di Dike, il programma per la firma digitale di InfoCert molto diffuso nella PA, ma anche nel settore privato.
Di Hancitor abbiamo parlato per la prima volta nel mese di Luglio di quest'anno, quando il CERT-AGiD, nell'ambito delle verifiche sulle campagne di attacco in corso nel cyberspazio italiano, individuò la prima campagna di diffusione in Italia: come tutti i downloader, Hancitor era impostato per scaricare e installare ulteriori malware che, in quel caso era FickerStealer, un infostealer.
Per approfondire > Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer
Dal mese di Settembre ad ora, Hancitor figura costantemente tra i malware diffusi in Italia e monitorati dal CERT: anche nel corso della settimana 02 - 08 Ottobre Hancitor si conferma il secondo malware più distribuito in Italia, stando ai dati del CERT AGID. Ecco perchè riteniamo utile dedicarvi un breve approfondimento.
Info tecniche
Hancitor è un infostealer, ma la sua funzione principale è quella di Donwloader. Una volta che ha infettato un dispositivo, infatti, vi scarica e installa ulteriori malware: nel 2020 ha iniziato ad utilizzare il tool di penetration testing Cobal Strike, mentre le prime campagne italiane lo vedevano in coppia con FickerStealer. Negli ultimi mesi gli attori che lo gestiscono hanno iniziato anche ad utilizzare un tool per il ping delle reti, utile a enumerare gli host attivi nell'ambiente Active Directory.
La Unit24 di PaloAltoNetwork ha condotto approfondite analisi su questo malware e le sue campagne di diffusione: l'immagine sotto mostra la catena di infezione, che tendenzialmente è invariata dal 2020 a parte lievi modifiche
