01[1]

Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale

lunedì 19 ottobre 2020
Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale

Qualche giorno fa abbiamo dato notizia dell’attacco che Microsoft, a capo di una coalizione di ISP, esperti di cyber sicurezza e CERT nazionali, ha portato contro la famigerata botnet TrickBot. Ritenuta una minaccia aperta per le venture elezioni negli Stati Uniti, TrickBot e la sua intera infrastruttura sono stati oggetto di studio da parte di Microsoft che, una volta presentati i dati, ha ottenuto dal United States District Court for the Eastern District of Virginia l’autorizzazione necessaria per passare al contrattacco e smantellare la botnet.

Dalle prime dichiarazioni di Microsoft il risultato sembrava essere stato pienamente raggiunto, ma analisi successive e dati telemetrici hanno indicato come la botnet sia sopravvissuta al tentativo di takedown.

I server di comando e controllo di Trickbot e tutti i domini che sono stati messi offline la scorsa settimana sono già stati sostituiti: in pochissime ore cioè l’intera infrastruttura di Trickbot è stata sostituita. Aziende e ricercatori di sicurezza che monitorano da tempo l’attività di Trickbot hanno dichiarato che gli effetti del takedown sono stati “temporanei e limitati”: molti però gli elogi per Microsoft e partner, per lo sforzo e il tentativo indipendentemente dai risultati effettivi.

Alcune fonti interne alla coalizione che ha messo sotto attacco la botnet hanno spiegato che fin dall’inizio era esclusa la possibilità di ottenere lo shut down totale della infrastruttura: la cosa sarebbe provata anche dal fatto che la campagna anti TrickBot già prevede dei passaggi da ripetere, come la messa in down dei nuovi domini. Insomma, gli esperti della coalizione si aspettavano già una pronta risposta da parte degli attori dietro a TrickBot, al punto da aver già previsto alcune mosse da giocare non appena gli attaccanti avessero rimesso online l’intera infrastruttura. Sono centrali, da questo punto di vista, le parole di Tom Burt di Microsoft: “come abbiamo già visto nel corso di precedenti operazioni, i risultati di uno shut down globale che coinvolge più partner si manifestano in più fasi. Abbiamo già previsto che gli operatori di TrickBot tenteranno di riavviare le proprie operazioni. Se necessario quindi adotteremo ulteriori misure tecniche e legali per fermali”.

E non potrebbe essere altrimenti: questo approccio multifase è, spiegano gli esperti, il diretto risultato della complessità dell’infrastruttura di questa botnet, gran parte della quale gira su sistemi di hosting molto protetti, che o non rispondono affatto o rispondono molto lentamente a tentativi di takedown. Ad esempio, un report di sicurezza di Intel471 spiega che TrickBot ha iniziato a spostare i propri server di comando e controllo sul sistema di domain name decentralizzato EmerDNS, per cercare di contrastare il tentativo di takedown. Già due giorni dopo il primo assalto, l’infrastruttura della botnet era stata ripristinata, anche se con livelli di attività ben più bassi che nei giorni precedenti.
Non un successo completo, ma ci sono stati risultati positivi
In ogni caso ci sono stati effetti positivi: il tentativo di takedown non si è limitato all’infrastruttura. Al momento di approntare la strategia offensiva, hanno spiegato al giornale online ZDNet alcune fonti interne, erano stati valutati anche altri obiettivi: tra questi il cercare di produrre il più alto livelli di costi di ripristino aggiuntivi per gli autori di TrickBot e di ritardare o comunque ridurre il più possibile le operazioni malware già in atto. TrickBot infatti, come sappiamo, offre i propri servizi anche ad alcuni attori ransomware, che usano TrickBot come canale di diffusione.

Resta infatti vero che TrickBot è una delle 3 operazioni Malware as a service (MaaS) più di successo da sempre. La botnet produce massive campagne di spam (anche contro utenti italiani) per infettare pc e IoT, scaricare il proprio malware, quindi vendere i dati rubati dalle macchine attaccate. Oltre a ciò rivende l’accesso alle macchine già infette, aprendo la strada a ransomware, infostealer e keylogger, ma anche a gruppi hacker (col)legati ad alcuni Stati. Abbattere o ridurre la botnet dichiarerebbe una volta per tutte che l’infrastruttura di TrickBot non è così invincibile come si pensa: la cosa potrebbe comportare un duro colpo alla fama di questo MaaS, riducendo anche il numero di coloro che si rivolgono a TrickBot per le proprie campagne malware. E’ del tutto plausibile infatti che queste campagne di attacco possano portare a scoprire almeno alcuni dei “clienti” di TrickBot.

