Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT. 

Sono ben 8 le famiglie di malware individuate in diffusione nell'ambito di queste campagne: nello specifico

• Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
• AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
• Formbook è stato individuato con due diverse campagne italiane a tema "Pagamenti" tramite allegati .ZIP e .ISO. 
• Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l'Italia: gli allegati dannosi erano in formato .XLS;
• Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
• Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
• anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti. 

Scoperta nuova variante del malware MassLogger: è già in diffusione in Italia

MassLogger è un malware piuttosto conosciuto nel mondo della cybersecurity italiana: è uno dei malware che, a cadenza piuttosto regolare, viene diffuso con campagne di phishing e spam ad hoc contro utenti italiani. La sua diffusione è così ricorrente e preoccupante da aver indotto il CERT-AGiD ad analizzare e scrivere un report / alert su questa minaccia. 

Ora MassLogger, che ricordiamo è un malware infostealer finalizzato al furto di credenziali, è in diffusione con una nuova versione che ha ampliato le funzionalità del malware originario ed è capace di rubare credenziali da app di messaggistica, MS Outlook  e Google Chrome e altri applicativi.  

La nuova versione è già in uso in the wild, individuata nell'ambito di una campagna di phishing generica che ha colpito utenti in Turchia, Spagna, Russia, Lituania e Italia. La campagna è attiva, con alti e bassi, da metà Gennaio 2021 circa. 

Individuata dai ricercatori di Cisco Talos, la nuova versione del trojan per utenti Windows usa un file HTML compilato: è da questo file .html che si origina la catena di infezione. Questo formato è tipicamente usato per il file Windows Help, tuttavia può contenere script attivi, come nel caso dei Javascript che lanciano operazioni malware. 

Ransomware Avaddon: uno studente pubblica tool per la decriptazione gratuita e gli attaccanti lo usano per correggere la falla e diffondere (anche in Italia) una versione migliorata del malware

Stiamo ricevendo alcune richieste di supporto per decriptare file criptati dall'infezione ransomware Avaddon: alcune richieste provengono anche da utenti italiani, segno che la campagna ransomware è attiva anche nel nostro paese. Se la prima versione del ransomware risulta risolvibile senza pagare il riscatto ai cybercriminali, la nuova versione circolante non è ad ora risolvibile perchè la falla che permetteva di risolvere la prima versione è stata corretta studiando il tool di decriptazione che uno studente spagnolo ha messo, gratuitamente e in buona fede, a disposizione di tutte le vittime. Evento che apre una amara riflessione su come, talvolta, gli esperti di cyber security più che di ostacolo al cybercrime ne divengano (involontariamente) complici. Forse è possibile gestire in maniera migliore tali situazioni, aiutando le vittime senza dettagliare pubblicamente la soluzione tecnica? 

Avaddon in breve
Avaddon è una RaaS che ha debuttato sulle scene del cybercrime nei primi mesi del 2020: inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon è, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon è così organizzato da disporre pure di una pagina di supporto alle vittime dove sono fornite ulteriori e indicazioni per utenti poco esperti

Cagliari: il laboratorio di analisi colpito da ransomware. Rubati dati sanitari e richiesto il riscatto

L'attacco è avvenuto nella notte del 6 Febbraio: il gruppo ransomware responsabile della campagna Ragnar0k ha fatto irruzione nei sistemi IT del Laboratorio Analisi di Valdes a Cagliari. Come ormai da tradizione, gli attaccanti non si sono limitati a criptare i dati e richiedere un riscatto, ma hanno anticipato la routine di criptazione con un massivo furto dati. Il data breach ha riguardato dati estremamente sensibili, personali e sanitari: certificati di positività al Covid, referti, prenotazioni visite ambulatoriali e test di laboratorio, documenti economici e sanitari di vario tipo, attestati di qualità ecc... A tutt'ora non è chiaro il numero delle persone i cui dati risultano violati. 

Per approfondire >> Un attacco Ransomware è da considerarsi anche un databreach: l'esempio dell'attacco a Luxottica 

L'azienda ha comunque deciso di non cedere al ricatto e, per quanto si sa ad ora, si è rifiutata di pagare il riscatto allertando immediatamente la Polizia Postale oltreché, come fa sapere il titolare Enrico Valdés, il Garante per la protezione dei dati personali: tutto secondo legge, dato che il GDPR obbliga le aziende che subiscono un data breach a comunicarlo entro 72h. Non si sa invece se sia stata inviata una comunicazione ai clienti (anche questa obbligata da previsioni di legge): l'avviso ufficiale di comunicazione del data breach è arrivato comunque con grande ritardo, cioè soltanto oggi Lunedì 22 Febbraio. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 12/02
Questa settimana il CERT-AGID ha individuato e analizzato circa 35 campagne dannose: di queste soltanto 3 sono state generiche, 32 invece quelle mirate  contro utenti italiani. Record di indicatori di compromissione individuati, ben 774. 

Sette sono state le famiglie di malware individuate, con poche novità, a parte il debutto del malware Kronos: