Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 02/10
Il CERT-AgID ha individuato circa 20 campagne dannose contro utenti italiani: sono circa 394 gli indicatori di compromissione (IoC) pubblicati. Per gli IoC rimandiamo al sito web ufficiale del CERT-AgID.

Il malware più diffuso è stato Dridex, dominatore indiscusso della settimana con più campagne in inglese, ma veicolate in Italia. La particolarità è che il CERT ha riscontrato due somiglianze con le campagne di diffusione di Emotet: l'uso di file .doc contenenti macro dannose come vettore del malware e la stessa codifica PowerShell del payload. 

• Dridex in breve:
  è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E' pensato per il furto dati e dellE credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware. 

Ransomware: una infezione, tripla estorsione. L'attacco DDoS usato come ulteriore livello di ricatto

Già da tempo abbiamo dato risalto al cambiamento di strategia dell'universo ransomware: attenzione che si è spostata dalle vittime home user alle aziende (capaci di pagare riscatti ben più alti) e doppia estorsione, ovvero un riscatto per poter riportare in chiaro i file criptati e un riscatto per scongiurare la pubblicazione dei dati rubati al momento dell'ingresso in rete degli attaccanti. 

La novità, che indica chiaramente come il cybercrime abbia deciso di alzare ulteriormente il tiro contro le proprie vittime, è stata scoperta e denunciata da Malware HunterTeam: gli attori dietro al ransomware SunCrypt hanno aggiunto un terzo livello di estorsione, collegato ad attacchi DDoS. 

In dettaglio, gli attori di SunCrypt per la prima volta hanno lanciato un attacco DDoS contro il sito dell'azienda sotto ricatto, per convincere i suoi dirigenti a sedere al tavolo delle trattative. Gli attaccanti hanno deciso di ricorrere a questo ulteriore livello di attacco quando le trattative con la vittima si sono arenate. La vittima, loggando sul sito Tor per il pagamento, visualizzava un messaggio con il quale gli attaccanti la avvisavano di aver lanciato un attacco DDoS che sarebbe continuato fino alla riapertura delle trattative. 

"Al momento il tuo sito web è down in conseguenza agli sforzi dei nostri tecnici. Sei pregato di inviarci un messaggio prima possibile o prenderemo ulteriori provvedimenti", questo l'avviso degli operatori di SunCrypt. 

Stando alla ricostruzione di MalwareHunterTeam, l'azienda bersaglio (il cui nome è stato giustamente omesso dai report) ha chiesto spiegazioni sul perchè di un attacco DDoS, dato che questa modalità è del tutto inusuale per i ransomware, almeno per i modelli di attacco per ora consueti. La risposta degli sviluppatori di SunCrypt è stata chiarissima: l'attacco DDoS è stato condotto al mero scopo di forzare le trattative per il pagamento. 

Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi

L'alert viene dai ricercatori di sicurezza di Mitiga, azienda di cybersicurezza: un gruppo di cyber attaccanti specializzato in truffe del tipo BEC (Business Email Compromise) è riuscito a racimolare circa 15 milioni di dollari colpendo più di 150 aziende in giro per il mondo in pochissimi mesi. Tutto questo utilizzando sempre lo stesso schema e nonostante gli alert (sia da parte delle Authority nazionali competenti sia da parte di privati) che, pur essendo sempre più ricorrenti, non sono ancora riusciti a creare la giusta consapevolezza intorno a questa tipologia di attacco. 

La truffa BEC in breve
Per truffa BEC si intende una tipologia di cyber truffa che viene portata esclusivamente contro aziende. Gli attaccanti falsificano o compromettono gli account aziendali di dirigenti o dipendenti di alto livello che hanno accesso alle finanze aziendali e sono abilitati ad eseguire bonifici bancari, per sfruttarli al fine di far eseguire pagamenti truffaldini. Gli account aziendali vengono compromessi con attacchi di phishing o con keylogger, ma non è affatto raro che vengano anche appositamente creati sfruttando le informazioni personali rintracciabili sul web della persona che gli attaccanti vogliono impersonificare. 

Lo schema classico prevede che gli attaccanti inviino dall'account email compromesso / falso di un dirigente (spesso il CEO aziendale) all'account di un dipendente abilitato ad eseguire bonifici, una email in cui viene richiesto di eseguire urgentemente un pagamento verso un soggetto terzo. Il dipendente che non riconosce la truffa, finisce per eseguire bonifici su conti anonimi collegati agli attaccanti e molto spesso è assai difficile, se non quasi impossibile, rintracciare quei soldi.

Arriva la rete europea di risposta rapida ai cyber incidenti: ecco CyCLONe.

“Cyber Crisis Liaison Organisation Network”, ovvero CyCLONe: si chiamerà così la rete creata per rispondere in maniera tempestiva ed efficace ad ogni tipologia di attacco informatico che dovesse colpire o coinvolgere uno qualsiasi dei paesi membri UE. La rete è stata lanciata in occasione della 2° edizione di un'esercitazione di cyber security a livello operativo chiamata Blue OLEx promossa dall'ENISA (l'Agenzia Europea per la cyber security) e dalla Commissione Europea.

“Le crisi informatiche non hanno confini. L’Agenzia dell’UE per la cibersicurezza è impegnata a sostenere l’Unione nella risposta agli incidenti informatici. È importante che le cyber agenzie nazionali si uniscano per coordinare il processo decisionale a tutti i livelli. Il gruppo CyCLONe vuole essere questo anello mancante”, queste le parole con cui Juhan Lepassaar, direttore esecutivo dell’ENISA, ha commentato la nascita di CyCLONe. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 25/09

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 25/09
Anche questa settimana è Emotet il malware più attivo. E' stato distribuito a cadenza praticamente giornaliera con campagne principalmente a tema sanità o pagamento fatture: lo schema è sempre lo stesso, ovvero l'uso di documenti Office .doc contenenti macro dannosa. In alcuni casi il documenti era contenuto in archivio .ZIP protetto da una password indicata nel corpo email. 

Al secondo posto dei malware più attivi troviamo Ursnif, diffuso con più campagne. Tra queste, una è stata molto più intensa delle altre, ovvero quella a tema Agenzia delle Entrate.