Il successo pieno è sul fronte legale
Il caso giudiziario che ha preceduto l’operazione ha prodotto un nuovo e inedito precedente legale. In tribunale infatti, il portavoce di Microsoft ha spiegato di come TrickBot abbia abusato del codice di Windows per finalità criminali, violando i termini di servizio del kit di sviluppo software (SDK) standard di Windows, sul quale sono usare tutte le app Windows. Una violazione del copyright di Microsoft sul proprio codice quindi, poichè gli attaccanti hanno copiato e usato l’SDK a finalità criminali.

La novità è tutta qui: in casi precedenti Microsoft e le forze dell’ordine dovevano presentare prove per dimostrare i danni, finanziari e non solo, subiti dalle vittime in una determinata giurisdizione. Per questo hanno dovuto spesso identificare e contattare le vittime, producendo più cause legali in giurisdizioni diverse. Il nuovo approccio incentrato sulla violazione del copyright è più facile da dimostrare ed è valido indipendentemente dalla giurisdizione. Si fa molto più agile e veloce quindi, per Microsoft, individuare cyber criminali e richiedere le autorizzazioni passare all’attacco.

01[1]

Luxottica ancora sotto ricatto: il team del ransomware Nefilim pubblica alcuni dati rubati

mercoledì 21 ottobre 2020
Luxottica ancora sotto ricatto: il team del ransomware Nefilim pubblica alcuni dati rubati

Lo scorso mese abbiamo riportato la notizia di un attacco ransomware subito dalla famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri. L’attacco ransomware aveva determinato malfunzionamenti ai siti web di Luxottica e collegati, come i siti web di Ray-Ban e Sungluss Hut, di alcuni portali interni e il blocco della produzione e della logistica. Il 22 Settembre Nicola Vanin, Information Security Manager di Luxottica, aveva confermato l’attacco con un post su Linkedin.

Ieri l’esperto di cybersicurezza italiano Odisseus, ha dato notizia tramite il proprio profilo Twitter del fatto che il gruppo di attaccanti responsabili del ransomware Nefilim ha pubblicato una lunga lista di file che appartengono a Luxottica.

I dati pubblicati sembrano riferire a due dipartimenti specifici: l’Ufficio del Personale e quello della Finanza. Tra i dati rilasciati si trovano informazioni riservate riguardo ad assunzioni e profili personali dei dipendenti e candidati, sulle strutture interne delle risorse umane del gruppo italiano e così via… I dati finanziari sono invece proiezioni di mercato, stime di crescita, budget e un’altra lunga serie di dati sensibili.

I dati pubblicati sono accompagnati da un messaggio che rimprovera Luxottica di non aver gestito correttamente e opportunamente l’attacco subito. Per Luxottica adesso, oltre alla conferma del data breach e furto dati, si apre un altro scenario, ovvero il concreto rischio di dover rispondere legalmente nel caso in cui i dati pubblicati dagli estorsori mettano a repentaglio informazioni relative a terzi.

In ogni caso, l’evento in sé conferma e ribadisce la nuova strategia attuata dai gestori di ransomware, ovvero quella della doppia estorsione: un riscatto per riportare in chiaro i file e un altro riscatto per evitare la pubblicazione nel dark web di dati sensibili personali, brevetti, copyright ecc… Tra l’altro questo primo leak non necessariamente sarà anche l’ultimo: nel corso di queste settimane il trend dimostrando dai gestori di ransomware è chiarissimo, ovvero la pubblicazione a piccole dosi e in più riprese dei dati sottratti (anche di quelli immessi nella rete dopo l’attacco) sia per dimostrare che gli attaccanti sono ancora presenti nella rete sia per piegare, è il termine giusto, ogni forma di resistenza da parte delle vittime.

Nella foto sottostante, i file pubblicati sul sito di leak di Nefilim e il messaggio con il quale sono accompagnati:

4e08451eac2e58726285b86120697c48_012528125291-1-640-c-90[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 15 ottobre 2020

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 09/10
La scorsa settimana il CERT-AgID ha individuato e analizzato 33 campagne dannose attive nello scenario italiano e rivolte contro utenti italiani: 224 sono gli indicatori di compromissione (IoC) messi a disposizione.

Ursnif è stato il malware più individuato, distribuito con ben 4 diverse e massive campagne di email di spam: tra queste, due erano a tema INPS mentre due imitavano comunicazioni del corriere Bartolini. Gli allegati usati in tutte le quattro campagne erano in formato XLS e XLSm. Nell’analisi di queste campagne, gli esperti del CERT si sono imbattuti in alcune interessanti peculiarità.

La campagna a tema Delivery, ovvero quella che sfrutta il nome di Bartolini, contiene un allegato XLSm. La drop-URL per scaricare la DLL è offuscata nelle celle e decodificata dalla macro: solo che la macro manda in crash Excel su Any.Run. Eseguendo il debug del codice macro i ricercatori hanno scoperto che l’errore è dovuto alle proprietà di ActiveWindow con .Height e .Width pari a 1. Height e Width impongono un resize del foglio Excel a dimensioni 1×1, che non sono accettate dalle versioni Office 2010. E’ quindi molto verosimile ritenere che questa campagna non sia andata buon fine (per gli attaccanti) su quelle macchine che hanno versioni di Excel inferiori alla 2013.

Dridex è stato invece in diffusione con 3 diverse campagne, due a tema spedizioni e in italiano, uno a tema pagamenti in inglese. L’allegato è, per tutte e tre le campagne, un XLSm.

Immancabili, al terzo posto, MassLogger e AgenTesla che hanno coperto interamente le giornate di Lunedì 5 e Martedì 6. Le campagne, a tema pagamenti, presentavano allegati in vari formati, soprattutto .zip, .rar, .img. MassLogger è poi tornato in diffusione con una seconda campagna contro utenti italiani, ma in lingua slovacca. Gli esperti del CERT confermano l’esfiltrazione di credenziali ad opera di MassLogger.

Infine, novità rispetto alle scorse settimane, torna ad affacciarsi sulle scene LokiBot che, dopo un lungo periodo di assenza, è stato diffuso in Italia con una massiva campagna email con allegati di tipo .zip, .iso, .img.

Lokibot in breve
LokiBot, individuato per la prima volta bel 2015, è un noto infostealer che opera registrando la battitura dei tasti (keylogger), monitorando l’attività dei browser e salvando screenshot del desktop dai dispositivi infetti. Ne esistono versioni sia per Windows che per Android.

Fonte: https://cert-agid.gov.it/

Le campagne phishing della settimana 09/10

Fonte: https://cert-agid.gov.it/
Tra le campagne phishing, la scorsa settimana sono state quelle a tema Banking che l’hanno fatta da padrone: Intesa SanPaolo è stata, suo malgrado, protagonista, con tre campagne email e due anche via SMS. Altre banche il cui nome è stato sfruttato in campagne i phishing sono state BPM, Findomestic, BNL.

Immancabili le campagne, ben 5, a tema Tim, Aruba o Outlook.

Metodi e tipologia di file di attacco
Nelle 33 campagne analizzate, sono state impiegate 11 diverse tipologie di file, ovvero .img, .r04, .zip, .xlsm, .xls, .ps1, .iso, .rar, .chm, .r13, .r08.

Le statistiche di individuazione sono visibili nel grafico sottostante pubblicato dal CERT

01[1]

Microsoft assedia e sconfigge TrickBot: ‘è un rischio per le elezioni USA’

mercoledì 14 ottobre 2020
Microsoft assedia e sconfigge TrickBot: ‘è un rischio per le elezioni USA’

Non è la prima volta che Microsoft decide di passare all’azione per combattere il cybercrime in prima persona, attaccando direttamente i cyber attaccanti. Nel Marzo di quest’anno Microsoft ha preso il controllo della botnet Necurs, responsabile dell’invio di 3.8 milioni di messaggi di spam contro oltre 46 milioni di target in appena 50 giorni di analisi. Nei primi giorni di Luglio di quest’anno, invece, Microsoft ha annunciato con un dettagliato report di aver effettuato e concluso una vasta campagna di attacco per prendere il controllo e mettere offline una serie di domini usati in quel periodo per lanciare massivi attacchi di phishing, la maggior parte dei quali a tema Covid.

Da pochi giorni si è conclusa un’altra operazione simile, avente come obiettivo principale quello di smantellare la botnet TrickBot e l’intera infrastruttura dedicata alla sua gestione.

Per iniziare: TrickBot in breve
Abbiamo parlato spesso di TrickBot, sopratutto da quando, a partire dallo scorso anno ha iniziato a fare “coppia fissa” col ranomsware Ryuk e ad essere diffuso piuttosto regolarmente anche in Europa (italia compresa). TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.

Luglio 2017:
nell’Estate del 2017 fu individuata perfino una versione con comportamenti da worm: il modulo di propagazione di TrickBot era stato infatti implementato con EternalBlue, l’exploit del protocollo SMB che fu alla base della virulenza impressionante dei ransomware WannaCry e Petya.

Gennaio 2018:
TrickBot viene usato come Access-As-A-Service da altri attori. Una volta che una macchina viene infettata da TrickBot e diviene un bot, il malware crea una reverse shell per altri cyber attaccanti, consentendo loro di infltrarsi nel resto della rete e scaricare altri malware.

Marzo 2018:
ennesimo update. Viene aggiunta una componente di blocco dello schermo (screenlocker), evento che ha indotto i ricercatori a prevedere per TrickBot anche un futuro come ransomware, laddove non dovesse arrivare a termine con successo l’esfiltrazione delle informazioni bancarie dalla macchina target.

Gennaio 2019:
TrickBot inizia a fare coppia fissa coi ransomware. Vengono individuate diverse campagne di diffusione del ransomware Ryuk, nelle quali l’accesso ai sistemi è garantito dalle funzionalità di backdoor di TrickBot.

La task force contro TrickBot
La task force che si è occupata di smantellare la botnet TrickBot e l’intera infrastruttura di gestione era composta da più soggetti (il team Defender di Microsoft, il Financial Services Information Sharing and Analysis Center, Black Lotus Labs, Symantec ecc…): il primo passo compiuto è stato quello di studiare per mesi oltre 125.000 malware che avevano infettato più di un milione di pc e alcune centinaia di migliaia di dispositivi IoT.

In seguito ai risultati delle analisi, lo United States District Court for the Eastern District of Virginia ha riconosciuto a Microsoft l’autorizzazione necessaria per collaborare con gli ISP e le unità CERT nazionali per smantellare nel vero senso della parola, la botnet e avviare anche una campagna di comunicazione per allertare gli ignari utenti-vittime del rischio corso. Una vera e propria operazione di “takedown” accompagnata da una capillare operazione comunicativa verso gli utenti.

L’annuncio di Microsoft riguardo all’operazione è stato pubblicato 2 giorni fa, dopo che il New York Times ha riferito che il Cyber Command U.S.A ha preso di mira il gruppo temendo l’utilizzo del malware TrickBot e della sua botnet per manipolare il voto delle Presidenziali del 3 Novembre.

“Abbiamo interrotto Trickbot con un’ingiunzione del tribunale e un’operazione eseguita in collaborazione con provider di tutto il mondo”, ha dichiarato alla stampa Tom Burt, vicepresidente di Microsoft. “Come hanno avvertito il governo degli Stati Uniti e esperti indipendenti, il ransomware è una delle maggiori minacce alle prossime elezioni. Gli avversari possono utilizzare il ransomware per infettare un sistema informatico utilizzato per mantenere le liste elettorali o riferire sui risultati della notte delle elezioni, sequestrando quei sistemi a un’ora prestabilita ottimizzata per seminare caos e sfiducia”, ha continuato, facendo riferimento al fatto che TrickBot è stato frequentemente sfruttato come “apripista” per varie tipologie di ransomware, Ryuk tra tutti.

L’operazione ha avuto successo e, ad ora, i gestori di TrickBot non sono più nella condizione di avviare nuove infezioni o diffondere ransomware sfruttando le backdoor aperte sui sistemi dal malware stesso: “Oltre a proteggere l’infrastruttura elettorale dagli attacchi ransomware, l’azione odierna proteggerà un’ampia gamma di organizzazioni, tra cui istituzioni di servizi finanziari, agenzie governative, strutture sanitarie, aziende e università dalle varie infezioni malware abilitate da Trickbot” ha concluso Burt.

01[1]

Nuovo ransomware colpisce i Nas QNAP anche in Italia: arriva Solve

martedì 13 ottobre 2020
Nuovo ransomware colpisce i Nas QNAP anche in Italia: arriva Solve

Per ora non ci sono molte informazioni: questo ransomware è stato segnalato direttamente da utenti vittime meno di un mese fa. E’ però utile segnalarlo, perchè stiamo ricevendo richieste di assistenza al nostro servizio di decriptazione https://www.decryptolocker.it da parte di utenti italiani.

Il ransomware è stato ribattezzato Solve prendendo spunto dalla nota di riscatto che lascia nelle cartelle contenenti i file criptati, ovvero “SOLVE ENCRYPTED FILES.txt”. Dalle segnalazioni per ora ricevute mira principalmente i NAS: la quasi totalità delle vittime, ad ora, hanno subito l’infezione su NAS QNAP.

Qualche dettaglio tecnico
Il ransomware Solve cripta i dati degli utenti con l’algoritmo AES256, mentre la chiave è protetta da algoritmo RSA. Richiede in riscatto circa 400 dollari in Bitcoin: un riscatto molto basso rispetto a quelli a cui siamo attualmente abituati e il fatto dipende dall’evidenza che questo ransomware non è pensato per attacchi mirati contro grandi aziende, ma contro utenti home e piccoli uffici o aziende. E’ scritto in linguaggio GO ed sembra ottimizzato per sistemi Linux.

L’estensione che Solve aggiunge al nome dei file criptati è .encrypted

Presenta un certo livello di offuscamento del codice, cosa che rallenta le operazioni di analisi in cerca di una possibile soluzione.

La nota di riscatto
Sono state individuate, per adesso, tre diverse note di riscatto del ransomware: da queste emerge che sono correlati a questo malware, gli indirizzi di posta elettronica

diVesTaCil@protonmail.com
ialpatntedu@protonmail.com
e l’indirizzo al sito di pagamento Tor http://xd2qypbyb6csolmammt63h2xxib3snaszqijiy6i5shpongvyfwncaid.onion

I tecnici dei nostri partner tecnologici sono già al lavoro per individuare eventuali falle nell’algoritmo di criptazione che possano consentire la decriptazione dei file. Aggiorneremo in caso di novità.

Mitigare il problema: le indicazioni di QNAP
Come raccontato recentemente, non è affatto un buon periodo per i NAS QNAP, bersagliati a più riprese da vari malware mirati, la maggior parte dei quali ransomware. Dopo QnapCyrpt, che ha già diffuso ben due diverse versioni (la prima è risolvibile, la seconda e più recente ancora no), è stata la volta di AgeLocker, anche esso non risolvibile attualmente. Qualche mese fa invece Stati Uniti e Regno Unito hanno diramato alert ad hoc per un malware che ha colpito oltre 60.000 QNAP nel mondo: parliamo del malware QSNatch. Solve pare semplicemente l’ultimo arrivato in una lista di cyber minacce già nutrite.

Data la situazione è consigliabile seguire le indicazioni di mitigazione che QNAP ha fornito in occasione dell’ondata di attacchi ad opera del ransomware QNAPCrypt, per assicurarsi di eseguire la versione più recente del firmware e di aver risolto alcune vulnerabilità note.

1. Fai il login come Amministratore;
2. Vai nel Pannello di Controllo > Sistema > Update del Firmware
3. Sotto Live Update, fai clic su Cerca per Update

Verrà così ricercato e installato l’update più recente disponibile. La stessa operazione può essere compiuta anche da Supporto > Download Center, eseguendo quindi un update manuale.

QNAP suggerisce anche di aggiornare il software Photo Station:

1. Fai il login come Amministratore;
2. Apri l’APP Center quindi fai click sulla search box;
3. Cerca “Photo Station”e premi Entra;
4. nella finestra che si apre, clicca su Update.

Il tasto Update non sarà disponibile se è già in uso la versione più recente. Se invece è disponibile, il clic sul bottone avvierà il download e installazione dell’update: a fine processo dovrebbe mostrarsi un messaggio di conferma.

Infine, QNAP consiglia anche le seguenti operazioni:

cambia le password di tutti gli account attivi sul dispositivo;
elimina ogni account utente sconosciuto dal dispositivo;
elimina tutte le applicazioni sconosciute o inutilizzate dal dispositivo;
imposta una lista di controllo per gli accessi al dispositivo (Pannello di Controllo > Sicurezza > Livello di Sicurezza).

01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 15 ottobre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 09/10
La scorsa settimana il CERT-AgID ha individuato e analizzato 33 campagne dannose attive nello scenario italiano e rivolte contro utenti italiani: 224 sono gli indicatori di compromissione (IoC) messi a disposizione.

Ursnif è stato il malware più individuato, distribuito con ben 4 diverse e massive campagne di email di spam: tra queste, due erano a tema INPS mentre due imitavano comunicazioni del corriere Bartolini. Gli allegati usati in tutte le quattro campagne erano in formato XLS e XLSm. Nell’analisi di queste campagne, gli esperti del CERT si sono imbattuti in alcune interessanti peculiarità.

La campagna a tema Delivery, ovvero quella che sfrutta il nome di Bartolini, contiene un allegato XLSm. La drop-URL per scaricare la DLL è offuscata nelle celle e decodificata dalla macro: solo che la macro manda in crash Excel su Any.Run. Eseguendo il debug del codice macro i ricercatori hanno scoperto che l’errore è dovuto alle proprietà di ActiveWindow con .Height e .Width pari a 1. Height e Width impongono un resize del foglio Excel a dimensioni 1×1, che non sono accettate dalle versioni Office 2010. E’ quindi molto verosimile ritenere che questa campagna non sia andata buon fine (per gli attaccanti) su quelle macchine che hanno versioni di Excel inferiori alla 2013.

Dridex è stato invece in diffusione con 3 diverse campagne, due a tema spedizioni e in italiano, uno a tema pagamenti in inglese. L’allegato è, per tutte e tre le campagne, un XLSm.

Immancabili, al terzo posto, MassLogger e AgenTesla che hanno coperto interamente le giornate di Lunedì 5 e Martedì 6. Le campagne, a tema pagamenti, presentavano allegati in vari formati, soprattutto .zip, .rar, .img. MassLogger è poi tornato in diffusione con una seconda campagna contro utenti italiani, ma in lingua slovacca. Gli esperti del CERT confermano l’esfiltrazione di credenziali ad opera di MassLogger.

Infine, novità rispetto alle scorse settimane, torna ad affacciarsi sulle scene LokiBot che, dopo un lungo periodo di assenza, è stato diffuso in Italia con una massiva campagna email con allegati di tipo .zip, .iso, .img.

Lokibot in breve
LokiBot, individuato per la prima volta bel 2015, è un noto infostealer che opera registrando la battitura dei tasti (keylogger), monitorando l’attività dei browser e salvando screenshot del desktop dai dispositivi infetti. Ne esistono versioni sia per Windows che per Android.

Fonte: https://cert-agid.gov.it/

Le campagne phishing della settimana 09/10

Fonte: https://cert-agid.gov.it/
Tra le campagne phishing, la scorsa settimana sono state quelle a tema Banking che l’hanno fatta da padrone: Intesa SanPaolo è stata, suo malgrado, protagonista, con tre campagne email e due anche via SMS. Altre banche il cui nome è stato sfruttato in campagne i phishing sono state BPM, Findomestic, BNL.

Immancabili le campagne, ben 5, a tema Tim, Aruba o Outlook.

Metodi e tipologia di file di attacco
Nelle 33 campagne analizzate, sono state impiegate 11 diverse tipologie di file, ovvero .img, .r04, .zip, .xlsm, .xls, .ps1, .iso, .rar, .chm, .r13, .r08.

Le statistiche di individuazione sono visibili nel grafico sottostante pubblicato dal CERT

01[1]

Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi

lunedì 5 ottobre 2020
Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi

L’alert viene dai ricercatori di sicurezza di Mitiga, azienda di cybersicurezza: un gruppo di cyber attaccanti specializzato in truffe del tipo BEC (Business Email Compromise) è riuscito a racimolare circa 15 milioni di dollari colpendo più di 150 aziende in giro per il mondo in pochissimi mesi. Tutto questo utilizzando sempre lo stesso schema e nonostante gli alert (sia da parte delle Authority nazionali competenti sia da parte di privati) che, pur essendo sempre più ricorrenti, non sono ancora riusciti a creare la giusta consapevolezza intorno a questa tipologia di attacco.

La truffa BEC in breve
Per truffa BEC si intende una tipologia di cyber truffa che viene portata esclusivamente contro aziende. Gli attaccanti falsificano o compromettono gli account aziendali di dirigenti o dipendenti di alto livello che hanno accesso alle finanze aziendali e sono abilitati ad eseguire bonifici bancari, per sfruttarli al fine di far eseguire pagamenti truffaldini. Gli account aziendali vengono compromessi con attacchi di phishing o con keylogger, ma non è affatto raro che vengano anche appositamente creati sfruttando le informazioni personali rintracciabili sul web della persona che gli attaccanti vogliono impersonificare.

Lo schema classico prevede che gli attaccanti inviino dall’account email compromesso / falso di un dirigente (spesso il CEO aziendale) all’account di un dipendente abilitato ad eseguire bonifici, una email in cui viene richiesto di eseguire urgentemente un pagamento verso un soggetto terzo. Il dipendente che non riconosce la truffa, finisce per eseguire bonifici su conti anonimi collegati agli attaccanti e molto spesso è assai difficile, se non quasi impossibile, rintracciare quei soldi.

Una immagine della campagna Anti BEC dell’Interpol

Un caso realmente accaduto: truffato il rappresentante di Confindustria a Bruxelles
Un esempio eclatante, verificatosi un paio di anni fa, ha riguardato Gianfranco Dell’Alba, direttore della delegazione della Confindustria a Bruxelles. L’imprenditore riceve una email al suo indirizzo di posta, il cui mittente era Marcella Panucci. direttore generale di Confindustria e braccio destro dell’allora presidente Boccia. Il messaggio è, circa, questo:
“Caro Gianfranco, dovresti eseguire un bonifico di mezzo milione di euro su questo conto corrente. Non mi chiamare perché sono in giro con il presidente e non posso parlare”.

L’email ricevuta era una email cosiddetta di spoofing, cioè inviata da un cyber attaccante che aveva violato in precedenza l’account dal quale è stata inviata l’email a Dell’Alba. Come richiesto, Dell’Alba non ha chiamato per avere conferma e non ha richiesto informazioni aggiuntive, nonostante l’entità della somma richiesta: Dell’Alba esegue il bonifico e i soldi, semplicemente, scompaiono.

La campagna mondiale BEC
Il modus operandi del gruppo individuato da Mitiga è ricorrente: uno schema consolidato che si ripete, per ora immutato, da mesi e che ha colpito aziende in tutto il mondo, Europa compresa, registrando una percentuale di successo altissima.

La prima fase, ovviamente, consiste nella compromissione degli account di posta elettronica: il report in questo caso non spiega le modalità, ma rispetto allo schema di attacco in uso è anche poco importante. Infatti, l’attenzione dei cyber attaccanti si rivolge maggiormente alla fase successiva, ovvero l’impostazione di banali regole di inoltro messaggi: accorgimenti molto semplici che però concedono agli attaccanti di leggere tutti i messaggi ricevuti dalla vittima senza che questa possa sospettare alcun accesso non autorizzato.

Qui inizia una fase di studio e pianificazione molto approfondito, che, in alcuni casi sembra essere durato perfino mesi: lo scopo è quello di riuscire ad approntare un’email quanto più credibile possibile. Gli attaccanti così vagliano il traffico dei messaggi, in cerca dello scambio più interessante con un fornitore o cliente. Una volta individuato, registrano un dominio quanto più simile possibile a quello del cliente/fornitore: i domini individuati fino ad adesso differiscono di una sola lettera rispetto a quelli originali, molto difficili da individuare.

Ecco che l’email originale inviata dal cliente / fornitore viene bloccata e, al suo posto, ne viene inviata una molto simile ma che riporta le coordinate bancarie di un conto controllato dagli attaccanti. Per evitare che altre risposte possano accavallarsi, gli attaccanti impostano una serie di filtri nella casella di posta della vittima, facendo si che eventuali messaggi di risposta finiscano in una cartella nascosta. E’ così che eventuali messaggi di richiesta di maggiori informazioni o di conferma delle coordinate bancarie, semplicemente, scompaiono.

Il report spiega che gli attaccanti hanno usato un solo account Office 365, che è poi la stessa piattaforma che prendono di mira nei loro attacchi: solo questo account risulta collegato a più di 150 attacchi. Come a ribadire l’estremo ritardo con cui le aziende stanno reagendo ad una tipologia di attacco dove il bersaglio è un essere umano: non c’è antivirus che tenga, contro le truffe BEC l’unica soluzione è la formazione del personale.

01[1]

Ransomware: una infezione, tripla estorsione. L’attacco DDoS usato come ulteriore livello di ricatto

mercoledì 7 ottobre 2020
Ransomware: una infezione, tripla estorsione. L’attacco DDoS usato come ulteriore livello di ricatto

Già da tempo abbiamo dato risalto al cambiamento di strategia dell’universo ransomware: attenzione che si è spostata dalle vittime home user alle aziende (capaci di pagare riscatti ben più alti) e doppia estorsione, ovvero un riscatto per poter riportare in chiaro i file criptati e un riscatto per scongiurare la pubblicazione dei dati rubati al momento dell’ingresso in rete degli attaccanti.

La novità, che indica chiaramente come il cybercrime abbia deciso di alzare ulteriormente il tiro contro le proprie vittime, è stata scoperta e denunciata da Malware HunterTeam: gli attori dietro al ransomware SunCrypt hanno aggiunto un terzo livello di estorsione, collegato ad attacchi DDoS.

In dettaglio, gli attori di SunCrypt per la prima volta hanno lanciato un attacco DDoS contro il sito dell’azienda sotto ricatto, per convincere i suoi dirigenti a sedere al tavolo delle trattative. Gli attaccanti hanno deciso di ricorrere a questo ulteriore livello di attacco quando le trattative con la vittima si sono arenate. La vittima, loggando sul sito Tor per il pagamento, visualizzava un messaggio con il quale gli attaccanti la avvisavano di aver lanciato un attacco DDoS che sarebbe continuato fino alla riapertura delle trattative.

“Al momento il tuo sito web è down in conseguenza agli sforzi dei nostri tecnici. Sei pregato di inviarci un messaggio prima possibile o prenderemo ulteriori provvedimenti”, questo l’avviso degli operatori di SunCrypt.

Stando alla ricostruzione di MalwareHunterTeam, l’azienda bersaglio (il cui nome è stato giustamente omesso dai report) ha chiesto spiegazioni sul perchè di un attacco DDoS, dato che questa modalità è del tutto inusuale per i ransomware, almeno per i modelli di attacco per ora consueti. La risposta degli sviluppatori di SunCrypt è stata chiarissima: l’attacco DDoS è stato condotto al mero scopo di forzare le trattative per il pagamento.

“Eravamo in fase di negoziazione, quando poi il nostro interlocutore non si è presentato. Abbiamo quindi deciso di intraprendere ulteriori azioni”, queste le dichiarazioni degli attaccanti alla richiesta di spiegazioni da parte di MalwareHunterTeam. La redazione di Bleeping Computer ha pubblicato uno stralcio dello scambio tra gli attaccanti e la vittima:

Clicca sull’immagine per ingrandirla
Come annunciato, gli operatori hanno cessato l’attacco DDoS quando la vittima si è di nuovo “seduta” al tavolo delle trattative

Clicca sull’immagine per ingrandirla

La tattica ha effettivamente pagato gli attaccanti: la vittima ha ceduto e ha quindi pagato il riscatto, testimoniando l’efficacia di questa particolare tecnica di attacco. Efficacia particolarmente evidente e prevedibile sopratutto nel caso in cui il bersaglio sia una piccola o media impresa: queste sono infatti tipologie di aziende per le quali già gli effetti di un attacco ransomware sono devastanti, figuriamoci “una combo” tra attacco ransomware e attacco DDoS. Combinando furto dati, minaccia di data breach, impossibilità di accesso ai file criptati e, adesso, attacchi DDoS gli attaccanti hanno tutto il potere di obbligare una PMI al blocco completo dei sistemi e, quindi, delle proprie operazioni.

SunCrypt in breve
In diffusione già da qualche mese come DLL, una volta eseguito cripterà tutti i file presenti sul computer e nelle condivisioni di rete. Aggiunge ai file criptati una estensione corrispondente ad un hash esadecimale.

Diffuso in attacchi mirati contro le aziende, da qualche settimana sembra prediligere vittime nei settori dell’istruzione e sanitario. Un paio di mesi fa era rimbalzata sui siti specializzati la notizia dell’affiliazione di SunCrypt al “Cartello delle estorsioni” lanciato dagli attori del ransomware Maze, ma sono stati poi i fondatori stessi del cartello a smentire il gruppo di SunCrypt specificando che non c’è mai stato alcun accordo tra SunCrypt e gli altri attori ransomware affiliati al cartello.

01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

giovedì 8 ottobre 2020
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 02/10
Il CERT-AgID ha individuato circa 20 campagne dannose contro utenti italiani: sono circa 394 gli indicatori di compromissione (IoC) pubblicati. Per gli IoC rimandiamo al sito web ufficiale del CERT-AgID.

Il malware più diffuso è stato Dridex, dominatore indiscusso della settimana con più campagne in inglese, ma veicolate in Italia. La particolarità è che il CERT ha riscontrato due somiglianze con le campagne di diffusione di Emotet: l’uso di file .doc contenenti macro dannose come vettore del malware e la stessa codifica PowerShell del payload.

Dridex in breve:
è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E’ pensato per il furto dati e dellE credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware.
MassLogger è stato diffuso con le consuete campagne a tema pagamenti, localizzate questa volta però in 11 diversi paesi, tra i quali l’Italia. Il CERT-AgID ha diramato un comunicato ad hoc per questa cyber minaccia, allertando privati e Pubbliche Amministrazioni sui rischi di questa cyber minaccia e segnalando una serie di IoC per la messa in sicurezza delle infrastrutture informatiche. Il comunicato è disponibile qui.

MassLogger in breve:
MassLogger è un infostealer (malware specializzato nel furto dati) e keylogger: come keylogger registra i tasti che un utente preme sulla tastiera, così da poter intercettare credenziali di ogni genere (nomi utente e password di account social, di home banking…) ma anche dati in generale (conto corrente, dettagli della carta di credito ecc…). Per un’analisi più approfondita clicca qui
Emotet è stato in diffusione con due diverse campagne, quindi “sottotono” rispetto la scorsa settimana. Vettore della prima campagna, a tema pagamenti, un documento in formato .DOC; vettore della seconda campagna, a tema salute, un file compresso .ZIP protetto da password. A riguardo segnaliamo l’utile servizio gratuito HaveiBeenEmotet, approntato dalla società TGSoft, che offre agli utenti la possibilità di verificare se il proprio indirizzo email sia vittima di Emotet.

AgenTesla è stato diffuso con due diverse campagne, a tema pagamenti: la versione in lingua italiana reca come allegato un file .ISO, mentre la versione in lingua inglese è diffusa tramite allegato .DOC.

Ursnif è stato in diffusione con una sola campagna a tema INPS con allegato .XLS.

Le campagne di phishing della settimana 02/10
Tra le campagne di phishing, pensate cioè per il furto dei dati degli ignari utenti, sono segnalate le seguenti campagne:

campagna TIM, in lingua italiana;
campagna Aruba, in lingua italiana e a tema mancati pagamenti dell’hosting;
campagne UbiBanca, IntesaSanpaolo, BNL, Paypal, tutte in lingua italiana;
campagna Enel, in lingua italiana e a tema rimborso.
Metodi e tipologia di file di attacco
Nelle campagne individuate e analizzate nel corso della settimana è stato fatto largo uso di allegati dannosi: i formati file più utilizzati come vettori malware sono stati 9: .zip, .doc, .iso, .js, .ps1, .vbe, .xls, .r05, .r09. Gli allegati .doc sono correlati in particolare alle campagne Emotet e Dridex, mentre i file .r05, .r09 e .rar sono correlati alle campagne MassLogger.

Tra le campagne individuate, 9 presentano allegati dannosi, 10 campagne invece rimandano con un link alla risorsa.

Le statistiche di individuazione per Settembre 2020

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy