mercoledì 24 febbraio 2021
Ransomware Avaddon: uno studente pubblica tool per la decriptazione gratuita e gli attaccanti lo usano per correggere la falla e diffondere (anche in Italia) una versione migliorata del malware

Stiamo ricevendo alcune richieste di supporto per decriptare file criptati dall'infezione ransomware Avaddon: alcune richieste provengono anche da utenti italiani, segno che la campagna ransomware è attiva anche nel nostro paese. Se la prima versione del ransomware risulta risolvibile senza pagare il riscatto ai cybercriminali, la nuova versione circolante non è ad ora risolvibile perchè la falla che permetteva di risolvere la prima versione è stata corretta studiando il tool di decriptazione che uno studente spagnolo ha messo, gratuitamente e in buona fede, a disposizione di tutte le vittime. Evento che apre una amara riflessione su come, talvolta, gli esperti di cyber security più che di ostacolo al cybercrime ne divengano (involontariamente) complici. Forse è possibile gestire in maniera migliore tali situazioni, aiutando le vittime senza dettagliare pubblicamente la soluzione tecnica?

Avaddon in breve
Avaddon è una RaaS che ha debuttato sulle scene del cybercrime nei primi mesi del 2020: inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon è, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon è così organizzato da disporre pure di una pagina di supporto alle vittime dove sono fornite ulteriori e indicazioni per utenti poco esperti

La pagina di supporto vittime di Avaddon

Ad ora sono circolanti due diverse versioni:

prima versione con estensione di criptazione .avdn
seconda versione con estensioni di criptazione variabili. Ad esempio .adDECCCaEe; .baaCEdCdBb ecc...

Avaddon è dotato di funzionalità di esfiltrazione delle informazioni, secondo il nuovo modello di attacco seguito dai gruppi ransomware: rubare i dati prima di criptarli rende possibile richiedere un duplice riscatto, uno per riportare in chiaro i file e l'altro per evitarne la pubblicazione. Il gruppo Avaddon ha infatti un proprio sito di leak che altro non è che un blog nel circuito tor .onion. La richiesta di riscatto, rinominata readme.txt e visibile sotto, rende chiaro alla vittima che non è stato compromesso un solo PC: Avaddon mira a dilagare nella rete per infettare tutti i dispositivi e gli host che vi trova collegati.
La nota di riscatto di Avaddon

Comunemente a molti ransomware, Avaddon esegue verifiche di sistema prima della criptazione: tra queste esegue verifiche sulle impostazioni di Windows e della tastiera per escludere utenti russi, tatari, ucraini, armeni, moldavi ecc...

Una volta che il payload viene eseguito, avviene la criptazione di:

File di programma (x86) \ Microsoft \ Exchange Server
Programmi \ Microsoft SQL Server
Programmi \ Microsoft \ Exchange Server
Programmi (x86) \ Microsoft SQL Server

per poi passare la resto di file e alle condivisioni di rete. Esegue il delete del Shadow Copy, quel servizio di Windows che consente il ripristino dei file tramite backup / copia di uno specifico volume: nei fatti è una tecnica che impedisce il ripristino del sistema e dei file a meno che la vittima non disponga di un backup su storage diversi dal dispositivo criptato.

L'autogol: il tool gratuito che ha aiutato i cybercriminali a blindare il ransomware
Martedì scorso Javier Yuste, dottorando alla Rey Juan Carlos University di Madrid, ha pubblicato sulla propria pagina GitHub un decryptor gratuito e un documento di analisi della falla individuata nel codice del ransomware e sfruttata per "forzare" la criptazione.

Secondo le ricerche di Yuste, al momento di criptare un dispositivo, Avaddon crea una chiave unica AES256 per la sessione di criptazione, necessaria sia per criptare che decriptare i file. Un difetto nel meccanismo con cui il ransomware cancella questa chiave ha permesso a Yuste di programmare un tool capace di recuperarla dalla memoria fintanto che il computer non è stato spento dopo la criptazione.

Una descrizione della falla così dettagliata come quella contenuta nel report di Yuste ha permesso però agli sviluppatori del ransomware (che evidentemente leggono le nostre stesse notizie e pagine GitHub) di risolvere la falla in meno di 24h: tanto è stato il tempo intercorso tra la pubblicazione di Yuste e quella della nuova versione del ransomware, riveduta e corretta, nel portale dei cybercriminali e nei forum di hacking dove il servizio è pubblicizzato.

