Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 18 - 24 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 21 campagne dannose: praticamente tutte sono state mirate contro utenti italiani, mentre una sola campagna è stata generica ma veicolata anche in Italia. La principale minaccia, spiegano dal CERT resta comunque la vulnerabilità Log4Shell di Log4j, per la quale sono stati resi disponibili più di 26800 indicatori di compromissione (IoC).

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Per approfondire > CERT-AgID condivide gli IoC per la mitigazione degli attacchi Log4shell

4 sono state le famiglie malware individuate in diffusione e c'è la conferma definitiva che Emotet è rinato dalle proprie ceneri:

• Emotet è stato individuato in diffusione  con una campagna che sfrutta comunicazioni fake della Pubblica Amministrazione: nel corpo email un link che punta al download di un file in formato XLS. Alcune di queste email sono state inviate ad account PEC da falsi account PEC;
• Formbook è stato in diffusione con una campagna a tema Pagamenti: le email veicolano un allegato .ZIP dannoso;
• Dridex è stato ancora in diffusione tramite la vulnerabilità Log4Shell;
• Diamondfox è stato in diffusione in Italia con una campagna a tema Covid-19: lo schema di infezione prevede il download di un file .ZIP contenente il malware. Il server di comando e controllo è sul dominio altervista.org.

Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

DiamondFox in breve:

NAS QNAP: il ransomware eChoraix (QNAPcrypt) di nuovo in diffusione. Già molti attacchi in Italia

Ne danno notizia i siti e i portali di informazione specializzati e possiamo purtroppo confermare la cattiva notizia, visto il numero di professionisti, aziende e home user che ci stanno contattando per supporto: il ransomware eChoraix, conosciuto anche come QNAPcrypt, è di nuovo in diffusione. Siamo alla ennesima campagna di diffusione, nonostante ormai da 2 anni QNAP abbia pubblicato appositi avvisi di mitigazione e upgrade. 

Per approfondire > NAS QNAP sotto attacco: campagna di diffusione del ransomware QNAPCyrpt

La nuova ondata di attacchi ha approfittato delle festività
I primi dati disponibili provengono dal servizio di analisi ransomware IDransomware: i suoi gestori spiegano come vengano riportati regolarmente attacchi di eChoraix contro NAS QNAP e Synology, ma dal 20 Dicembre in poi si è registrato un vero e proprio boom di invii al servizio. Si può dire che il boom di attacchi sia iniziato il 19 Dicembre e terminato il 26 Dicembre. 

Fonte: IDransomware

Insomma, copione già visto, gli attaccanti hanno atteso il periodo delle festività per scatenare gli attacchi, sapendo di avere maggiori possibilità di colpire professionisti o aziende chiuse o comunque sotto organico. 

Quale vettore di infezione?

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 11 - 17 Dicembre
La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose attive nel cyber spazio italiano. Ovviamente il report del CERT cita la vulnerabilità critica Log4Shell di Log4J, sicuramente la minaccia più pericolosa al momento. Qui i 5114 IoC resi disponibili dal CERT per mitigare questa minaccia. 

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

3 sono state le famiglie malware trovate in diffusione, alla quale vanno aggiunti però gli attacchi portati tramite Log4SHell per distribuire altri malware (Dridex e non solo).

Dridex, il malware bancario più diffuso in Italia, è l'ennesima minaccia che sfrutta la vulnerabilità di Log4j

E' una presenza fissa dei bollettini informativi settimanali del CERT-AgID: basta cercare "Dridex" nella barra di ricerca del sito https://cert-agid.gov.it per vedere confermata la sua circolazione in Italia dai dati telemetrici. La novità, preoccupante, è che Dridex non viene più diffuso soltanto tramite email di phsihing ma, come gran parte del cyber crime, sta approfittando della grave vulnerabilità Log4Shell della libreria Java Log4j. Andiamo con ordine.

Dridex in breve
Dridex è un malware bancario: è in diffusione dal 2011, ma ha subito negli anni vari upgrade divenendo una minaccia molto sofisticata. Nel 2020 è entrato nella lista dei top10 malware più diffusi al mondo. In Italia è una presenza fissa ormai, tantoché il nostro paese è considerato uno di quelli maggiormente impattati da questa cyber minaccia. 

Nato come malware finalizzato al furto di credenziali bancarie online si è evoluto nel tempo fino a divenire un downloader: viene usato cioè per scaricare e attivare vari moduli che eseguono diverse attività dannose come installare ulteriori payload, diffondersi su altri dispositivi, fare screenshot e fungere da keylogger ecc..  Note e famigerate sono ormai le sue collaborazioni con i ransomware: Dridex funge da downloader dei ransomware BitPaymer e DopplePaymer permettendo di monetizzare al massimo un attacco. 

Dridex: come si diffonde?

Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

I CSIRT vengono da lontano: iniziamo dal 1988
Nel 1998, un laureato fresco di studi ad Harward decide di lanciare sull'Internet del tempo il suo codice dannoso: è un worm, che lo studente Robert Morris lancia su una rete che al tempo contava 60.000 computer connessi tra enti governativi, militari ed universitari. In meno di 24 ore cadono vittime del worm oltre 6000 macchine e Morris raggiunge il suo obiettivo: dimostrare la totale inadeguatezza delle misure poste a protezione della rete. 

Morris, per fortuna, non è un cybercriminale e, di fronte al dilagare del suo worm, abbozza il primo tentativo mai registrato di Incident response: invia infatti in forma anonima le istruzioni necessarie non solo per rimuovere il suo worm, ma anche per impedire che possa di nuovo infettare le macchine bersaglio. Peccato che la rete sia in totale paralisi per il suo attacco e le informazioni non arrivino in tempo. Il worm continua a fare danni e diventano palesi l'assenza totale di coordinamento tra i vari "nodi" della rete nonché i problemi comunicativi.

L'agenzia USA DARPA, che finanzia progetti di ricerca di sicurezza nazionale, colpita profondamente dalle azioni di Morris, istituisce il primo centro di incident response per la risposta coordinata ai cyber attacchi. E' il primo CERT - Computer Emergency Response Team Coordination Center della storia, che poi si evolverà negli CSIRT- Computer Security Incident Response Team.

CERT e CSIRT sono poi stati istituzionalizzati in tutto il mondo.

La Direttiva NIS plasma il volto della cyber security europea
Approvata nel 2016, la  Direttiva Europea 1148/2016, detta Direttiva NIS mira a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security