Gli operatori dei ransomware si nascondono nella tua rete dopo l'attacco (e ci restano)

Quando un'azienda subisce un attacco ransomware, molte vittime pensano che l'attaccante voglia soltanto distribuire più velocemente possibile il ransomware e andarsene subito dopo per ridurre il rischio di essere scoperto. Sfortunatamente la realtà è molto diversa anzi: gli attori dietro i ransomware non sono ben disposti a rinunciare velocemente ad una risorsa per prendere il controllo della quale hanno dovuto "lavorare duramente". Gli attacchi ransomware sono, al contrario, tutt'altro che veloci: vengono preparati e condotti col tempo. Possono passare anche giorni o mesi dal momento in cui l'attaccante viola la rete a quando distribuisce il ransomware. 

L'irruzione nella rete è il preludio di ogni attacco ransomware e può avvenire tramite servizi di desktop remoto esposti, vulnerabilità nei software (in particolare in questo periodo sono sotto attacco i software VPN) oppure sfruttando backdoor e accessi remoti lasciati da infezioni precedenti. Quest'ultimo caso merita due parole in più: vi sono dei malware che, una volta espletate le proprie funzioni (furto informazioni, credenziali ecc..) lasciano sulle macchine infette un accesso, molto spesso una backdoor: questi accessi, spesso non individuati per anni, restano nella rete e possono essere riutilizzati in qualsiasi momento. TrickBot, Dridex, QakBot sono tre esempi di malware che lasciano backdoor sulle macchine infette e le offrono ad altri malware (spesso dietro pagamento "del servizio"). 

Torna FTCODE: il ransomware distribuito via PEC contro utenti italiani

L'alert dello CSIRT è di ieri pomeriggio: è stata individuata una campagna di email di spam, avviata ieri alle ore 6.30 circa tramite email PEC. Mira a utenti privati e ad alcune strutture della Pubblica Amministrazione. 

Per ora pare una sola la tipologia di email in circolazione, recante come oggetto "Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}": avverte la vittima di un fantomatico contenzioso civile, ovviamente inesistente. L'email è resa più credibile dalla presenza, nel corpo email, di nomi afferenti a personale che realmente opera presso il Tribunale di Napoli. 

Fonte: https://csirt.gov.it/

Italia sotto attacco: dopo l'attacco a Enel, Geox paralizzata da un ransomware

Ne parliamo da un pò di tempo: il cybercrime punta ai dati e a fare più soldi possibili con questi. Da questo punto di vista attaccare l'utente home, col suo pc o cellulare e le foto delle vacanze, non è più così redditizio. Bucare i database di una azienda permette da mettere le mani sui dati di migliaia di persone contemporaneamente, mentre è molto più probabile pretendere e ottenere un riscatto molto alto da una azienda colpita da ransomware che ottenere un pagamento (comunque basso) dall'utente home. Insomma, il mirino è puntato direttamente sulle aziende. 

Per approfondire >> Ransomware: Sodinokibi e Ryuk fanno lievitare le richieste di riscatto - parte 2

Il trend dei ransomware è chiaro, ma se questo triste destino sembrava riservato agli Stati Uniti (dove ogni giorno aziende di ogni dimensione sono colpite da vari ransomware), ormai l'Italia non può più dirsi al riparo. Giusto qualche giorno fa abbiamo parlato dell'attacco ransomware subito da Enel, i cui effetti sono stati fortunatamente contenuti dalle misure di sicurezza: oggi ci risiamo. Il Mattino di Padova ha dato notizia ieri di un attacco ransomware che ha colpito duramente i sistemi di Geox, la multinazionale delle calzature con sede a Montebelluna. L'attacco è avvenuto nella notte tra Domenica e Lunedì. 

L'alert del CERT-AgID: il malware MassLogger si prepara alla diffusione di massa

L'alert è stato diramato direttamente dal CERT-AgID per mettere gli utenti italiani in guardia rispetto ad una minaccia che, nel prossimo futuro, potrebbe prendere di mira l'Italia. L'alert è un dettagliato report del malware MassLogger, che ha funzionalità di furto dati e keylogging scoperto poco tempo fa da alcuni ricercatori di sicurezza: un malware nuovo, ancora non diffuso, ma già circolante nei forum dell'underground hacking e pronto a colpire. 

E' un malware scritto in .NET ed ha un funzionamento che pare prendere direttamente spunto da un altro ben noto malware, diffuso giusto qualche giorno fa in Italia, ovvero AgenTesla. Nei vari canali dove viene presentato e messo in vendita non si trova l'intero codice, ma solo immagini e porzioni del codice stesso: questi però sono sufficienti a farsi un'idea del tipo di minaccia. 

Enel colpita da attacco ransomware: i sistemi di difesa funzionano e l'infezione viene bloccata

La compagnia energetica italiana Enel Group ha subito un attacco ransomware pochi giorni fa, a breve distanza di tempo da un attacco molto simile che ha colpito la casa produttrice di automobili e moto Honda. Il ransomware che gli attaccanti hanno cercato di diffondere potrebbe essere SNAKE, conosciuto anche come Ekans. 

L'attacco contro Enel ha effettivamente impattato la rete interna dell'azienda, che è andata in down, subendo un'interruzione. Tuttavia Enel ha dichiarato che i sistemi di cyber difesa aziendali hanno funzionato e l'infezione non si è diffusa. 

Questa la nota inviata da Enel alla redazione di Bleeping Computer:

"Enel Group informa che Domenica sera si è verificata un'interruzione della rete IT interna, conseguente all'individuazione da parte del sistema antivirus di un ransomware. In forma precauzionale l'Azienda ha temporaneamente isolato la rete aziendale per poter effettuare tutti gli interventi necessari  ad eliminare qualsiasi rischio residuale.  La connessione è stata ripristinata in sicurezza Lunedì mattina. Enel informa che non si sono verificati problemi critici riguardo i sistemi di controllo da remoto degli asset di distribuzione delle centrali elettriche e che i dati dei clienti non sono stati esposti a terzi".

Come si è svolto l'attacco?