"Nessun decryptor e nemmeno tanta attenzione concentrata su di noi potranno fermarci. Al contrario abbiamo analizzato la situazione, individuato i punti deboli e trovato una soluzione. [...] Abbiamo già implementato una soluzione al problema, soluzione che renderà impossibile la decriptazione con strumenti di terze parti" hanno fatto sapere gli sviluppatori in un post postato su alcuni forum.

Non solo, da "buoni businessman" quali sono diventati, gli sviluppatori del ransomware hanno deciso di compensare gli affiliati per i mancati guadagni da quelle vittime che hanno potuto usare il tool di Yuste: la quota di guadagni destinata agli affiliati è stata aumentata all'80%, dal precedente 65-75% (a seconda del numero di vittime che un affiliati riesce a generare).

venerdì 26 febbraio 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 19/02
Il CERT-AgID ha individuato e analizzato 35 campagne dannose attive: 5 sono state campagne generiche veicolate anche in Italia, 30 invece hanno bersagliato direttamente utenti italiani. Ben 288 sono stati gli indicatori di compromissione (IoC) messi a disposizione dal CERT.

Sono ben 8 le famiglie di malware individuate in diffusione nell'ambito di queste campagne: nello specifico

Qakbot è stato il malware più diffuso con 5 diverse campagne: di queste una era generica, 4 invece mirate contro utenti italiani. Gli allegati vettore erano di tipo .ZIP contenenti, a loro volta, file .XLS con macro;
AgenTesla si piazza al secondo posto, individuato con ben 3 campagne a tema Pagamenti: gli allegati vettore utilizzati sono di tipo .DOCX, .TGZ, .ZIP;
Formbook è stato individuato con due diverse campagne italiane a tema "Pagamenti" tramite allegati .ZIP e .ISO.
Dridex è stato in diffusione con una sola campagna generica a tema Delivery che ha riguardato anche l'Italia: gli allegati dannosi erano in formato .XLS;
Ursnif è stato invece diffuso con una campagna mirata contro utenti italiani a tema Energia, tramite allegati compromessi .XLSM;
Avemaria torna invece attivo dopo 20 giorni di assoluto silenzio: torna in diffusione con una campana a tema delivery con allegati in formato archivio .7Z;
anche Remcos ricompare dopo un periodo di stop piuttosto lungo: dopo circa 3 mesi di inattività torna in diffusione, tramite allegato .LZ, con una campagna a tema Pagamenti.

Le campagne di phishing della settimana 19/02

Le campagne di phishing analizzate hanno coinvolto 14 diversi brand: il settore bancario si conferma di nuovo quello più colpito, ma si assiste ormai a una crescita costante delle campagne a tema PA e i settori Delivery, Finanziario e Assicurativo.

IntesaSanPaolo si conferma, tristemente, al primo posto dei brand più sfruttati per il tema Banking;
Poste Italiane, BNL, Unicredit, Findomestic chiudono il panorama delle campagne a tema Banking;
UniPol SAI si conferma come il brand più sfruttato per il tema Assicurazioni;
BRT e TNT invece sono i brand più sfruttati per il tema Delivery. Le campagne che hanno sfruttato questi marchi hanno visto l'uso non solo di false comunicazione email, ma anche di falsi SMS: scopo delle campagne è quello di indirizzare gli utenti verso pagine fake tramite le quali rubare i dati delle carte di credito;
Microsoft, OneDrive, Amazon, Tim sono stati sfruttati sia in campagne di phishing che di smishing finalizzate al furto delle credenziali dei relativi servizi;
Agenzia delle Entrate è stata sfruttata nell'ambito di una campagna piuttosto insidiosa che prometteva un rimborso di 136,99 euro da parte dell'Agenzia stessa. Per "ricevere il rimborso" l'utente viene invitato a compilare un form che, guarda caso, prevedeva anche l'inserimento dei dati della carta di credito e del CVV, oltre che quello dei dati generici;
chiude la lista dei brand Aruba, sfruttata in una campagna a tema pagamenti che reindirizzava l'utente verso una pagina fake di pagamento per il presunto rinnovo del servizio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si registra il boom di archivi in formato .ZIP. Seguono al secondo posto file in formato .exe e .xls., quindi i file .xlsm.
Fonte: https://cert-agid.gov.it/

giovedì 25 febbraio 2021
Scoperta nuova variante del malware MassLogger: è già in diffusione in Italia

MassLogger è un malware piuttosto conosciuto nel mondo della cybersecurity italiana: è uno dei malware che, a cadenza piuttosto regolare, viene diffuso con campagne di phishing e spam ad hoc contro utenti italiani. La sua diffusione è così ricorrente e preoccupante da aver indotto il CERT-AGiD ad analizzare e scrivere un report / alert su questa minaccia.

