Enel di nuovo sotto attacco ransomware: richiesti 14 milioni di dollari di riscatto

L'italiana Enel Group è stata colpita da attacco ransomware per la seconda volta nel corso di quest'anno. Questa volta responsabile dell'attacco è il gruppo ransomware Netwalker, che ha richiesto ben 14 milioni di dollari in Bitcoin per l'invio della chiave di decriptazione e per scongiurare la pubblicazione di terabyte di dati rubati. 

Il precedente
Lo scorso Giugno, la rete interna di Enel era stata attaccata e violata dal ransomware Snake, conosciuto anche come Ekans, ma il tentativo di diffondere il malware nella rete era stato bloccato dai sistemi di cyber sicurezza. Abbiamo parlato più dettagliatamente dell'episodio qui.

Il 19 ottobre un ricercatore di sicurezza ha scovato e inviato alla redazione di Bleeping Computer la nota di riscatto che il gruppo di Netwalker ha inviato ad Enel Group. 

Data leak e data breach: i dieci giorni dell'orrore

Notizie di data leak e data breach si susseguono ormai senza sosta: che dipenda da un attacco informatico, da dipendenti infedeli, da cattive configurazioni poco importa, la scorsa settimana si è registrato un numero impressionate di violazioni e furto di dati. Nell'impossibilità di raccontare tutti gli eventi, ci concentriamo su alcuni in particolare, importanti dal punto di vista della quantità di dati violati e per le modalità di violazione.

- Il data breach di Nitro PDF
Nitro PDF è un sistema molto usato dalle aziende per creare, modificare e firmare digitalmente PDF e altri tipi di documenti digitali: dichiara più di 10.000 clienti aziendali e 1.8 milioni di utenti su licenza. E' utilizzato da aziende del calibro di Microsoft, Apple, Google ma anche da centinaia di aziende italiane ed europee. 

Il 21 Ottobre, Nitro Software ha inviato un alert all'Australia Stock Echange per notificare un "incidente di sicurezza a basso impatto": nell'alert si specificava che nessuno dei dati dei clienti era stato violato. La realtà non è affatto questa, purtroppo: l'azienda di cybersicurezza Cyble ha fatto sapere di aver rintracciato, in vendita nel dark web, i dati dei clienti e più database di documenti, per un totale circa di 1TB di documenti rubati. Tutti i dati sono stati sottratti dal servizio in cloud che Nitro Software offre ai clienti di Nitro PDF. L'intero pacchetto è in vendita all'asta con una base d'asta iniziale di 80.000 dollari. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 16/10
Il CERT-AgID ha individuato e analizzato 23 campagne dannose attive contro utenti italiani. 284 gli Indicatori di Compromissione messi a disposizione, disponibili sul sito ufficiale CERT-AgID.

Tra i malware più individuati troviamo, al primo posto, MassLogger, che è stato veicolato con due diverse campagne, uno a tema Pagamenti e uno a tema Contatti. 

Al secondo posto Dridex, anch'esso distribuito con due campagne, praticamente contemporanee, Mercoledì 14 Ottobre. Una delle campagne era a tema Delivery, l'altra a tema Pagamenti: si conferma il formato .xlsm come il vettore di attacco più utilizzato da Dridex. 

Luxottica ancora sotto ricatto: il team del ransomware Nefilim pubblica alcuni dati rubati

Lo scorso mese abbiamo riportato la notizia di un attacco ransomware subito dalla famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri. L'attacco ransomware aveva determinato malfunzionamenti ai siti web di Luxottica e collegati, come i siti web di Ray-Ban e Sungluss Hut, di alcuni portali interni e il blocco della produzione e della logistica. Il 22 Settembre Nicola Vanin, Information Security Manager di Luxottica, aveva confermato l'attacco con un post su Linkedin. 

Ieri l'esperto di cybersicurezza italiano Odisseus, ha dato notizia tramite il proprio profilo Twitter del fatto che il gruppo di attaccanti responsabili del ransomware Nefilim ha pubblicato una lunga lista di file che appartengono a Luxottica. 

Le nuove varianti del malware botnet Mirai riportano l'attenzione sulla sicurezza dei dispositivi IoT

I dispositivi IoT compromessi hanno rappresentato uno dei pericoli maggiori alla cybersecurity per i primi due trimestri del 2020, a causa del loro utilizzo in attacchi DDoS sempre più devastanti e massivi. 

L'avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, quindi gli attaccanti hanno dovuto puntare ad aumentare il numero di quelli infetti. A titolo esemplificativo ricordiamo l'attacco DDoS più rilevante nella storia recente, quello contro GitHub: sono state registrate 290.000 richieste al minuto per 13 giorni consecutivi. Hanno partecipato all'attacco più di 400.000 dispositivi IoT infetti. 

Centinaia di migliaia di dispositivi quindi, anche se meno potenti rispetto a server e pc, sono infettati quindi inseriti nella botnet e comandati da remoto affinchè producano attacchi DDoS coordinati: gioco facile per gli attaccanti, più che attaccare server e pc, dato l'ormai annoso problema della scarsissima sicurezza informatica degli IoT. E se consideriamo che dati recenti quantificano in 22 miliardi il numero di IoT presenti nel mondo, con un mercato in costante crescita che dovrebbe raggiungere i 41,6 miliardi di dollari nel 2025, si capisce velocemente come questa minaccia possa trasformarsi in un incubo nel giro di pochi anni. 

La botnet Mirai
Molte delle minacce contro i dispositivi IoT sono varianti basate sul famigerato malware Mirai (ne abbiamo già parlato qui, qui e qui) che esiste già da qualche anno ma il cui impatto si è fatto significativo a partire dal 2016, quando iniziò ad infettare centinaia di migliaia di router e videoregistratori.