Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un'azienda chimica

Ha colpito due volte in un solo giorno: prima vittima, Butali S.p.A che possiede la ben più nota catena di elettronica e elettrodomestici Euronics; subito dopo sotto attacco è finita anche 3V Sigma. Parliamo di ViceSociety, una nuova campagna ransomware. Nel frattempo i dati parlano chiaro: l'attenzione dei ransomware contro le aziende e gli enti italiani è tutt'altro che scemato. Anzi, sono stati portati ulteriori tentativi di attacco contro aziende italiane da parte del ransomware Lockbit: è stato ad esempio rilevato, sempre nella giornata di ieri, un tentativo di doppia estorsione ai danni dell'azienda chimica Tovo Gomma. 

L'attacco contro Euronics è riuscito
Inutile dire che, tra i tanti, l'attacco subito da Euronics sta facendo più notizia rispetto ad altri. Intanto, una specifica: l'attacco è stato condotto contro la società Butali S.pA, che ha sede legale nei Paesi Bassi e che detiene parte della catena di elettronica di consumo. 

L'attacco è confermato dalla presenza, sul sito di leak collegato al ransomware Vice Society, di una parte dei dati rubati. 

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L'attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma "la quasi totalità delle credenziali VPN risulterebbero ancora valide" (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password. 

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l'attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all'uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come "Orange", già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove. 

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.

Server Microsoft Exchange sotto attacco: oltre a LockFile, anche il ransomware Conti sta usando ProxyShell

Qualche giorno fa abbiamo dato notizia di un nuovo ransomware, chiamato LockFile e già in diffusione in Italia, che utilizza la suite di vulnerabilità ProxyShell per bucare i server Microsoft Exchange. Ricordiamo che ProxyShell è un insieme di vulnerabilità che consente, se sfruttate con successo, di ottenere l'accesso non autenticato, quindi l'esecuzione di codice da remoto sui server vulnerabili. Per quanto già patchate da Microsoft, ulteriori dettagli tecnici su queste vulnerabilità sono state pubblicate recentemente, cosa che ha consentito agli attaccanti di usarle di nuovo in attacchi mirati. 

Le prime ondate di attacchi che hanno visto l'uso di ProxyShell distribuivano fondamentalmente webshell e backdoor, poi qualche giorno fa è stato individuato in diffusione anche il ransomware LockFile. Ora la fila si allunga, perché anche il ransomware Conti ha iniziato a sfruttare ProxyShell. 

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 - 27 Agosto

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 21 - 27 Agosto
Nel corso della settimana, sono state individuate 18 campagne dannose in diffusione nello spazio italiano: 4 di queste sono state campagne generiche, 14 invece miravano ad obiettivi Italiani. 623 gli indicatori di compromissione individuati. 

7 le famiglie malware individuate in diffusione, 12 le campagne malware totali. In dettaglio, i malware più diffusi sono stati:

Nuovo ransomware colpisce in Italia: arriva LockFile, che sfrutta la vulnerabilità ProxyShell dei server Microsoft Exchange. E' il primo a criptazione intermittente

E' stato individuato un nuovo ransomware (già attivo anche in Italia), che colpisce i Windows domain: irrompe nei server Microsoft Exchange sfruttando la suite di vulnerabilità ProxyShell. 

ProxyShell indica un insieme di tre diverse vulnerabilità: 

1. la CVE-2021-34473;
2. la CVE-2021-34523; 
3. la CVE-2021-31207. 
   

Per approfondire > Le vulnerabilità di Microsoft Exchange Server (risolte) sfruttate per distribuire ransomware: ancora poca attenzione alle patch

Le tre vulnerabilità sono già state patchate rispettivamente le prime due ad Aprile e la terza nel mese di Maggio: nel frattempo però sono stati rivelati ulteriori dettagli tecnici riguardo a ProxyShell, fatto che ha permesso di "aggiustare" e riprodurre l'exploit. Manco a dirlo, i cyber criminali hanno ricominciato a scansionare attivamente Internet in cerca di server Microsoft Exchange vulnerabili sui quali installare backdoor, da usare per futuri accessi e, appunto, un nuovo ransomware chiamato LockFile.