Ora MassLogger, che ricordiamo è un malware infostealer finalizzato al furto di credenziali, è in diffusione con una nuova versione che ha ampliato le funzionalità del malware originario ed è capace di rubare credenziali da app di messaggistica, MS Outlook e Google Chrome e altri applicativi.

La nuova versione è già in uso in the wild, individuata nell'ambito di una campagna di phishing generica che ha colpito utenti in Turchia, Spagna, Russia, Lituania e Italia. La campagna è attiva, con alti e bassi, da metà Gennaio 2021 circa.

Individuata dai ricercatori di Cisco Talos, la nuova versione del trojan per utenti Windows usa un file HTML compilato: è da questo file .html che si origina la catena di infezione. Questo formato è tipicamente usato per il file Windows Help, tuttavia può contenere script attivi, come nel caso dei Javascript che lanciano operazioni malware.

Stando al report di Cisco Talos, gli operatori del malware usano un approccio multi modulare in questa campagna sin dal primo step, ovvero l'email di phishing. Questo approccio aiuta gli attaccanti ad eludere il rilevamento da parte delle soluzioni di sicurezza, ma è un'arma a doppio taglio: chi difende una rete sotto attacco con queste modalità avrà a disposizione molteplici opportunità per interrompere la catena di infezione, cercando di terminare i processi responsabili dei diversi stadi dell'attacco.
Fonte: Cisco Talos

L'email vettore che ha colpito gli utenti spagnoli, ad esempio, contiene un allegato email integrato con codice Javascript offuscato per creare una pagina HTML. La pagina HTML, a sua volta, contiene un PowerShell che stabilisce una connessione con un server legittimo che recupera il loader per avviare il payload di MassLogger.

Nella versione attuale, MassLogger è capace di esfiltrare dati tramite FTP, SMTP o HTTP ma c'è anche una funzionalità aggiuntiva per il furto di client di messaggistica Pidgin, NordVPN, Discord, ThunderBird, Firefox, QQ Browser, Chrome, Edge, Brave e Opera.

La particolarità è invece che, nonostante MassLogger sia da sempre dotato di funzionalità di keylogging, queste risultano disabilitate nella campagna presente.

lunedì 15 febbraio 2021
Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

E' con un'operazione congiunta tra le forze dell'ordine ucraine e francesi che è stata sgominata la banda di cyber attaccanti responsabile dell'operazione ransomware Egregor: sono finiti in carcere non tutti, ma la maggior parte dei membri della gang. L'operazione nasce grazie al tracciamento, da parte della Polizia francese, di alcuni riscatti pagati ad individui che sono poi risultati localizzati in Ucraina. In manette, come detto, non soltanto gli sviluppatori del ransomware, ma anche persone che hanno fornito supporto logistico e finanziario. L'operazione scaturisce da una indagine aperta lo scorso Autunno dal Tribunale di grande istanza di Parigi in seguito a molteplici denunce ricevute sulla gang ransomware di Egregor, che in effetti ha duramente colpito aziende francesi.

Non che la notizia di arresti di questo tipo sia isolata: alcune volte i cyber criminali si tradiscono, sbagliano qualcosa, finiscono rintracciati. Questi arresti però fanno notizia perchè Egregor non solo era atteso come "top ransomware", ma anche perchè nel suo (breve) periodo di attività ha messo a segno colpi di peso come l'attacco ad Ubisoft o, più recentemente, contro Gefko.

Per approfondire > Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)

Egregor: ascesa e caduta
La comparsa di Egregor aveva, a suo tempo, messo in forte allarme ricercatori ed esperti di cybersecurity che, addirittura, arrivarono a definirlo come il successore del temibilissimo ransomware Maze. Proprio i legami con Maze portarono l'FBI a diramare uno specifico alert su Egregor il quale, già alla sua prima comparsa, potè contare sull'intera rete di affiliati di Maze transitati in massa al nuovo RaaS.

Per approfondire > Una buona notizia: il ransomware Maze cessa le operazioni

Egregor infatti opera(va) come un RaaS (ransomware as a service) dove gli affiliati collaborano direttamente con gli sviluppatori per diffondere il ransomware e suddividere poi i proventi dei riscatti. In collaborazioni come queste, solitamente, gli sviluppatori mettono a disposizione il ransomware e il sito di pagamento, gli affiliati invece si occupano di distribuire il ransomware irrompendo nelle reti e nelle macchine bersaglio. L'accordo tra gli sviluppatori di Egregor e i suoi affiliati prevedeva che il 20-30% del totale di un riscatto andasse agli sviluppatori, il restante agli affiliati.

