Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 31 campagne dannose con obiettivi Italiani: 319 sono stati gli indicatori di compromissione (IOC) individuati. 

I malware della settimana 29 Maggio - 4 Giugno
Le famiglie malware individuate in diffusione sono state 5, per un totale di 7 campagne.  Ecco la lista dei malware:

Vulnerabilità critiche in VMware: attacchi già in corso?

VMware ha pubblicato, a fine Maggio, un alert urgente che invita i suoi utenti a patchare urgentemente alcune vulnerabilità che impattano i vCenter Server: l'alert rivela l'esistenza delle vulnerabilità contestualmente alla pubblicazione delle patch, nella speranza che i cyber attaccanti non abbiano il tempo di sfruttarle. Ecco perchè l'alert invita caldamente gli utenti a patchare prima possibile le vulnerabilità, collegandole direttamente al rischio ransomware. 

vCenter Server è una soluzione di gestione dei server che aiuta gli amministratori IT a gestire macchine virtuali e host virtualizzati negli ambienti aziendali tramite una console centralizzata. 

La prima vulnerabilità, la CVE-2021-21985 impatta i vCenter Server  6.5, 6.7 e 7.0: qui è consultabile l'avviso di sicurezza. Questa vulnerabilità può essere sfruttata da remoto da un attaccante non autenticato tramite un attacco piuttosto semplice che non richiede alcuna interazione da parte dell'utente. 

"il vSphere Client (HTML5) contiene una vulnerabilità di esecuzione di codice da remoto dovuto alla mancata validazione degli input nel plugin Virtual SAN Health Check, che è abilitato di default nei vCenter Server" spiegano da WMware. "Un attaccante con accesso alla porta 443 può sfruttare questa vulnerabilità per eseguire comandi con privilegi illimitati nel sistema operativo ospitato dal vCenter Server". 

Il problema riguarda chiunque usi vCenter Server, perchè, in uso o meno, Virtual SAN Health Check è abilitato di default. 

La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

Non è tutta "colpa" dell'attacco ransomware al gasdotto Colonial Pipeline, ma non è improprio dire che quell'evento sia stato la goccia che ha fatto traboccare il vaso e portato il Governo degli Stati Uniti ad impugnare sul serio le armi contro la minaccia ransomware: minaccia che, per scelta di Biden, è divenuta un affare di sicurezza nazionale che si interseca con le relazioni estere e la politica internazionale. 

D'altronde scoprire che milioni di statunitensi hanno rischiato di rimanere senza carburanti mentre il prezzo del gasolio superava per la prima volta i 3 dollari al litro, tutto a causa di una password VPN rubata e acquistata nel dark web (questa pare essere stata la breccia sfruttata dai gestori del ransomware Darkside per violare la rete del sistema Colonial Pipeline) è un duro colpo: da una sola password può dipendere l'approvvigionamento di carburante o acqua a milioni di persone, da una sola falla può dipendere l'efficienza o meno di un ospedale o di un interno sistema sanitario (come tristemente ci insegna la vicenda che ha riguardato il sistema sanitario irlandese). 

La nuova strategia antiransomware del governo USA

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 22-28 Maggio
La scorsa settimana il CERT-AgID ha riscontrato e analizzato 34 campagne dannose attive in Italia e mirate contro utenti italiani. 486 sono stati gli indicatori di compromissione individuati. Le famiglie di malware individuate in diffusione sono state 4: 10 le campagne dannose complessive. Ecco la lista dei malware:

• Formbook è stato il malware più diffuso, con 6 diverse campagne, con 3 temi diversi:  Ordine, Documenti e Pagamenti. Gli allegati vettore sono stati in formato .7Z, .DOC, .ISO. Oltre 130 gli indicatori di compromissione resi disponibili.
• Flubot è ancora in diffusione, sempre via SMS. Due sono state le campagne di diffusione della scorsa settimana, entrambe a tema Delivery con emulazione di comunicazioni ufficiali del corriere DHL. Il corpo messaggio contiene un link accessibile solo da mobile con sistema operativo Android: scopo del link è indurre l'utente a scaricare l'APK malevolo. Ricordiamo che a questo link è disponibile la dettagliatissima guida del CERT su questa minaccia e come risolverla. 
• Lokibot è stato diffuso con una campagna in italiano a tema Pagamenti: l'allegato vettore è un archivio .ZIP contenente a sua volta un file .ISO. 
• Adwin è stato individuato in diffusione con una prima campagna email che veicolava allegati JS: l'allegato JS conduceva al download di un file. ZIP contenente anche un file .JAR. La campagna odierna, in corso, utilizza invece un file .ZIP in allegato. 

Le patch, queste sconosciute: ecco Epsilon Red, il nuovo ransomware che bersaglia i server Microsoft Exchange (ancora) vulnerabili a ProxyLogon

La vicenda legata a Proxylogon, l'insieme di vulnerabilità che affliggono i server Microsoft Exchange e che sono state usate per violare vittime di alto livello (ma non solo), pare essere ancora lontana dal trovare una soluzione. Paradossalmente, perché le 4 vulnerabilità che costituiscono ProxyLogon sono state già risolte da Microsoft ormai tempo fa: il problema quindi, di nuovo, sta nel fatto che gli utenti non installano la patch. La situazione si è fatta così grave e preoccupante, sia per la tipologia che per il numero di attacchi portati sfruttando ProxyLogon, da aver obbligato qualche tempo fa l'NSA a intervenire in prima persona rimuovendo le web shell dai server compromessi addirittura senza avvisare i proprietari.

Per approfondire > Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

ProxyLogon è stato ampliamente pubblicizzato e, una volta capite le potenzialità di queste falle, cyber criminali in tutto il mondo hanno iniziato a scansionare a tappeto il web in cerca di server che mostrassero queste vulnerabilità. Il perché è semplice: ProxyLogon è una vera e propria porta aperta sui server Microsoft e può essere sfruttata (e già lo è) per portare svariate tipologie di attacchi, ransomware compresi. E qui che entrano in gioco DearCry e, la scorsa settimana, Red Epsilon.