Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Gennaio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana
Nel corso della scorsa settimana, il CERT-Agid ha individuato e sottoposto ad analisi 56 campagne dannose: di queste, 52 erano mirate contro utenti italiani mentre 4 sono state campagne generiche ma veicolate anche in Italia.

Le famiglie malware in diffusione sono state 6. Ecco il dettaglio:

Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Che il mondo del cyber crime stia evolvendo continuamente è sotto gli occhi di tutti. Nuove tecniche di attacco, meccanismi di intrusione, vulnerabilità sconosciute... insomma per stare al passo coi tempi anche le difese devono adattarsi alle novità degli attaccanti. Del principio di sicurezza multilivello abbiamo già parlato qui, non ci dilunghiamo.

E' a questo principio che va affiancato quello che è corretto definire come un nuovo approccio, una nuova metodologia di cyber security: parliamo del modello "zero trust", basato sul principio "non fidarti mai di nessuno", letteralmente.

ZeroTrust: perchè
partiamo dal principio. Le novità che hanno indotto alla necessità di un approccio zero trust sono due, fondamentalmente: il primo è la (ri) scoperta della centralità dell'infrattruttura IT per le aziende, resa evidentente dal ricorso massivo allo smart working e, in generale, alle forme di lavoro remoto conseguenti alla pandemia. Il secondo è invece l'evidente cambiamento nelle metodologie di attacco e, sopratutto, le tecniche di elusione evasione. Gli attaccanti cioè sono sempre più attenti a cercare di evadere o eludere le soluzioni di sicurezza attive nella rete bersaglio, riuscendo anche sempre più spesso ad arrestarle.

Per approfondire > ZeroTrust: per l'agenzia di Sicurezza Nazionale U.S.A e Microsoft questo è l'unico approccio valido alla cybersecurity

Esempi sul tema ve ne sarebbero a migliaia: rimanendo in Italia potremmo parlare di Lockbit, un ransomware che sta colpendo duramente sia enti che aziende italiane e che è stato il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo. E' una tecnica nuova, mai vista, e che richiede misure di mitigazione specifiche.

LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali

 

Lockbit ha bisogno di poche presentazioni, i fatti parlano per lui/loro: in Italia si devono a questo gruppo ransomware molti attacchi, recenti e meno recenti. L'ultima vittima in ordine cronologico è Bricofer Italia, nota azienda di vendita al dettaglio di materiali per bricolage e edilizia: oltre 2000 file rubati, una richiesta di doppio riscatto (per non rendere pubblici i dati e per renderli di nuovo accessibili all'azienda). Lockbit è però anche il ransomware che ha devastato il sistema sanitario regionale del Lazio, che sta ricattando proprio in queste settimane la regione Veneto per i dati rubati dall'ASL di Padova. Ancora: Lockbit 2.0 ha colpito anche piccole e medie aziende come Acquazzurra Firenze, noto calzaturificio attivo nel settore del lusso, ERG SPA la nota compagnia italiana dell'energia, GiCinque Srl, Mascherpa Tecnologie Gestionali e terminiamo qui la lista per non annoiarvi.

Già a fine 2020 Lockbit aveva colpito duramente in Italia (ne abbiamo parlato qui ), poi si è evoluto nella versione attuale, famosa e famigerata: Lockbit 2.0. Versione che oltre a non presentare falle nella criptazione tali da consentire di "forzare" l'algoritmo e riportare in chiaro i file, è stata anche la prima in assoluto, nel mondo dei ransomware, a rendere completamente automatizzata la criptazione dei domini Windows sfruttando le policy di gruppo.

Qui, per chi volesse, ci sono alcuni dettagli tecnici: Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

La criptazione delle macchine virtuali VMware ESXi

Attenzione ai vostri siti web: Let's Encrypt revocherà migliaia di certificati SSL in due giorni

Let's encrypt è un authority di certificazione no profit di Internet Security Research Group (ISRG): fornisce gratuitamente le certificazioni per la criptazione TLS sui siti web ed è popolarissima. Attualmente conta oltre 221 milioni di certificazioni attive.

La novità che può interessare i gestori di siti web che provvedono ai certificati TLS / SSL tramite Let's Encrypt  è che sono irregolari tutti i certificati SSL / TLS emessi negli ultimi 90 giorni: dal 28 Gennaio Let's Encrypt revocherà i certificati non validi. L'ISRG è stato avvisato da terze parti che ha esaminato il repository del Boulder di Let's Encrypt e ha riscontrato due irregolarità nel metodo di convalida "TLS using ALPN".

Per saperne di più, l'annuncio di Let's Encrypt nella community > 2022.01.25 Issue with TLS-ALPN-01 Validation Method

Il CERT individua una variante made in Italy del ransomware Chaos: attacca singoli utenti

Il CERT AGID, su segnalazione di alcuni ricercatori di sicurezza, ha analizzato una variante del ransomware Chaos in distribuzione in Italia in queste ultime due settimane.  La nota di riscatto è interamente in lingua italiana e sfrutta come tema la Polizia di Stato e la presunta presenza di materiale pedopornografico nel dispositivo infetto. 

La nota di riscatto viene generata al termine della criptazione dei file, mentre lo sfondo desktop viene sostituito con la foto di due agenti di Polizia. 

La nota di riscatto

L'ammontare del riscatto è assolutamente irrisorio rispetto alla media dei ransomware, ma la cosa si deve all'evidenza che questo ransomware non è pensato per attacchi mirati contro aziende ed enti pubblici, ma contro singoli utenti dai quali non si possono "cavare" riscatti di entità importante. E', un ritorno alle origini: se negli ultimi anni si sono specializzati in attacchi mirati per richiedere alti riscatti, in origine i ransomware puntavano più sulla quantità che sulla qualità delle vittime. Campagne come queste, che richiedono riscatti scarni, sono pensati per la diffusione massiva contro singoli utenti che, si presume, non sono dotati di strumenti di cyber security avanzati come quelli aziendali. 

Pagare il riscatto non fa rientrare in possesso dei file