Le cose sono inizialmente andate molto bene per i gestori del RaaS, tantoché sono anche state siglate collaborazioni di un certo peso, come quella stretta a Novembre col malware Qbot: grazie a questo accordo gli affiliati poterono sfruttare le reti già infettate grazie all'apposita backdoor che Qbot lascia su ogni sistema violato. Ne conseguì un consistente aumento del volume degli attacchi in pochissimo tempo, al punto tale da obbligare i gestori a organizzare una vera e propria fila per poter gestire i negoziati per il pagamento del riscatto tanto alto era il numero delle vittime.

E' stato poi all'inizio di Dicembre 2020 che Egregor ha improvvisamente registrato una battuta di arresto, conducendo molti meno attacchi: calo degli attacchi confermato anche da Coveware, società specializzata nella negoziazione con gruppi di cyber attaccanti. Coveware ha dichiarato di aver registrato un drastico calo di attacchi in quel periodo, dovuto, probabilmente, al fatto che una parte degli affiliati potrebbe aver scelto un altro RaaS. A Gennaio addirittura il sito di leak di Egregor, è stato offline per circa due settimane e, una volta tornato online, presentava bug e molti errori: questo fatto insolito ha portato altri autori di minacce ransomware a sospettare che Egregor fosse stato violato dalle forze dell'ordine.

Insomma, difficile dire se sia stata l'operazione delle forze dell'ordine a sgominare la gang di Egregor o se già il team "ci avesse messo del suo", determinando una serie di alti e bassi che possono aver indotto un vero e proprio fuggi fuggi degli affiliati. In ogni caso, questa minaccia, che in pochi mesi ha fatto oltre 200 vittime, pare essere sgominata. Ed il bilancio delle operazioni delle forze dell'ordine chiuse con successo comincia a farsi interessante, considerando che poche settimane fa si è registrata un'altra vittima eccellente: la botnet Emotet.

venerdì 19 febbraio 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 12/02
Questa settimana il CERT-AGID ha individuato e analizzato circa 35 campagne dannose: di queste soltanto 3 sono state generiche, 32 invece quelle mirate contro utenti italiani. Record di indicatori di compromissione individuati, ben 774.

Sette sono state le famiglie di malware individuate, con poche novità, a parte il debutto del malware Kronos:

Formbook è stato, per la prima volta, il malware più diffuso. E' stato in distribuzione con ben 5 diverse campagne tutte a tema Pagamenti e recanti allegati in formati .zip, .iso, .rar;
AgentTesla, veicolato con allegati in formato .gz e .zip, è stato in diffusione con 2 campagne entrambe a tema pagamenti;
Dridex è stato diffuso con due campagne a tema Pagamenti: una di queste campagne è stata mirata contro utenti italiani, l'altra invece era generica veicolata anche nello spazio italiano. Entrambe le campagne hanno visto l'uso di allegato .xlsm;
Ursnif è stato diffuso con due campagne a tema "Mise", tramite allegati in formato archivio .zip o in formato .doc;
sLoad torna di nuovo in diffusione nel circuito PEC: il malware viene diffuso attraverso un file .zip con una doppia compressione. Su questa specifica campagna il CERT-AgID ha pubblicato una news specifica consultabile qui;
Kronos è stato individuato per la prima volta in diffusione in Italia, con una campagna a tema Pagamenti mirata contro utenti italiani: email e allegati sono scritti in italiano, il malware è diffuso tramite file .doc compromesso;
Qakbot è stato individuato in diffusione con una sola campagna e diffuso tramite allegati .xls. Ricordiamo che Qakbot è affiliato a molte gang ransomware ed è specializzato nella rivendita di accessi abusivi alle reti che riesce ad affittare. Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Kronos in breve:
Kronos è un trojan bancario individuato per la prima volta in diffusione nel Luglio 2014: è finalizzato all'esfiltrazione e furto di credenziali bancarie e degli estremi delle carte di credito / debito. Nel tempo è stato dotato di meccanismi di elusione delle verifiche delle soluzioni antivirus e anti malware.
Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 12/02
Le campagne di phishing analizzate hanno visto il coinvolgimento di 12 brand. Nessuna novità da questo punto di vista: il settore più colpito resta quello bancario, Intesa San Paolo e Poste i brand più sfruttati. Ecco una breve lista:

Intesa San Paolo e Poste sono sul podio dei brand più sfruttati, usati in 4 campagne mirate a tema Banking;
Unicredit e Findomestic si piazzano la secondo posto, con campagne a tema Banking veciolate via SMS (smishing);
Microsoft è stata sfruttata in due diverse campagne per sottrarre credenziali dei servizi di posta;
altri brand sfruttati per campagne malevole, a tema vario, sono stati TIM, DHL, Zim, Outlook, WeTransfer, Weebly.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, questa settimana si registra il boom di archivi in formato .ZIP. Seguono al secondo posto gli allegati dannosi in formato .doc, quindi al terzo posto .exe, .rar. .xlsm e .iso
Fonte: https://cert-agid.gov.it/

giovedì 18 febbraio 2021
Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Il report che la società di sicurezza KELA ha pubblicato qualche giorno fa accende i riflettori su un fenomeno che spesso resta in secondo piano: la rivendita di accessi alle reti violate sembra essere argomento sottovalutato rispetto alla vendita nel dark web di dati personali a fini di furto d'identità o di coppie di credenziali.

Rivendere gli accessi: il mercato delle reti violate
Il report parla di una organizzazione capillare, molto strutturata al punto da configurare, praticamente, una filiera: è la riconferma del fatto che il cybercrime si fa sempre più "professionale" e sempre meglio organizzato. La rappresentazione plastica di questo fenomeno, oltre alla nascita dei RaaS (Ransomware as a service) e dei MaaS (malware as a service) e la strutturazione sempre più avanzata del mercato di compravendita di accessi. Ora si può definitivamente parlare di un vero e proprio mercato in cui si vendono accessi alle reti.

Lo schema è questo: un gruppo di attaccanti riesce a violare, in qualche maniera, una rete. L'idea comune è che, ottenuto un accesso, l'attaccante prosegua nel suo intento portando attacchi più profondi e pesanti al fine di poter guadagnare monetizzando l'attività. La novità è che sempre più spesso gli attaccanti si fermano all'ottenimento dell'accesso alla rete e poi monetizzano direttamente quello, rivendendolo ad altri "colleghi". Si profila quindi una filiera in cui alcuni cyber attaccanti si specializzano in violazione delle reti, mentre altri si specializzano in diffusione malware, furto dati e criptazione.

Il report di KELA analizza soltanto il 3 trimestre del 2020 ma fa una panoramica chiarissima: solo nei 3 forum specializzati in questo particolare tipo di "mercato" sono transitati accessi a oltre 250 reti compromesse. Se questi accessi fossero a listino, questo avrebbe il valore di circa 1,2 milioni di dollari. Alcuni accessi però non sono neppure a listino: alcuni di questi sono contrattati in privato, quindi il valore complessivo potrebbe essere più alto.

Che tipo di accessi sono venduti?
Dai dati emerge che la maggior parte degli accessi in vendita sfrutta due tipi di protocolli, ovvero l'RDP (Remote Desktop Protocol) e VPN (Virtual Private Network). Non solo: il ricorso massivo ai sistemi di accesso remoto a causa della pandemia Covid-19, spesso in forme improvvisate e poco sicure, ha avuto un effetto dirompente su questo mercato nero.

L'alleanza tea operatori malware & ransomware
Se la maggior parte degli accessi alle reti rivenduti sui forum dell'underground di hacking attiene a protocolli RD e VPN vulnerabili, c'è tutta una parte di mercato che invece avviene in trattativa privata, in accordo tra gruppi ransomware e malware: un accordo quasi professionale, suddiviso anche per competenze. E' il mercato che si sviluppo tra gli operatori malware che violano le reti e condividono gli accessi a gruppi ransomware affiliati.

Un esempio tra tutti e la coppia TrickBot + Ryuk: i log delle attività su uno dei server usati dal trojan TrickBot nelle fasi post-compromissione di una rete mostrano come i suoi gestori distribuiscano il ransomware Ryuk nelle reti compromesse, fino a due settimane dopo l'accesso. In dettaglio, una volta compromessa la rete, gli attaccanti avviano una scansione in cerca di live system che hanno specifiche porte aperte e rubano gli hash delle password dai gruppi Admin. Vengono testati soprattutto servizi come FTP, SSH, SMB, Server SQL, desktop remoto perchè sono molto utili per spostarsi da un computer ad un altro lungo una rete. Gli attaccanti a questo punto profilano ogni macchina ed estraggono più informazioni possibili: mappano quindi la rete e , nei fatti, vi ottengono il controllo completo, potendo accedere a quanti più host possibili. A questo punto inizia la distribuzione del ransomware Ryuk a tutte le macchine accessibili.

mercoledì 10 febbraio 2021
Avvelenare l'acqua sabotando un impianto di depurazione via TeamViewer: il grave episodio in Florida

E' una storia che sembra surreale, peccato che non lo è: anzi, è un precedente utile per capire come la cybersecurity non attenga più solo a cose "immateriali" come dati, foto, credenziali. Data la sempre maggiore interrelazione tra mondi digitale e reale, il confine tra i due mondi si è fatto talmente labile da divenire invisibile, al punto che ormai un cyber attacco rischia di avere effetti "materialissimi", potendo perfino fare vittime.
Per quanto non sia la prima volta che accade, quanto successo in Florida sta facendo il giro del mondo: un attaccante è riuscito ad avere accesso al sistema di depurazione dell'acqua della città di Oldsmar in Florida e tentato di incrementare la concentrazione dell'idrossido di sodio (NaOH), meglio conosciuto come soda caustica, nell'acqua trattata. L'idrossido di sodio è comunemente presente in molti detergenti per la casa, ma diviene estremamente pericoloso se ingestito in alte concentrazioni. In basse concentrazioni è usato negli impianti di depurazione dell'acqua per regolarne l'acidità (PH) e rimuovere metalli pesanti.

L'attacco è avvenuto lo scorso Venerdì intorno alle 1.30 della notte, ora locale: l'attaccante ha ottenuto l'accesso e preso il controllo del pc di uno degli impiegati dell'impianto usando TeamViewer: questo quanto dichiarato all'agenzia di stampa Reuters dallo Sceriffo della città Bob Gualtieri. Uno degli operatori dell'impianto ha raccontato di aver visto qualcuno prendere il controllo del mouse del suo pc e usarlo per effettuare alcuni cambiamenti nel software che regola le funzioni del depuratore cittadino. L'intruso è riuscito a rimanere nel sistema dai 3 ai 5 minuti, portando il livello di soda caustica nell'acqua da 100 parti al milione a 11.100 parti per milione. La tragedia è stata evitata dall'operatore stesso, che ha immediatamente annullato le operazioni compiute e poi interrotto l'accesso remoto al sistema.

Eric Seidel, sindaco della città, ha affermato che il sistema di trattamento delle acque cittadino è stato pensato con sistemi di ridondanza che avrebbero immediatamente dato l'allarme se i livelli dei componenti chimici nell'acqua avessero raggiunto davvero livelli pericolosi per la salute dei cittadini e degli animali. Ciò non toglie la pericolosità dell'evento e anche il rischio che un eventuale accesso "più profondo" nell'infrastruttura di gestione della rete idrica potrebbe mettere in condizione un attaccante di sabotare anche i meccanismi di controllo. Da parte sua lo Sceriffo Gualtieri ha fatto sapere che non ci sono stati arresti in seguito al cyber attacco, dato che non ci sono informazioni sull'attaccante e non si è ad ora neppure riusciti a ricostruire se l'attacco sia originato dagli Stati Uniti stessi o dall'esterno: motivo per il quale è entrata in campo direttamente l'FBI.

Attaccanti dilettanti e misure di sicurezza
Partiamo da un'evidenza: rispetto alle complicatissime tecniche di attacco alle quali siamo solitamente abituati, questo episodio è da inserirsi nella lista, purtroppo crescente, di quei tentativi di attacco remoto contro sistemi di controllo industriale da parte di attaccanti con basse competenze e poche skills di hacking. Il numero di incidenti di questo tipo è un crescita nell'ultimo anno, stando ai numeri pubblicati dal team Mandiant Threat Intelligence (MTI).

"Molte delle vittime di questi attacchi sembrano scelte a caso, tra piccoli proprietari di infrastrutture critiche e operatori che servono una popolazione limitata. Questa tipologia di attaccanti, attraverso l'interazione remota con i sistemi di controlli industriale, si impegna in operazioni a impatto limitato, spesso manipolando le variabili dei processi fisici. In nessuno dei casi precedenti ci sono stati danni a persone o infrastrutture, perché i processi industriali sono monitorati da ingegneri professionisti che conoscono perfettamente e sanno implementare meccanismi di sicurezza per prevenire modifiche impreviste" dichiarano da MTI.

La domanda è, però, cosa potrebbe accadere se un attacco di questo genere venisse portato da gruppi di cybercriminali esperti o sponsorizzati da governi avversi. I meccanismi di difesa e ridondanza sarebbero sufficienti?

Impianti di trattamento dell'acqua sotto attacco
Negli ultimi 20 anni attacchi agli impianti di trattamen
to dell'acqua sono accaduti già alcune volte: nel 2000 un impianto di trattamento delle acque reflue in Australia è stato attaccato creando rischi per la pubblica incolumità. In quel caso era stato un dipendente scontento ad utilizzare equipaggiamento rubato per accedere illegittimamente al controller SCADA e rilasciare 800.000 litri di acque reflue non trattate in due importanti corsi d'acqua locali.

Nel 2011 un gruppo di cyber attaccanti che si autodefinisce "prof" ha pubblicato alcuni screenshot dimostrando l'accesso all'impianto di trattamento delle acque reflue nel South Houston in seguito al blocco delle pompe dell'acqua, nei fatti rivendicando il malfunzionamento.

Nel report Data Breach Digest 2016 di Verizon non si fanno nomi, ma spunta un ennesimo attacco di questo tipo: un gruppo di cyber attivisti è riuscito ad avere accesso ai sistemi di una grande azienda di fornitura e depurazione delle acque sfruttando vulnerabilità di software e hardware obsoleti.

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 05/02
La scorsa settimana il CERT-AgID ha individuato e sottoposto ad analisi 35 campagne dannose: soltanto due di queste sono state campagne generiche distribuite anche nello spazio italiano, mentre 33 hanno preso di mira specificatamente obiettivi italiani. 449 gli indicatori di compromissione resi disponibili.

7 sono state le famiglie di malware individuate: prima di elencarle però è utile far notare un'assenza che ha grosso peso. Non risultano individuazioni di campagne vettori del malware Emotet: il take down dell'infrastruttura botnet è stato davvero efficace.

AgentTesla e ASTesla: in mancanza di Emotet, i malware più individuati sono stati i due della famiglia Tesla, diffusi in 4 diverse campagne a tema Pagamenti con allegati di tipo .GZ, .R01 e .UUE;
Qakbot invece è stato diffuso con tre diverse campagne a tema "Documenti". Le email contenevano allegati .XLS contenenti la classica macro dannosa. Gli esperti del CERT fanno notare come Qakbot mancasse alla distribuzione dal 24 Dicembre 2020;
Lokibot, Formbook, Netwire e Dridex completano la panoramica sulle famiglie malware individuate la scorsa settimana. Tutte le campagne di distribuzione di queste famiglie hanno utilizzato email in lingua italiana, a parte quella per la diffusione di Dridex, contenente testo, oggetto e allegato in lingua inglese.
Netwire in breve:
è un trojan infostealer, specializzato cioè nel furto di informazioni. Viene diffuso tramite documenti Excel compromessi, contenenti macro dannosi. Talvolta sfugge all'individuazioni delle soluzioni antivirus e anti malware a causa del fatto che parte del suo codice è altamente offuscato. E' capace di ottenere la persistenza sui sistemi. Una volta attivo sul sistema, ruba le credenziali di Outlook e la cronologia dai browser Internet Explorer, Chrome, Mozilla. Ha funzionalità di keylogging.

Le campagne di phishing della settimana 05/02
12 sono stati i brand coinvolti nelle campagne di phishing analizzate. Nessuna novità particolare in questo campo: di nuovo il settore più bersagliato è quello bancario / finanziario, di nuovo i brand più sfruttati sono stati IntesaSanPaolo e Poste Italiane. L'unica "novità" è che anche il brand Findomestic è stato usato per campagne di phishing.

Intesa San Paolo ha visto il proprio brand sfruttato in ben 5 diverse campagne, a tema Banking, pensate per il furto di credenziali;
Poste segue Intesa con 4 campagne di phishing finalizzate al furto di credenziali accesso e di estremi della carta di credito / debito;
Findomestic torna ad essere sfruttata in campagne di phishing, ben 3 solo questa settimana (per un totale di 5 campagne negli ultimi 6 mesi, puntualizzano dal CERT);
BNL , MPS, Unicredit, Prestito chiudono l'elenco delle campagne di phishing a tema banking. Si registrano anche campagne di smishing;
chiudono la lista Amazon e Outlook, con campagne di phishing sporadiche mirate alla sottrazione di credenziali.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda le tipologie di file più usate per veicolare malware, il formato più utilizzato è stato il formato .XLS, seguono i formati .UUE, .R01, .XLSM, .RAR; .GZ.

Fonte: https://cert-agid.gov.it/

giovedì 11 febbraio 2021
Camper sotto attacco: hacker paralizzano gli stabilimenti toscani di Trigano

Uffici bloccati e fermo produttivo: 850 dipendenti, cioè il complesso della forza lavoro, mandati a casa in pieno orario di lavoro, con la prospettiva di cassa integrazione per un arco di tempo che potrebbe andare da pochi giorni a qualche settimana, ma è difficile fare previsioni. Queste le conseguenze di un cyber attacco che ha colpito il gruppo Trigano, multinazionale francese specializzata nella produzione di camper: 3 gli stabilimenti fermi in Italia, a Cusona di San Gimignano, a Chiano di Barberino Tavarnelle e a Poggibonsi.
I 3 stabilimenti sono chiusi ormai da Martedì mattina ed è difficile capire quando potranno riaprire, dato l'alto livello di automazione e digitalizzazione aziendale: il blocco riguarda i settori commerciale, amministrativo, produttivo che, assieme, compongono una struttura 4.0, all'avanguardia. Anche il sito ufficiale italiano, trigano.it, è offline da giorni.

