00[1]

Attacco ransomware contro Luxottica: interrotta produzione e logistica

mercoledì 23 settembre 2020
Attacco ransomware contro Luxottica: interrotta produzione e logistica

La famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri, ha subito un cyber attacco che ha obbligato allo stop delle operazioni sia in Italia che in Cina. Parliamo della più grande azienda al mondo di occhiali, con oltre 80-000 dipendenti e che genera profitti per 9.4 miliardi l’anno.

I primi effetti dell’attacco sono divenuti visibili Venerdì mattina scorso, quando alcuni utenti hanno iniziato a segnalare malfunzionamenti di siti web collegati come quello di Ray-Ban, di Sunglass Hut di EyeMed ecc…

Anche i portali one.luxottica.com e university.luxottica.com erano offline: le homepage mostravano messaggi relativi a presunte manutenzioni in corso.

Lunedì la notizia è stata poi confermata dai nostri media nazionali: Ansa ha dato conferma del blocco della produzione e della logistica a causa di un “guasto al sistema informatico” per gli stabilimenti di Agordo e Sedico, nel bellunese. L’agenzia di stampa ha confermato che, in giornata, tutti gli operai e i dipendenti sono stati rispediti a casa a causa dell’impossibilità di procedere nell’attività lavorativa.

La conferma dell’attacco da parte dell’azienda è avvenuta soltanto ieri, Martedì 22 Settembre: Nicola Vanin, Information Security Manager di Luxottica, ha confermato l’attacco con un post su Linkedin.

“Nessuna azienda, indipendentemente dalle dimensioni, è esente da minacce alla cyber security ed è fondamentale limitare i costi e il danno reputazionale disponendo un piano di risposta da mettere immediatamente in campo dopo una violazione alla sicurezza” ha detto.

Con un secondo post, Vanin ha poi confermato la tipologia di attacco subito, ovvero un attacco ransomware che ha obbligato Luxottica ad arrestare l’intera rete “per alcune ore”, specificando comunque che “attualmente non risultano accesso o furti di informazioni riguardanti utenti e consumatori”.

Gli attaccanti, stando ai tecnici dell’azienda di cybersecurity Bad Packets, dovrebbero aver avuto accesso alla rete di Luxottica a causa di un controller Citrix ADC vulnerabile: la vulnerabilità in questione dovrebbe essere la CVE-2019-19781. Parliamo di una vulnerabilità molto popolare nel mondo del cyber crime che, una volta sfruttata con successo, fornisce l’accesso alla rete e le credenziali utili a diffondersi ulteriormente attraverso la rete stessa. L’attacco ransomware che, in Germania, ha portato alla morte di una paziente, ha visto l’exploit della stessa vulnerabilità.

L’attacco sembra comunque respinto, almeno stando alla nota del sindacato Femca-Cisl, unico per adesso ad aver fornito qualche dettaglio tecnico in più: sembra infatti che lo shut down preventivo di tutti i sistemi informatici e la corretta impostazione delle misure di cyber sicurezza abbia si comportato lo stop della produzione, ma anche evitato la diffusione del malware nella rete e il furto di eventuali dati, informazioni riservate e proprietà intellettuali. Il malware sarebbe cioè stato prontamente individuato non appena iniettato nella rete e isolato. L’attività produttiva sta tornando alla normalità, i siti web sono stati ripristinati e pare scongiurato il rischio di data breach.

Il patching, questo sconosciuto
Dato che la vulnerabilità CVE-2019-19781 viene regolarmente sfruttata per accedere alle reti aziendali (e non solo), Citrix ha pubblicato apposito materiale per informare tutti gli utenti e indicare le mitigazioni necessarie. Questa vulnerabilità riguarda tutte le build di Citrix ADC e Citrix Gateway precedenti alla 13.0.47.24 e va urgentemente mitigata. Citrix consiglia nella propria nota di eseguire l’upgrade alla build corretta oppure di applicare la mitigazione fornita.

L’esperto di cyber sicurezza Michael Barragry ha fatto notare però, come questa vulnerabilità sia pubblica da oltre 9 mesi e come vi sia stato un evidente ritardo nella mitigazione della stessa.

“Le vulnerabilità di Remote Code Execution sono tra le più pericolose e possono consentire ad un utente malintenzionato di eseguire del codice arbitrario sulla macchina target, eseguendo il download e attivando un ransomware. Le Aziende devono assicurarsi che sia esecutivo un solido sistema di gestione delle patch, soprattutto per la loro infrastruttura internet. Questa dovrebbe essere integrata con regolari valutazioni di sicurezza e test di penetrazione” ha dichiarato.

01[1]

ASTesla: l’analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

ASTesla: l’analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

giovedì 24 settembre 2020

Come raccontato qualche giorno fa, tra i nuovi malware in diffusione in Italia, il CERT-AgID ha individuato quello che pare a tutti gli effetti un “parente” del già noto AgentTesla. Il nostro team di cyber sicurezza nazionale ha individuato per la prima volta questo nuovo malware in distribuzione in una email a tema DHL e scritta il lingua inglese: l’email conteneva un allegato dannoso con estensione .GZ dal nome DHL STATEMENT OF ACCOUNT – 1606411788. Su questo malware il CERT-AgID ha pubblicato un apposito report consultabile qui: ne rendiamo i punti salienti.

L’archivio è un file .RAR in realtà, che è effettivamente un formato più adatto a Windows: all’interno è contenuto un file eseguibile con lo stesso nome. L’immagine sotto mostra l’email oggetto di analisi da parte del CERT-AgID.

Gli esperti hanno ribattezzato questo malware ASTesla perchè le analisi hanno indicato una forte somiglianza con AgentTesla. E’ un malware molto insidioso perchè presenta controlli anti debugging, anti sandbox e anti Virtual Machine: l’unico dato positivo è che questi sono piuttosto obsoleti. Un altro dato positivo è che il malware presenta bassi livelli di offuscamento del codice, cosa che rende più semplice l’individuazione da parte delle soluzioni di sicurezza.

ASTesla ha una catena di infezione composta da 4 blocchi ovvero inizializzazione, installazione, contatto col server di comando e controllo furto dati.

1. Inizializzazione:
In fase di inizializzazione alcune istanze del malware, selezionate elencando i percorsi delle immagini di tutti i processi e confrontandole col proprio, vengono terminate nel caso in cui siano individuate. Vengono quindi recuperati il nome della macchina e dell’utente, quindi viene generato un ID univoco per quella macchina infetta composto da MD5(Seriale_Scheda_Madre || ID_CPU || MAC_address). Le informazioni sono ottenute da WMI (Windows Management Instrumentation). Viene anche avviato un timer che, ad intervalli di 30 secondi, verifica se il tempo passato dall’ultimo input dell’utente sia di almeno 10 minuti. Trascorsi i 10 minuti dall’ultimo input, l’utente è considerato assente quindi il malware sospende l’invio degli screenshot data l’inattività.

2. Installazione:
In fase di installazione il malware viene copiato in un percorso prestabilito e aggiunto a

Software\Microsoft\Windows\CurrentVersion\Run e SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
per potersi avviare automaticamente.

L’installazione è comunque un passaggio opzionale che viene eseguito solo nel caso in cui il malware non sia già eseguito dal percorso configurato. E’ stato notato come, in alternativa all’installazione, il malware possa copiarsi in un file temporaneo ed eseguirsi da lì.

3. Comunicazione col server C2
Questa fase viene eseguita solo nel caso in cui l’esfiltrazione dei dati avvenga tramite HTTP verso un URL configurato. Per eseguire la richiesta HTTP il malware usa in alcuni casi TOR: il browser viene scaricato ed eseguito con funzione di proxy da locale. Tutte le richieste HTTP sono di tipo POST e contengono le seguenti informazioni:

ID Hardware;
data;
nome utente;
nome computer;
eventuali altre informazioni.
Si avviano infine due timer: il primo invia un ping al server di comando e controllo ogni due minuti mentre il secondo verifica ogni minuto se viene ricevuto il comando di disinstallazione dal server C&C.

4. Furto dei dati
ASTesla mira a 5 tipologie di dati

cookie;
screenshot;
clipboard (il logo della clipboard è eseguito con SetClipboardViewer);
battiture sulla tastiera (funzionalità di keylogging con SetWindowsExHook);
informazioni generali sulla macchina infetta (nome della CPU, sistema operativo, RAM).
e supporta 4 diversi metodi di esfiltrazione ovvero HTTP, FTP, email e Telegram. Per l’uso di Telegram come canale di esfiltrazione viene usato un bot. Gli screenshot, come detto, vengono eseguiti ogni X minuti ma sospesi se l’utente non risulta attivo.

Le credenziali vengono sottratte dai molti software, per la lista completa rimandiamo al documento di approfondimento del CERT-AgID: segnaliamo solo i più comuni

Edge e Internet Explorer;
Edge Chromium;
Eudora;
OpenVPN;
FileZilla;
FTP Navigator;
Outlook;
Opera Mail;
NordVPN;
MySQL Workbench;
Opera Browser;
Chromium;
Brave Browser;
Firefox;
Thunderbird.
I cookie sono sottratti dai browser

Opera;
Brave;
Chrome;
Firefox;
Thunderbird.

01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 18/09

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 18/09

martedì 22 settembre 2020

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 18/09
Il Cert-AgID ha riscontrato e condotto analisi su circa 20 diverse campagne di attacco dirette contro utenti italiani, per le quali l’agenzia ha prodotto circa 307 indicatori di compromissione (IoC).

Tra i malware più individuati spicca Emotet, che è stato rilevato in distribuzione con ben 5 diverse campagne. E’ stato quindi il malware più attivo questa settimana, diffuso col solito schema di distribuzione ovvero attraverso un file .doc contenente una macro dannosa. In alcuni casi il file Office è contenuto in archivio compresso ZIP. Il dato grave è che un repository dove è ospitato il malware è posizionato su un sottodominio compromesso appartenente ad una Pubblica Amministrazione.

Qakbot, sLoad e Masslogger confermano una presenza sporadica e di poco rilievo, mentre la vera novità è l’individuazione di un nuovo malware che, dopo analisi, è ritenuto un’evoluzione del ben già noto AgentTesla: il Cert-AgID lo ha ribattezzato ASTesla proprio per le somiglianze con AgenTesla. Su questo malware il CERT-AgID ha prodotto un dossier di approfondimento, consultabile qui: ne pubblicheremo un breve sunto nei prossimi giorni.

Le campagne di phishing della settimana 18/09

Tra le campagne di phishing, quelle più diffuse sono state:
– campagna Aruba: le email, confezionate come comunicazioni ufficiali di Aruba, contengono un link che reindirizza ad un dominio appositamente registrato per questa campagna. La campagna, individuata dal ricercatore JAMEWST, usa email contenenti finti avvisi automatici collegati al mancato pagamento di un ordine: alla vittima viene richiesto di accede all’Area Clienti per completare il pagamento. Il link reindirizza ad una falsa pagina con logo Banca Sella, dove sono richiesti dati finanziari sensibili

– campagna Ministero degli Affari Esteri: le email, a tema Outlook, reindirizzano verso una pagina con logo e dicitura del Ministero degli Affari esteri contenente un falso form. Il dominio usato, ovvero ms-network-gate[.]com, è già stato registrato in uso in campagne di phishing indirizzate verso dipendenti del Governo della Lituania e di quello dell’Ungheria;

– Poste, Zimbra, Register: le email fake contengono riferimenti e loghi ai relativi brand. Reindirizzano poi a pagine create ad hoc per il furto di credenziali.

Metodi e tipologia di file di attacco
Nelle campagne individuate e analizzate nel corso della settimana è stato fatto largo uso di allegati dannosi: le campagne presentano cioè file dannosi allegati via email, principalmente zip, doc, jar, gz, 7z, vbs, xls, xlsb, r04. La maggior parte degli allegati dannosi in formato DOC sono correlati a campagne Emotet.

La maggioranza delle campagne individuate presenta allegati dannosi, solo 7 campagne invece rimandano con un link alla risorsa.

01[1]

Compromessi gli e-commerce della Warner Music: probabile furto di carte di credito

Compromessi gli e-commerce della Warner Music: probabile furto di carte di credito

mercoledì 9 settembre 2020

La Warner Music Group (WMG) ha scoperto un data breach che ha riguardato le informazioni personali e finanziarie di decine di store e-commerce statunitensi: i siti e-commerce sono stati violati nell’Aprile 2020 con quello che sembra, a tutti gli effetti, un attacco MageCart. Il rischio quindi di aver subito il furto di dati personali e finanziari riguarda quindi milioni di utenti, non solo statunitensi: la WMG ha avvertito che tutti coloro che hanno inserito informazioni sui loro store online possono aver subito il furto dati ad opera di una terza parte non autorizzata e tutt’ora sconosciuta.

MageCart: cos’è in breve
Ufficialmente MageCart è il nome di un gruppo di cyber criminali specializzato nel furto di informazioni relative alle carte di credito degli utenti di siti e-commerce. La tecnica con la quale rubano questi dati è ormai molto famosa (e famigerata), tantochè la tipologia di attacco ha assunto il nome del gruppo, attacco MageCart ovvero “il carrello dei maghi”.

Il gruppo prende di mira i siti e-commerce di grandi aziende (British Airways, Ticketmaster, diverse catene alberghiere come Marriot ecc…) e li compromette tramite processi automatizzati: tra gli obiettivi più gettonati ci sono gli Amazon S3 Buckets (servizi di storage molto usati dalle aziende) non correttamente configurati. Una volta compromesso un dominio, le pagine web vengono inondate di malvertising: gli utenti rimbalzano di annuncio in annuncio e sono convinti con varie tecniche ad inserire quanti più dati personali possibili, che vengono immediatamente ricevuti dagli attaccanti. Un codice Javascript fa poi il resto ed è qui il cuore dell’attacco, tecnicamente definito come “web skimming”: il Javascript resta attivo sull’e-commerce e sottrae tutte le informazioni sensibili che gli utenti inseriscono nei moduli di pagamento. Spesso un sito resta compromesso per mesi, poichè le violazioni MageCart sono molto difficili da individuare.

Gli store Warner Music compromessi da Aprile

La WMG ha inviato una comunicazione ad ognuno degli utenti potenzialmente riguardati dal breach: comunicazione nella quale l’azienda spiega di aver scoperto in data 5 Agosto la violazione non autorizzata, ad opera di una terza parte sconosciuta, di una serie di siti web e-commerce che operano per WMG, anche se ospitati e supportati da un provider esterno. Questo accesso ha “potenzialmente consentito alla terza parte non autorizzata di acquisire copie delle informazioni personali inserite tra il 25 Aprile e il 5 Agosto 2020 nei siti web compromessi “.
Tra le informazioni potenzialmente sottratte ci sono nomi e cognomi, indirizzi email, numeri di telefono, indirizzi di fatturazione, indirizzi di spedizione e dettagli della carta di credito (numero CVC/CVV, data di scadenza). Tuttavia l’azienda ha dichiarato che invece non sono stati violati i dati inseriti sui siti web compromessi tramite il form di pagamento di PayPal.

Le indagini sul breach sono comunque in corso, nel frattempo la WMG ha deciso di offrire 12 mesi di servizio gratuito di monitoraggio dell’identità a coloro che sono stati potenzialmente riguardati dal breach, invitando comunque gli utenti che hanno ricevuto la comunicazione a restare vigili e verificare ogni pagamento o comunicazione email sospetta. L’azienda si è però rifiutata di fornire alla stampa l’elenco dei siti web compromessi.

00[1]

Ransomware: gli exploit più usati sono i bug delle VPN, ma gli attacchi RDP restano sul podio

Ransomware: gli exploit più usati sono i bug delle VPN, ma gli attacchi RDP restano sul podio

lunedì 7 settembre 2020

Per tutta la prima parte del 2020 gli attacchi ransomware contro le aziende si sono mantenuti a livelli costantemente alti. Per quanto ogni gruppo ransomware operi secondo un proprio set di competenze, la maggior parte degli attacchi ransomware nel primo trimestre del 2020 può essere attribuita ad un numero ridottissimo di vettori di intrusione.

Tra i primi tre metodi di intrusione più utilizzati troviamo gli endpoint RDP non protetti, le email di phishing e gli exploit di applicazioni VPN aziendali.

RDP: ancora sul podio
Sul gradino più alto del podio dei vettori usati per attacchi ransomware troviamo il Remote Desktop Protocol (RDP). I dati provenienti dal report di Coveware, azienda specializzata in risposta agli attacchi ransomware e nella negoziazione con gli attaccanti, parlano chiaro: l’RDP è il punto di ingresso più comunemente sfruttato negli attacchi ransomware avvenuti quest’anno.

A prima vista, qualcuno potrebbe pensare che l’RDP sia il principale vettore di attacco ransomware a causa delle attuali configurazioni del lavoro da casa (telelavoro o smart working), adottato in massa da aziende ed enti per continuare l’attività lavorativa anche mantenendo chiusa la sede di lavoro a causa della pandemia Covid19. Ciò non è del tutto vero: l’RDP è diventato nei fatti il principale vettore di attacco non dopo l’esplosione della pandemia da Covid, ma ben prima, già dallo scorso anno quando il “modello di business” dei ransomware è radicalmente cambiato, optando per attacchi mirati contro enti e aziende al posto degli attacchi massivi contro home user.

Nei fatti l’RDP rappresenta semplicemente, ad ora, la migliore tecnologia disponibile per la connessione a sistemi remoti e sono milioni i computer con le porte RDP esposte online, il che rende l’RDP un efficace vettore per tutte le tipologie di attacco, non solo per i ransomware. Vi sono interi gruppi di cyber attaccanti specializzati nella ricerca di endpoint con RDP vulnerabili, contro i quali lanciare attacchi di brute-forcing per individuare le credenziali. Basta una password debole e “il gioco è fatto”, l’accesso alla rete aziendale è avvenuto e può essere subito utilizzato per un attacco o può essere rivenduto nel dark web.

Il legame tra “cacciatori di RDP” e operatori ransomware si è fatto così stretto che nel dark web non è insolito vedere chiudere “RDP shop” perchè i suoi gestori finiscono per lavorare direttamente ed esclusivamente con un gruppo di operatori ransomware: il modello dei RaaS (ransomware as a service) deve molto a questa unione contingente di interessi.

Applicazioni VPN e i loro bug
Il 2020 è anche l’anno nel quale si è assistito ad una inedita crescita dell’uso delle VPN come strumenti di intrusione. Sin dall’Estate del 2019 sono state individuate molteplici e gravi vulnerabilità in appliance VPN molto conosciute e diffuse: una volta che viene diffuso il codice per l’exploit di una di queste vulnerabilità iniziano immediatamente gli attacchi. Scoperta la vulnerabilità qualcuno prepara il codice per l’exploit e lo mette in vendita per gli attaccanti. Va detto che alcuni proof-of-concept (ovvero progetti di codici di exploit da verificare alla prova dei fatti) sono prodotti dai ricercatori di sicurezza a finalità accademiche-conoscitive, ma ovviamente gli attaccanti non si fanno troppi scrupoli ad usare e perfezionare tali POC e usarli in attacchi reali: anche per questo la pratica della pubblicazione dei POC è non poco criticata.

Gli exploit per i bug delle VPN sono impiegati molto spesso in attacchi di cyber spionaggio, talvolta per il furto di dati e proprietà intellettuali: alcuni sviluppatori di questi exploit hanno deciso, similmente ai cacciatori di RDP, di riservare i propri servizi ad altre bande di cyber attaccanti spesso rivendendo direttamente l’accesso. Tra le VPN più colpite troviamo il gateqay di rete di Citrix e i server VPN di Pulse Sicure: ransomware come Sodinokibi, Ragnarok, Maze, Nefilim usato i bug di Citrix (come la CVE-2019-19781) per accedere alle reti aziendali.

Black Kingdom, REvil invece sfruttano la vulnerabilità CVE-2019-11510 della VPN Pulse Connect Secure.

00+28129[1]

Tor Vergata: attacco ransomware contro l’Università colpisce le ricerche sul Covid e blocca la didattica a distanza

Tor Vergata: attacco ransomware contro l’Università colpisce le ricerche sul Covid e blocca la didattica a distanza

giovedì 10 settembre 2020

La notizia è di ieri: l’Università di Tor Vergata a Roma, uno dei principali atenei d’Italia, è stata vittima di un attacco ransomware. L’intrusione nei sistemi dell’ateneo è avvenuta Venerdì sera a partire da un server, poi gli attaccanti sono riusciti ad espandere la loro presenza nella rete e a diffondere un ransomware. Finiscono criptati materiale didattico e di ricerca, compresi tutti i materiali relativi a ricerche e terapie per la cura del Covid19, ma l’attacco obbliga anche al blocco delle attività di didattica a distanza. In pratica sono finiti criptati tutti i materiali presenti sui dischi rigidi, ma anche nel sistema in cloud: oltre 100 i computer compromessi, incalcolabile il numero di dati sensibili e personali che è stato violato, anche se non c’è ancora certezza che i dati siano stati rubati prima di finire criptati. Non è stata neppure avanzata, almeno per ora, alcuna richiesta di riscatto.

“Per ora non è stato chiesto alcun riscatto e non sappiano ancora cosa abbiano esfiltrato, ma siamo riusciti subito ad avviare contromisure circoscrivendo il danno e attivando il ripristino dal backup, così da non perdere dati, ricerche e assicurare il proseguimento della didattica” ha dichiarato ieri il Rettore Orazio Schillaci, subito dopo aver assunto un consulente in cybersecurity specializzato in attacchi ransomware e che ha avuto esperienze in realtà del peso di Telecom, Banca Intesa. Alle indagini e alla risoluzione della violazione di rete stanno lavorando il team di informatici dell’ateneo, esperti della Presidenza del Consiglio dei Ministri, della Polizia Postale e di Microsoft.

La situazione ad oggi pare tornata quasi alla normalità: il backup ha permesso di poter ripristinare gran parte dei dati, mentre sono sotto analisi i log dei sistemi anti intrusione dei quali è dotata l’Università, che riportano indirizzi IP e altri indicatori di compromissione utili a ricostruire le modalità di attacco e anche a tentare di rintracciare gli attaccanti.

Il caso dell’Università di Tor Vergata non è affatto isolato e, se negli USA gli attacchi ransomware di questo tipo sono ormai consuetudine, nel nostro paese episodi simili si sono moltiplicati in pochissimo tempo: qualche giorno fa è finito sotto attacco ransomware il Comune di Rieti, ma anche la tentata irruzione nelle reti dell’istituto Spallanzani ha destato molto allarme.

Difficile ad ora avanzare ipotesi sulle finalità dell’attacco, poichè potrebbe trattarsi di un attacco a puro scopo estorsivo, ma allo stato attuale non si possono escludere spionaggio industriale così come la cyber war: da qualche mese infatti attacchi informatici (in molti casi sponsorizzati da Stati)per rubare test, studi e ricerche sui vaccini fin ora sperimentati sono divenuti molto frequenti.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy