Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 24 - 30 Luglio
Nel corso delle analisi, sono state individuate in diffusione 3 famiglie di malware, per un totale di 4 campagne malware. In dettaglio:

• il malware più diffuso è stato Ursnif, con due diverse campagne, una a tema Rimborso e una a tema Documenti. Gli allegati vettore erano in formato .XSLM e .ZIP;
• StrRat torna in diffusione in Italia dopo tre mesi dalla prima rilevazione. La campagna è stata a tema Delivery, recante un file .JAR come vettore. Le analisi hanno mostrato che il campione diffuso è la versione 1.4 del malware;
• Lokibot è stato diffuso con una campagna mirata contro utenti italiani: il tema delle email era Ordine, allegato vettore in formato .XLSX.

StrRat in breve:

Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le puntate precedenti:
1. Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)
2. Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

Si allarga il "perimetro" dell'attacco che ha colpito e messo in paralisi i sistemi informatici e i data center della Regione Lazio: ERG ha infatti fatto sapere di aver subito solo alcune piccole interruzioni della propria infrastruttura IT a seguito di un attacco ransomware lanciato contro i loro sistemi. 

Secondo Repubblica, il ransomware in questione sarebbe LockBit, diffuso nella versione 2.0.

"Riguardo ai recenti rumors circolati sui media riguardo l'attacco hacker che ha colpito istituzioni e imprese, ERG riporta di aver subito soltanto piccole e minori disfunzioni sull'infrastruttura ICT, attualmente in via di superamento grazie al tempestivo dispiegamento e attuazione delle procedure interne di cyber security" si legge nella nota pubblicata da ERG ."L'azienda conferma che tutti gli impianti stanno funzionando correttamente e non c'è stata alcuna interruzione, garantendo così la continuità delle operazioni" concludono.

Questo attacco è da vedersi collegato a quello che ha colpito la Regione Lazio?

Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

Col trascorrere delle ore emergono nuove informazioni e dettagli rispetto al gravissimo attacco ransomware subito dal data center dei sistemi informatici della Regione Lazio. 

La situazione è ancora ben lungi da tornare alla normalità e già ieri si parlava della necessità di oltre 15 giorni per ripristinare correttamente i sistemi: d'altronde, l'unico backup dei sistemi informatici regionali era online ed ha anche questo subito la criptazione, così non può essere utilizzato per ripristinare la rete e i servizi. Inoltre, ogni tentativo di riportare online la rete termina con la riattivazione del ransomware. Zingaretti ha annunciato ieri che stanno procedendo al trasferimento dei dati necessari per i servizi sanitari essenziali verso un sistema in cloud esterno: in pratica stanno provando ad allestire un sistema informatico alternativo a quello in paralisi per l'attacco. D'altronde sono bloccati servizi sanitari di grande importanza: non solo è in blocco l'intero sistema di gestione della campagna vaccinale, ma non è neppure possibile prenotare online visite specialistiche, effettuare Pap test e mammografie ecc.. Bloccato anche il sistema di gestione del Green Pass, la possibilità di pagare bolli e di ottenere autorizzazioni sia sanitarie che edilizie. 

Galeotta fu la VPN...
Le verifiche della Polizia Postale hanno portato ad individuare almeno il punto di accesso, ovvero una falla nella VPN utilizzata dai dipendenti della Regione per accedere da remoto alla rete. In dettaglio, i dati hanno portato a concentrare l'attenzione sul computer in uso ad un impiegato della Regione residente a Frosinone: l'accesso degli attaccanti alla rete è avvenuto proprio sfruttando le sue credenziali rubate. L'escalation verticale di privilegi è stato poi ottenuto grazie all'uso del famigerato trojan Emotet: a quel punto, l'accesso rubato al dipendente ha consentito tutti i privilegi necessari per eseguire operazioni più profonde nella rete, come, appunto, la distribuzione del ransomware. 

Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

Dalla nottata di ieri i sistemi informatici della Regione Lazio sono bloccati: l'attacco va avanti da oltre 40 ore e già ieri la Regione ne dava comunicazione tramite le proprie pagine Twitter e Facebook. Sono irraggiungibili ad ora il sito web della Regione, ma anche la piattaforma online per la prenotazione sia dei vaccini che dei tamponi molecolari (il portale Salute Lazio). In generale sono irraggiungibili tutti i servizi online connessi alla sanità regionale, Green Pass compreso, ma anche i servizi correlati al sistema degli appalti pubblici. 

I siti web ad ora offline: 

• https://prenotavaccinocovid.regione.lazio.it/welcome
• http://www.consiglio.regione.lazio.it/
• http://www.regione.lazio.it
• https://www.salutelazio.it/
• https://www.salutelazio.it/campagna-di-vaccinazione-anti-covid-19

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 16 campagne dannose attive nello spazio italiano: 12 di queste sono state mirate contro obiettivi italiani, 4 invece generiche veicolate anche in Italia. 284 sono stati gli indicatori di compromissione individuati. 

I malware della settimana 17 - 23 Luglio
Le famiglie malware individuate sono state 6, distribuite con 8 diverse campagne di attacco. Ecco il dettaglio:

• Formbook è stato diffuso con 3 diverse campagne a tema Pagamenti, Forniture e Documenti. Le email hanno veicolato il malware tramite allegati archivio .tar e .xz;
• Hancitor è stato di nuovo individuato in diffusone in una campagna italiana a tema Documenti. L'allegato compromesso è un file .xls contenente la solita macro dannosa che, se attivata, installata il malware FickerStealer;
• Oski è stato distribuito con una campagna a tema Ordine contenente allegati PPT. La campagna ha visto anche l'uso di account PEC compromessi in precedenza. Oski è un malware poco diffuso, un infostealer nel dettaglio, specializzato nel furto di dati personali e credenziali di accesso;
• AgenTesla e ASTesla sono stati distribuiti con 2 campagne a tema Pagamenti con allegati .zip contenenti, a loro volta, l'eseguibile .exe;
• Guloader torna in diffusione con una campagna a tema Preventivo.

Per approfondire > Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia