Trend cyber crime: la classifica delle vulnerabilità più sfruttate negli attacchi ransomware

Un gruppo di ricercatori ha stilato un elenco delle vulnerabilità che, secondo analisi e dati telemetrici, sono quelle attualmente più sfruttate da attacchi ransomware: sono le brecce che utilizzano per irrompere nei sistemi di aziende e utenti. 

Tutti i dati sono stati riassunti una semplice tabella, pubblicata su Twitter: un materiale estremamente utile per mettersi al riparo dalle minacce attualmente più attive e perchè ribadisce l'importanza e la centralità del patch management. Sottolineando però un punto: la prevenzione diventa un'attività sempre più complessa nella quale assume sempre più rilievo l'analisi e lo studio delle minacce più diffuse per procedere a patching mirato. L'elenco riprende i prodotti più utilizzati e diffusi e, sotto, vi sono riportati gli identificativi CVE assegnati ad ogni singola vulnerabilità. 

Fonte: https://twitter.com/uuallan/status/1438899102448820224

Ad ogni ransomware il suo ariete

REvil decrypted: risolvibile l'infezione ransomware

REvil non ha bisogno di presentazioni: parliamo di un "top ransomware" divenuto popolarissimo dopo l'attacco contro Kaseya, uno dei più gravi attacchi di tipo "supply chain" avvenuti quest'anno. Prima di Kaseya aveva già colpito migliaia di utenti nel mondo, Italia compresa.

Dopo l'attacco a Kaseya col quale, in colpo solo, la cybergang del ransomware era riuscita a colpire oltre 60 MSP e più di 1500 aziende, il ransomware era improvvisamente e repentinamente scomparso: infrastruttura offline, irraggiungibile sito di leak e pagina di pagamento Tor, blocco totale della campagna di attacco. 

Il 7 Settembre però REvil è tornato in grande spolvero: tornano attivi l'intera infrastruttura, il sito di leak che il gruppo di cyber attaccanti utilizza per pubblicare i dati rubati dalle vittime sotto ricatto, la pagina di pagamento / negoziazione Tor ecc... Tutte le vittime colpite in precedenza hanno visto ripartire da capo il timer e hanno ritrovato attive le loro richieste di riscatto. Il primo nuovo attacco, che certifica il ritorno in attività del ransomware, risale al 9 Settembre. 

Ora arriva il duro colpo: è disponibile un master decryptor, grazie ad una fonte interna alla task force internazionale che da mesi sta cercando di abbattere l'infrastruttura del ransomware e individuarne i responsabili. Quindi, tutte le criptazioni avvenute in data precedente al 13 Luglio 2021 sono risolvibili. 

I nostri tecnici sono già al lavoro per ricontattare coloro che già ci avevano chiesto assistenza: nuove vittime potranno richiedere il nostro supporto seguendo le procedure indicate sulla pagina web https://www.decryptolocker.it/

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AGID ha individuato e analizzato 13 campagne dannose: di queste, 11 sono state mirate contro obiettivi italiani mentre 2 sono state generiche ma veicolate anche in Italia. 

I malware della settimana 04 - 10 Settembre
Nel corso della settimana 4-10 Settembre il CERT-AGID ha individuato e analizzato, attive nello scenario italiano, ben 27 campagne dannose: 23 di queste erano rivolte direttamente contro obiettivi italiani, 4 invece sono state le campagne generiche ma diffuse anche in Italia. 354 gli indicatori di compromissione (IOC) che il CERT ha messo a disposizione.

10 sono state le famiglie di malware individuate, veicolate con 13 diverse campagne. In dettaglio:

Alert del CERT: è in corso in Italia l'ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro

Nella giornata di oggi il CERT-AGID ha pubblicato un alert riguardante una campagna di attacco, limitata all'ambito universitario italiano, ideata per veicolare il malware Lokibot. La comunicazione è una email che imita una comunicazione ufficiale di due atenei: una versione è camuffata da comunicazione dell'Università di Tor Vergata, l'altra invece dell'Università di Bologna. Nel primo caso il vettore di attacco è un allegato in formato .ZIP contenente l'eseguibile in doppia estensione, nel secondo caso invece la mail reca un allegato .XLS contenente una macro dannosa. 

Lokibot è un malware non certo nuovo in Italia, ma del quale è forse interessante tratteggiare nuovamente il profilo tecnico, dato che sempre più spesso torna a colpire utenti italiani. 

Nuovo malware per il furto dati arriva in Italia con una campagna di attacco contro clienti Intesa San Paolo: ecco BRATA

Il CERT-AgID ha pubblicato un alert specifico riguardo una campagna dannosa rilevata ai danni dei clienti dell'istituto bancario Intesa San Paolo. In dettaglio, i ricercatori del CERT hanno trovato online un dominio di recentissima registrazione che imita il sito web istituzionale di Intesa San Paolo.

Trattasi di una pagina di phishing in italiano, raggiungibile solo tramite dispositivi Android, pensata per rubare le credenziali di accesso all'home baking, che finiscono registrate in un file di testo sullo stesso server che ospita il dominio.