01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 5 febbraio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 29/01
Questa settimana il CERT-AgiD ha individuato e sottoposto ad analisi 29 campagne dannose: 1 sola di queste era generica e veicolata anche in Italia, mentre le altre 28 sono state mirate contro obiettivi italiani. 155 gli indicatori di compromissione (IoC) individuati. Le famiglie di malware individuate in diffusione sono state 5 e non si registrano novità

Urnsif è in diffusione con due diverse campagne che veicolano allegati in formato archivio .ZIP contenenti il classico documento Office con macro dannosa;
Emotet è stato rilevato in diffusione con una sola campagna, per una evenienza lieta: il takedown dell’intera infrastruttura di Emotet ad opera di una task force di forze dell’ordine, Europol e EuroJust;
AgentTesla, Formbook e Avemaria completano il quadro delle famiglie malware. Le campagne che veicolano Formbook e Avemaria erano in lingua italiana, quindi mirate, mentre quelle di diffusione di AgenTesla era in lingua inglese ma diffusa anche in Italia.

L’unica particolarità della settimana è la diffusione del malware Oscorp, che il CERT-AgID non ha inserito tra le campagne perchè non è stato diffuso tramite campagne, ma tramite un dominio che veicolava un apk dannoso. Qui l’approfondimento del Cert-AgID.

Oscorp in breve
E’ un malware per Android che, come molti altri malware simili, cerca di convincere l’utente ad installare servizi di accessibilità tramite i quali spiare azioni e digitazioni dell’utente. E’ specializzato nel furto di credenziali tramite pagine di phishing mostrate all’utente, ma può anche bloccare lo schermo del dispositivo e catturare audio e video. Grazie al servizio di accessibilità ha anche altre funzioni come quella di keylogger, può disinstallare app e e effettuare chiamate, inviare SMS e perfino rubare cripto valute.
Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 29/01
11 sono stati i brand coinvolti nelle campagne di phishing: nessuna novità da questo punto di vista, il settore bancario resta quello più colpito, Intesa San Paolo e Poste Italiane i brand più sfruttati. Ecco qualche dettaglio:

Intesa San Paolo: il brand è stato sfruttato in ben 6 diverse campagne, tutte a tema Banking;
Poste Italiane: conquista il secondo posto nella classifica dei brand più sfruttati con 5 diverse campagne ad hoc finalizzata al furto di credenziali di accesso e degli estremi delle carte di credito;
ING, Unicredit, MPS chiudono il quadro delle campagne a tema banking;
Enel, TIM, Office365, Lidl e Register sono altri brand sfruttati nel corso della settimana, pur in maniera sporadica. Bersaglio di queste campagne sono state le credenziali delle vittime.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda le tipologie file più usate per veicolare malware, i più usati si registra una vera e propria impennata nell’uso del formato archivio .ZIP (al primo posto). A seguire i formati archivio .RAR e .7Z, poi .apk e .doc con la macro.
Pubblicato da s-mart Informa a 11:55 Invia tramite emailPostalo sul blogCondividi su TwitterCondividi su FacebookCondividi su Pinterest
Etichette: Android, CERT, cybersecurity, furtodati, Italia, malware, phishing, sicurezza web, spyware, Trojan

01+28129[1]

Attacchi ransomware in crescita: tornano anche quelli che distruggono i dati. Ma si riduce l’entità dei riscatti

giovedì 4 febbraio 2021
Attacchi ransomware in crescita: tornano anche quelli che distruggono i dati. Ma si riduce l’entità dei riscatti

Nonostante lo scenario fosco, vogliamo aprire con una buona notizia: si registrano sempre più persone / soggetti che decidono di resistere agli estorsori e rifiutare il pagamento del riscatto una volta subita l’infezione ransomware, talvolta grazie alla presenza del backup talvolta per mero coraggio, anche e nonostante le minacce dei cyber attaccanti di pubblicare i dati rubati prima della criptazione dei dati. Il numero di vittime coraggiose è stato così importante da aver fatto registrare, nell’ultimo trimestre del 2020, un calo significativo della media dei pagamenti di riscatto rispetto al trimestre precedente.

Ma si sta presentando un fenomeno ancora più insidioso e pericoloso, ovvero quello di procedere alla distruzione dei file durante l’attacco, senza lasciare alle aziende alcuna possibilità di recuperarli anche pagando il riscatto.

