Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Febbraio
In questa settimana il CERT AGID ha individuato e analizzato 52 campagne dannose: di queste 51 sono state mirate contro utenti italiani, 1 sola è stata generica ma veicolata anche in Italia. Le famiglie malware osservate in diffusione sono state ben 11:

• Formbook scavalca Emotet al primo posto dei malware più distribuiti, dopo settimane di dominio incontrastato. Formbook è stato diffuso con ben 4 campagne: 3 sono state mirate contro utenti italiani, una generica. Tutte erano  a tema Preventivo e Pagamenti. Gli allegati email sono stati in formato 7Z, GZ e DOC;
• Emotet è stato diffuso solo con campagne mirate contro utenti italiani. I temi sono stati Resend, Documenti e Pagamenti, gli allegato vettore utilizzati invece sono stati il formato archivio .ZIp e i file Excel XLSM e XLS;

Hermetic Wiper, il malware usato contro l'Ucraina è già arrivato in Italia. Ha un solo scopo: distruggere.

C'è una guerra nella guerra, o forse sarebbe meglio dire che c'è un nuovo aspetto della guerra, meno visibile ma comunque molto devastante. E' la cyber war ed è l'aspetto forse meno raccontato di questo conflitto in Ucraina. 

L'ingresso delle truppe russe in Ucraina è stato anticipato da una pesante giornata di attacchi informatici: i classici DDoS contro siti governativi e i principali istituti bancari del paese, ma non solo. Dalla giornata di mercoledì l'Ucraina è stata investita da una massiva diffusione di un nuovo malware: i ricercatori di sicurezza lo hanno ribattezzato Hermetic Wiper.

Hermetic Wiper: una prima presentazione
Hemertic Wiper è una nuova famiglia di wiper, cioè malware pensati per cancellare tutte le informazioni presenti sui supporti di memoria presenti nelle macchine bersaglio. Si presenta sotto forma di eseguibile che è addirittura firmato con un certificato valido di Hermetica Digital Ltd.

sLoad: l'approfondimento del CERT sul malware che colpisce solo in Italia (via PEC)

Il CERT ha reso pubblico qualche giorno fa un importantissimo report sul malware sLoad. sLoad è in diffusione in Italia ormai da tempo e si contraddistingue per essere diffuso tramite campagne via email PEC. Il CERT collabora da qualche tempo con alcuni dei principali provider di servizi PEC italiani proprio nell'ottica di individuare, tracciare e quindi contrastare campagne dannose che dovessero transitare tramite un circuito come quello PEC che deve distinguersi necessariamente per sicurezza. 

Il report è da inquadrarsi proprio nell'ambito di queste attività di tutela e protezione del circuito PEC, dato che sLoad è veicolato esclusivamente tramite questo canale. Il report abbonda di dettagli tecnici che non renderemo nella loro totalità: tratteremo i punti salienti invitando a consultare il report completo disponibile sul sito istituzionale del CERT.

sLoad: biografia
sLoad è stato diffuso per la prima volta in Italia nell'Ottobre del 2018, anche se alcune fonti datano la prima individuazione nel nostro cyber spazio già nel Giugno 2018. In quel periodo circolava un report del ricercatore di sicurezza Vitali Kremez nel quale si affermava che fosse il malware bancario Ramnit il payload di sLoad. 

Per la maggior parte dei ricercatori è un malware pensato appositamente per colpire in Europa (Italia e Inghilterra in primis) ma è andato progressivamente a concentrarsi solo sull'Italia. Nell'osservazione delle campagne italiane non è mai stato individuato il malware Ramnit come payload di Sload, sottolinea il CERT. Si ipotizza quindi che il malware sia nato veicolando Ramnit in Inghilterra e che poi si sia focalizzato sul nostro paese sostituendo il payload. 

sLoad: come si diffonde?

Accordo tra Garante privacy e Agenzia per la sicurezza nazionale cibernetica

Dopo tante parole finalmente di passa ai fatti: il 26 Gennaio 2022 Pasquale Stanzione, presidente dell'Autorità Garante per la Protezione dei dati personali e Roberto Baldoni, direttore generale dell'Agenzia per la sicurezza nazionale cibernetica, hanno sottoscritto il Protocollo d'Intesa Biennale. Questo ha l'obiettivo di attivare una stretta collaborazione in difesa del cyber spazio nazionale e della privacy dei cittadini. Con un'attenzione particolare al fatto che entrambe le materie sono soggette a continui e celeri cambiamenti: il protocollo lascia infatti libere entrambe le parti di poter proporre variazioni e aggiornamento secondo l'avanzamento dello stato dell'arte della tecnologia, delle normative e delle cyber minacce. 

Il protocollo: quali obiettivi?
Scopo del protocollo è rendere stabile e normata la cooperazione tra le due istituzioni per

"il miglior esercizio delle rispettive competenze, promuovendo iniziative congiunte nel campo della cybersicurezza nazionale e della protezione dei dati personali", come si legge nel comunicato ufficiale con cui il Garante e l'ACN hanno annunciato alla stampa la firma del protocollo. 

Il comunicato stampa > https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9739921

Tra i due istituti vi sarà un continuo scambio di informazioni e entrambi saranno motore di attività di consapevolezza e promozione di buone pratiche di sicurezza. Saranno previste collaborazioni col mondo accademico e della ricerca. 

Il ransomware Conti ha una nuova e potente arma: acquisite le operazioni di TrickBot

TrickBot è stato uno degli incubi più neri per i ricercatori di cybersecurity e i team IT di tutto il mondo. Le sue operazioni sono in corso ormai da quattro anni ed hanno avuto un volume e un'intensità tali da fargli guadagnare la "top 10" dei malware più temibili degli ultimi anni. 

Qualche giorno fa TrickBot ha annunciato lo stop alle proprie operazioni, visto che una parte consistente del vertice organizzativo della banda di cyber criminali è entrato a far parte delle operazioni del ransomware Conti. 

Trickbot in breve
Trickbot è un malware pensato per Windows: è un classico esemplare di malware modulare, ovvero che si compone di più moduli ognuno dei quali è deputato ad una diversa funzione dannosa. Le operazioni comunemente svolte da Trickbot sono furto di informazioni sensibili, furto di credenziali, primo accesso alla rete bersaglio, distribuzione di malware nelle reti violate, infiltrazione dei domini Windows. 

Ha sempre lavorato in coppia coi ransomware: dal 2016, anno del suo debutto, è stato responsabile dell'infezione di milioni di dispositivi in tutto il mondo, molti dei quali, dopo un iniziale accesso di TrickBot, sono stati poi colpiti da infezioni ransomware di varie varietà. Tra le prime collaborazioni troviamo quella con il ransomware Ryuk, al quale il gruppo dietro TrickBot concedeva l'accesso alle reti violate in cambio della spartizione dei proventi derivati dal riscatto delle vittime. Ma il divorzio è arrivato presto, quando si è preferito concedere gli accessi ai cyber criminali del ransomware Conti, più specializzati in attacchi alle reti aziendali e quindi forieri di maggiori profitti. La collaborazione con Conti prosegue ormai da anni e ha portato a guadagni ben oltre i 200 milioni di dollari.