Ad ora non ci sono molti dettagli sull'accaduto e neppure un comunicato dell'azienda, che si è trincerata dietro il più stretto riserbo: si sa solo che la produzione è ferma, che i tecnici sono già al lavoro per ripristinare i sistemi e riportare la situazione alla normalità. Ovviamente sono già in corso anche le indagini da parte delle forze dell'ordine ma, come si sa, in questi casi è estremamente difficile - se non del tutto impossibile - risalire ai responsabili.

Va anche detto che non sono trapelate informazioni riguardo alla tipologia di attacco subito, ma già gira voce dell'esistenza di una richiesta di riscatto da pagare in Bitcoin per tornare in possesso dei dati e ottenere di nuovo il controllo dei sistemi.

martedì 2 febbraio 2021
Il Ransomware Fonix arresta le operazioni e rilascia la master key: la criptazione è risolvibile!

Gli operatori del ransomware Fonix hanno cessato le operazioni e reso pubblica la master key tramite la quale le vittime di questa infezione potranno riportare in chiaro i propri file.

Fonix in breve
Questo ransomware, conosciuto anche come Xinof o FonixCrypter, ha iniziato le operazioni poco tempo fa, nel Giugno 2020 e da allora ha costantemente infettato macchine senza far registrare alcun periodo di stop alla diffusione. Questa operazione ransomware non è stata così attiva come altre simili e ben più famigerate (pensiamo a REvil o STOP), però ha mostrato un certo aumento dell'attività.

Pochi giorni fa, un profilo Twitter appartenente (stando alle sue proprie dichiarazioni) agli amministratori di Fonix ha annunciato lo shut down del ransomware, con questo messaggio:

"Sono uno degli amministratori del team Fonix. Conosci già il team Fonix, ma siamo giunti alla conclusione. Dovremmo usare le nostre abilità in modi positivi e per aiutare gli altri. Anche il sorgente del ransomware è stato completamente eliminato, ma alcuni membri del team non sono d'accordo alla chiusura del progetto, come l'amministratore del canale Telegram, che sta cercando di truffare le persone vendendo dati e sorgenti falsi.

In ogni modo, da main admin ho deciso di mettere da parte tutto il lavoro fatto in precedenza e decriptare i sistemi infetti gratuitamente. La chiave di decriptazione sarà disponibile pubblicamente. La dichiarazione conclusiva del team sarà pubblicata a breve.

Saluti, il Team Fonix."

Il messaggio parla chiaro: alcuni membri del gruppo non sono d'accordo con la decisione e quindi c'è da aspettarsi che decidano di approntare una nuova operazione ransomware oppure che preferiscano affiliarsi a programmi già esistenti.

La chiave funziona, il decryptor invece...
Dopo la pubblicazione del Tweet l'admin Fonix ha condiviso il link ad un archivio in formato .RAR chiamato "Fonix_decrypter.rar" e contenente sia il decyrptor che la master key per la decriptazione.

Il problema è che il decryptor non può essere utilizzato da una vittima per decriptare i propri file, perchè è uno strumento di amministrazione interno pensato per essere usato esclusivamente dal team: è probabilmente lo strumento che il team usava per decriptare alcuni file campione da rispedire alle vittime come prova dell'effettiva possibilità di riportare in chiaro i file criptati. E' questo, un passaggio molto comune, che le vittime eseguono prima di pagare il riscatto per avere certezza che i file possano tornare in chiaro.

Il problema è che un tool di questo tipo può decriptare pochi file e non un intero computer infetto.

La redazione di Bleeping Computer ha proceduto anche ad analisi più approfondita notando che, anche nel caso in cui un utente decidesse di tentare la decriptazione di un file per volta, il tool è comunque soggetto a bug e crash continui. In ogni caso c'è la conferma che la master key funziona per praticamente tutte le versioni del ransomware eccettuate le più recenti, sicuramente quelle con estensione:

.Fonix,
.FONIX,
.repter,
.XINOF.

Un decryptor approntato dall'esperto di ransomware Michael Gillespie sarà presto disponibile online, stabile e sicuro, così da garantire alle vittime di riportare in chiaro gratuitamente i propri file.