Attacchi ransomware “data wiping”
L’ultimo trimestre del 2020, stando ai dati di Coveware (un’azienda che si occupa di sicurezza informatica e offre anche servizi di vera e propria contrattazione coi gruppi ransomware in corso di estorsione), ha mostrato un chiaro e costante aumento di segnalazioni su interi cluster di server e dati condivisi spazzati via, letteralmente, da attacchi ransomware.

Ora, come si sa, solitamente i ransomware mirano target specifici, soprattutto sistemi di backup, e tentano la criptazione su macchine di alto valore. In questi casi però gli attaccanti hanno lasciato dietro di sé terra bruciata, cancellando tutto: senza nulla da recuperare le vittime che hanno subito un data wiping di questo tipo hanno dovuto ricostruire da zero i propri sistemi. Certo, questo sistema deve necessariamente basarsi, per gli attaccanti, sull’esistenza di copie dei file disponibili in forma criptata, altrimenti le vittime non avrebbero alcune motivo per richiedere il tool di decriptazione pagando il riscatto. Va comunque detto che non tutte le cancellazioni di dati sono state volute: molti sono anche gli eventi ransomware che portano ad una accidentale distruzione dei dati, conseguente poi per alcune vittime in un prolungato stop delle attività.

Questi incidenti sono sicuramente conseguenza di attori meno qualificati ed inesperti che stanno piano piano invadendo la scena ransomware producendo malware disfunzionanti: il rischio, dicono da Coveware, è che questa tendenza si faccia sempre più importante nel corso di questo 2021. Tali attacchi infatti potrebbero essere conseguenza di operazioni ransomware con RaaS (ransomware as a service), dove non esiste alcuno standard o verifica rispetto a coloro che si affiliano ad un servizio ransomware, oppure ancora da singoli attori che operano in solitaria o con un piccolissimo gruppo di supporto.

Le richieste di riscatto si sono ridotte
Dopo l’impennata dell’ammontare del riscatto medio richiesto, in conseguenza della tendenza alla “doppia / tripla estorsione” introdotta dal gruppo ransomware Maze, si registra una riduzione forse inaspettata dell’ammontare dei riscatti richiesti. Per due interi anni svariati gruppi ransomware hanno deciso di aprire siti di leak dove pubblicare i dati rubati, a piccole dosi, chiedendo più riscatti (per non vedere pubblicati i dati rubati, per tornare in possesso dei file criptati ecc…) a seguito dello stesso attacco e sono state migliaia le vittime, di entità più o meno grande, che hanno ceduto e pagato il riscatto sulla mera parola degli aggressori non di pubblicare nulla.

Fonte: Coveware

Sembra però che il potere ricattatorio di questa tipologia di estorsione si sia ridotto, dato che la richiesta media di riscatto è diminuita del 34% nel 4° trimestre del 2020:233.817 dollari USA nel 3° trimestre contro i 154.108 dell’ultimo trimestre. Per Coveware la drastica riduzione è da imputarsi all’aumentare del numero di vittime che hanno detto basta e hanno scelto di non pagare. Tutto questo va comunque visto alla luce dell’aumentare del numero di attacchi ransomware accompagnati da minaccia di leak dei dati: un aumento dal 50% al 70%. CoveWare fa anche sapere che le aziende fanno bene a non fidarsi della parola data dagli attaccanti: la tendenza che hanno riscontrato rispetto ai propri clienti è che praticamente mai i dati rubati vengono eliminati. Non solo: alcuni gruppi ransomware mentono spudoratamente riguardo alla riuscita esfiltrazione dei dati prima dell’avvio della routine di criptazione. Sono ormai molti i casi in cui si scopre che le “prove” di furto dati sono contraffatte e volte solo all’aggiungere ulteriore pressione ricattatoria sulla vittima e forzare il pagamento.

Insomma, non pagare un estorsione ransomware ha, come si può chiaramente vedere, un effetto benefico e vantaggioso per tutti: come abbiamo sempre ribadito, la sicurezza informatica deve vedere i singoli soggetti in prima linea, ma è un “prodotto” collettivo.

Qualche altro dato utile:
I dati rivelano anche che operazioni RaaS come Sodinokibi, Egregor, Ryuk dominano il mercato riuscendo a colpire vittime selezionate e “di peso” soprattutto con banali attacchi di pishing o violando le connessioni RDP compromesse.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy