NAS QNAP: ennesima campagna ransomware in corso. Ma il vendor ha già reso disponibile la patch

QNAP sta avvisando i clienti riguardo una campagna di diffusione del ransomware DeadBolt, iniziata Sabato scorso. Questa campagna sta sfruttando una vulnerabilità 0-day, cioè sconosciuta prima degli attacchi, presente nella Photo Station. 

Viste le numerose richieste di assistenza per attacchi ransomware su NAS QNAP che continuiamo a ricevere, pensiamo sia importante far sapere che QNAP ha risolto la vulnerabilità sfruttata da questa operazione ransomware per criptare i dispositivi. 

La campagna ransomware DeadBolt contro i NAS QNAP

"QNAP ha scoperto che la minaccia alla sicurezza DeadBolt sfrutta una vulnerabilità presente in Photo Station per criptare i NAS QNAP direttamente connessi ad internet" spiega il vendor nel relativo avviso di sicurezza. 

Gli attacchi sono iniziati Sabato scorso. 

QNAP ha risolto la vulnerabilità 0-day: cosa devono fare gli utenti per mettersi in sicurezza

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 27 agosto – 2 settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 27 Agosto - 2 Settembre

Il CERT ha individuato e analizzato 14 campagne dannose mirate contro utenti italiani e 1 generica. Le famiglie di malware in diffusione sono state 5:

• Guloader è stato diffuso con due campagne a tema Pagamenti. Una campagna è stata mirata contro utenti italiani, una invece generica ma diffusa anche nel cyber spazio italiano. Le email veicolavano allegati dannosi DOC e RTF con sfruttamento della vulnerabilità di Office CVE-2017-11882  e allegati IMG;
• Formbook è stato diffuso con due campagne mirate contro utenti italiani, una a tema Pagamenti e una a tema Documenti. Le email veicolavano allegati ZIP e XZ.
  Per approfondire > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia
• AgenTesla è stato diffuso con una campagna a tema Ordine. Le email veicolavano allegato GZ compromessi.
  Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia
• IceID è stato diffuso con una campagna a tema Resend. Le email veicolavano allegati ZIP.
  Per approfondire > IceId- un nuovo, sofisticato Trojan bancario: un'analisi tecnica dei Lab di sicurezza Quick Heal
• Ursnif è stato diffuso con una campagna a tema Agenzia delle Entrate. Le email veicolavano allegati compromessi XLS e XLSM. Qui l'alert pubblicato dal CERT sul proprio canale Telegram 

Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 27 Agosto - 2 Settembre

Le campagne di phishing individuate e analizzate sono state 9 e hanno coinvolti 4 brand, quasi tutti legati al settore bancario. La maggior parte delle campagne infatti sono state o a tema Banking o a tema Pagamenti (Formbook e Guloader). Sono state individuate anche campagne mirate al furto delle credenziali di accesso alle web mail: il tema più sfruttato a questo fine è stato quello della Riattivazione di account.

Tra i brand principali sfruttati dagli attaccanti per gli attacchi di phishing troviamo IntesaSanPaolo, Poste e Bper, quindi Aruba.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore 

I formati di compressione (archivi) l'hanno fatta da padroni: ZIP , GZ  e XZ occupano saldamente il podio. Si confermano i formati file più apprezzati per nascondere malware. Nuovamente, ricordiamo di fare attenzione ai file Office con macro attivabili. 

Fonte: https://cert-agid.gov.it

Italia: i ransomware non vanno in vacanza e ce lo hanno ricordato. Cronaca di un'Agosto difficile

Il mese di Agosto ha visto molteplici attacchi contro aziende ed enti pubblici italiani. Una breve panoramica, che ci ricorda che i ransomware non vanno in vacanza e sono una minaccia che può colpire chiunque.

Aziende italiane: Lockbit scatenato

Della nuova, famigerata, versione di Lockbit, la 3.0, abbiamo già parlato qui per una infarinatura di tipo tecnico e relativa alle tecniche estorsive. Non ci dilunghiamo oltre. Il punto semmai è che, dopo poche settimane di test, si può dire che Lockbit si conferma uno dei ransomware più efficaci e attivi presenti nel panorama delle cyber minacce. Italia inclusa. Si conferma la strategia utilizzata da questo gruppo ransomware di commisurare le richieste di riscatto alle effettive disponibilità economiche delle vittime. 

Nel mese di Agosto ha colpito e messo sotto ricatto alcune aziende italiane, dandone notizia sul proprio leak site nel dark web. Tra queste figura lo studio di consulenza del lavoro Studio Barba: la rivendicazione dell'attacco è stata pubblicata il 24 Agosto, il 1° Settembre scade il countdown e i dati rubati potrebbero venire pubblicati.

Nuovo ransomware bersaglia i NAS Qnap: Checkmate è già in diffusione in Italia

Stiamo ricevendo molte segnalazioni e richieste di supporto da parte di utenti italiani di NAS Qnap colpiti da attacco ransomware. La nuova minaccia si chiama Checkmate.

Il nuovo ransomware Checkmate: è specializzato in NAS Qnap

Il vendor QNAP ha pubblicato un alert relativo ad una nuova operazione ransomware che sta bersagliando i NAS QNAP: il malware si chiama Checkmate e mira alla criptazione di tutti i dati contenuti nei NAS. Nell'alert l'azienda spiega che Checkmate mira i dispositivi QNAP esposti sul web con i servizi SMB attivi e account con password deboli facilmente cracckabili con attacchi di brute-force. Le prime analisi hanno infatti portato a scoprire che il ransomware utilizza un attacco a dizionario per accedere agli account protetti con password deboli. Una volta che gli attaccanti hanno violato l'account, eseguono login da remoto sul dispositivo esposto: procedono quindi a distribuire il ransomware 

Checkmate è stato individuato in diffusione per la prima volta intorno al 28 di Maggio: è individuabile a colpo d'occhio perché aggiunge ai file criptati l'estensione .checkmate e la nota di riscatto si chiama !CHECKMATE_DECRYPTION_README. Nella foto sotto, la nota di riscatto: mediamente sono richiesti 15.000 dollari in Bitcoin.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 settimana di Luglio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Luglio

La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l'Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l'assenza di campagne di distribuzione di Emotet. 

• Brata è stato diffuso con due campagne a tema Banking circolate via SMS. Il messaggio contiene un link che porta al download dell'APK dannoso;
• Lokibot è stato in diffusione con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email vettore contengono allegati IMG, contenenti VBS e UUE;
• Formbook è stato diffuso con due campagne, una generica e una mirata contro utenti italiani, a tema Contratti e Pagamenti. Gli allegati vettore sono in formato XZ e 7Z;
• Guloader è stato diffuso con due campagne a tema Preventivo. Le email contengono allegati GZ. Su Guloader il CERT ha pubblicato uno specifico report, disponibile qui;