01+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 26 marzo 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 13-19 Marzo
La scorsa settimana il CERT-AgID ha riscontrato e sottoposto ad analisi 34 campagne dannose attive nello scenario italiano: 29 di queste sono state campagne mirate contro utenti europei, mentre 5 sono state generiche ma hanno rigurdato anche l'Italia. 338 gli indicatori di compromissione resi disponibili.

Le famiglie di malware individuate sono state 6, in dettaglio:

Ursnif si piazza di nuovo sul podio dei malware più diffusi e taglia un altro traguardo: ha superato il numero di campagne di diffusione di Emotet, ferme a 51 da quando, nel mese di Gennaio, è stata abbattuta la sua infrastruttura. Il CERT esplicitamente ha dichiarato che, rispetto ai dati in loro possesso, da oggi è Ursnif il malware più diffuso in Italia. Data la diffusione, riteniamo utile condividere un approfondito e dettagliato studio del CERT, che ha analizzato tutte le singole componenti del malware: a questo link è consultabile il progetto YAU - Yet Another Ursnif. Questa settimana è stato in diffusione con 4 diverse campagne mirate, due a tema Agenzia delle Entrate, una a tema Delivery e una a tema Resend: gli allegati usati sono stati un archivio .ZIP contenente documenti con macro dannosa;
AgentTesla e ASTesla sono stati in diffusione rispettivamente con due e una campagna, tutte e tre a tema Pagamenti: sono stati utilizzati come allegati file .ZIP, .ISO e .XLSX.
AveMaria torna a distanza di un mese con una nuova campagna di email di spam veicolata anche in Italia: tema della campagna Documenti, mentre gli allegati erano .RAR;
Dridex è stato diffuso con una campagna internazionale a tema Pagamenti circolata anche in Italia: le email contenevano allegati di tipo .XLSM;
IceID è stato in diffusione per la prima volta in Italia con una campagna a tema Documenti e allegati in formato .XLS.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della prima settimana 13-19 Marzo

I brand sfruttati nelle campagne di phishing analizzati sono stati 10, con una evidente crescita delle campagne a tema Banking finalizzate al furto degli estremi delle carte di credito. Si registra anche una discreta crescita delle campagne di phishing diffuse via SMS (smishing) e tramite instant messaging. Una certezza viene ribadita: IntesaSanPaolo e Poste Italiane si confermano i bran più sfruttati.

IntesaSanpaolo e Poste sono stati brand più sfruttati per il furto delle credenziali di accesso e dei numeri conto corrente dei rispettivi clienti. Entrambe le campagne sono state diffuse sia via email che via SMS;
Sella, MPS, ING, Nexi, Unicredit sono stati gli altri brand sfruttati dalle campagne a tema Banking;
Amazon, Netflix e Microsoft completano il quadro delle campagne monitorate dal CERT. Nel caso di Amazon, il brand è stato sfruttato in tre diverse campagne a tema Premi, due veicolate tramite Signal e una tramite Whatsapp. I messaggi contenevano un link che, dopo una serie di redirect, conduce ad una pagina che richiede l'inserimento di dati personali per ricevere il premio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, il più utilizzato è stato il formato archivio .ZIP, seguito dal formato Excel .xls contenente macro dannosa.
Fonte: https://cert-agid.gov.it/

00[1]

Acer colpita da ransomware: richiesti 50 milioni di dollari in riscatto. Usate le vulnerabilità di Windows Exchange?

lunedì 22 marzo 2021
Acer colpita da ransomware: richiesti 50 milioni di dollari in riscatto. Usate le vulnerabilità di Windows Exchange?

Il gigante della produzione di personal computer e desktop Acer è stata colpita da un attacco ransomware: gli attori del gruppo ransomware REvil sono riusciti a fare breccia nelle cyber difese aziendali e a richiedere il più alto riscatto mai richiesto nella storia dei ransomware, pari a 50 milioni di dollari. Acer è la famosa produttrice di computer e articoli di elettronica, con sede a Taiwan: ha circa 7.000 dipendenti e ha registrato profitti per 7.8 miliardi di dollari nel 2019.

Qualche giorno fa è stato il gruppo ransomware stesso a dare notizia dell'attacco, pubblicando sul proprio sito di leak alcune immagini come prova dell'accesso riuscito alla rete e annunciando pubblicamente la propria operazione ransomware. Nelle immagini pubblicate si vedono documenti che includono bilanci bancari, comunicazioni bancarie e fogli di calcolo finanziari.

Da parte di Acer non c'è ancora stata una comunicazione chiara sull'accaduto e l'azienda ha eluso anche le domande dei giornalisti di testate specializzate e di settore. Ad ora quindi l'unica voce esistente sull'evento è quella dei cyber attaccanti.

La più alta richiesta di riscatto della storia dei ransomware
Questa storia è destinata a fare scalpore non solo per l'alto profilo dell'azienda vittima ma anche per l'ammontare del riscatto richiesto dagli estorsori. Il ricercatore Valery Marchive di LegMagIT è riuscito a mettere le mani sulla nota di riscatto usata dagli attaccanti ed è qui che si legge l'ammontare: 214.151 Monero, ovvero 50 milioni di dollari USA che raddoppieranno se l'azienda non dovesse pagare entro il 28 Marzo. Ma i "generosi" attaccanti hanno offerto uno sconto del 20% nel caso in cui il riscatto venga pagato entro Mercoledì: in cambio il gruppo REvil promette un decryptor, un report delle vulnerabilità e la cancellazione dei file rubati.
Fonte: Valery Marchive

Lo stesso ricercatore ha avuto accesso al primo contatto tra un rappresentante di del gruppo REvil e uno di Acer: nella chat è evidente lo sgomento del rappresentante di Acer di fronte all'immane richiesta di riscatto. Poco dopo, il rappresentate di REvil ha condiviso nella chat di supporto il link alla pagina di leak di Acer, che attualmente risulta nascosta, probabilmente in seguito all'avvio delle trattative. La chat si conclude con un criptico avvertimento ad Acer: "non ripetete la sorte di SolarWind".

Sfruttate le vulnerabilità di Microsoft Exchange?
Giusto qualche giorno fa abbiamo parlato di ProxyLogon, l'insieme di 4 vulnerabilità di Microsoft Exchange Server che è stato sfruttato prima in un attacco state-sponsored contro aziende ed enti negli Stati Uniti, quindi in attacchi ransomware (di ieri la notizia che la lista dei ransomware che stanno sfruttando PorxyLogon si è allungata con il neoarrivato BlackKingdom). Il ricercatore di sicurezza Vitali Kremez ha fatto sapere che la piattaforma di cyber intelligence Andariel di Intel ha recentemente rilevato alcuni attacchi da parte del gruppo REvil contro un server Microsoft Exchange del dominio Acer. La foto sottostante, pubblicata da Kremez, mostra il feed nel quale è stato registrato l'attacco al server Acer. Probabilmente è stato proprio l'uso di ProxyLogon a garantire agli attaccanti l'accesso ai sistemi Acer.

Ricordiamo che Microsoft ha già patchato le vulnerabilità di ProxyLogon: rimandiamo alla pagina di Microsoft con le specifiche sulla problematica, raccomandando un celere update. La buona notizia è che Microsoft ha annunciato stamattina che Windows Defender applicherà automaticamente le patch per ProxyLogon: una scelta giusta, ma anche dovuta al ritardo cronico con cui gli utenti eseguono gli aggiornamenti critici.

00[1]

Il ransomware Ragnarock colpisce in Italia: qualche info tecnica

mercoledì 24 marzo 2021
Il ransomware Ragnarock colpisce in Italia: qualche info tecnica

Ragnarok è un ransomware il cui debutto sulle scene del cybercrime è piuttosto recente: specializzato in attacchi mirati contro le aziende, ha già mietuto alcune vittime anche in Italia.

Le analisi dei ricercatori di FireEye hanno fornito importanti informazioni su questa minaccia, che pare specializzata nell'attaccare i server Citrix ADC vulnerabili. In dettaglio gli attaccanti sfruttano la già nota vulnerabilità CVE-2019-19781 per accedere ai sistemi bersaglio e installare quindi Ragnarock. Quando l'attaccante riesce a compromettere un dispositivo Citrix ADC, vengono subito scaricati ed eseguiti una serie di script che ricercano nella rete computer Windows che presentano la vulnerabilità EternalBlue (anche questa patchata da tempo). Se tale vulnerabilità viene individuata e l'exploit ha successo, viene successivamente iniettata una DLL che scarica e installa il ransowmare.

La vulnerabilità CVE-2019-19781
Per quanto non sia possibile escludere altri vettori di attacco, la maggior parte delle infezioni del ransomware Ragnarock originano dall'exploit della vulnerabilità CVE-2019-19781 che è presente nelle applicazioni Citrix Application Delivery Controller (ADC) e Citrix Gateway e nell'appliance Citrix SD-WAN WANOP.

Da parte sua, Citrix è già corsa ai ripari rendendo disponibile la versione 10.5 dell'ADC, che contiene il fix permanente per questa vulnerabilità (link di riferimento per la problematica qui) .

Qualche dettaglio tecnico
Ragnarock presenta meccanismi di verifica del linguaggio in uso sul sistema infetto: gli operatori verificano l'ID linguaggio di Windows installato e, se questo combacia con uno di quelli sotto elencati, la routine di criptazione non verrà inviata.

419 = Russia
0423 = Bielorussia
0444 = Russia
0442 = Turkmenistan
0422 = Ucraina
0426 = Lituania
043f = Kazakistan
042c = Azerbaijan
0804 = Cina

Se il test della lingua ha successo, gli operatori proseguono nell'attacco cercando, per prima cosa, di disabilitare Windows Defender: questo programma di sicurezza è sempre più solido e sta creando non pochi grattacapi ai cyber attaccanti che, quindi, hanno risposto mettendolo sotto assedio. GootKit, TrickBot e altre infezioni si sono dotate di svariati meccanismi per riuscire a bypassare Windows Defender. Anche Ragnarock si aggiunge a questa lista, aggiungendo le seguenti policies group per disabilitare varie protezioni di Windows Defender:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender "DisableAntiSpyware" = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableRealtimeMonitoring" = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableBehaviorMonitoring" = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableOnAccessProtection" = 1

C'è però una buona notizia: gli utenti che hanno abilitato la funzione di Protezione Antimanomissione di Windows 10 sono al sicuro da queste modifiche perchè Windows, semplicemente, ignorerà ogni tentativo di bypassare Windows Defender.

Come tutti i ransomware Ragnarock tenterà anche di cancellare le Shadow Volume Copies, disabilitare il ripristino del sistema e disattivare il Firewall di Windows con i comandi

cmd.exe /c vssadmin delete shadows /all /quiet;
cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures;
cmd.exe /c bcdedit /set {current} recoveryenabled no;
cmd.exe /c netsh advfirewall set allprofiles state off

Anche Linux nel mirino?
I ricercatori hanno anche individuato una serie di strani riferimenti a percorsi file Unix/Linux nell'eseguibile per Windows del ransomware. Non è chiara la loro funzione, ma i ricercatori sospettano che siano indizi di "lavori in corso", ovvero che gli sviluppatori del ransomware stiano approntando un'arma cross-platform.

La routine di criptazione
La routine di criptazione di Ragnarock è del tutto simile a quella di molti altri ransomware e non presenta particolarità. Quando cripta i file usa la criptazione AES e la chiave generata sarà a sua volta criptata con una chiave di criptazione RSA correlata. In questo modo soltanto gli sviluppatori del ransomware hanno la facoltà di decriptare la chiave di criptazione della vittima.

Ogni file criptato vedrà l'aggiunta dell'estensione .ragnarock al nome del file
Fonte: Vitali Kremez

La nota di riscatto !!ReadMe_To_Decrypt_My_Files.txt. verrà copiata in ogni cartella contenente file criptati. Oltre alle indicazioni per le vittime, la nota contiene tre diversi indirizzi di contatto mail per ricevere le istruzioni di pagamento.

d2f3290abcfaa36f1fdeda9bd4461074_a1-2-640-c-901[1]

Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende

giovedì 11 marzo 2021
Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende

E' da tempo una presenza fissa nelle campagne email dannose attive nel cyber spazio italiano, nonchè uno dei malware più diffusi anche tramite il circuito "sicuro" della Posta Elettronica Certificata: parliamo di sLoad, uno dei downloader / dropper di malware più diffuso in Italia.

Viene diffuso a cadenza ormai settimanale con diverse tipologie di campagne email, molte delle quali via PEC, come dicevamo, e tutte con un elevato livello di personalizzazione, fatto che lo rende una cyber minaccia molto insidiosa.

Sviluppato per operare sui sistemi Windows e per colpire le aziende, viene diffuso tramite allegati email di vari formati, ha funzionalità di esfiltrazione di informazioni dai sistemi che infetta e funziona tramite comunicazione con server di comando e controllo che ricevono le informazioni rubate e inviano comandi ulteriori al malware. Le comunicazioni col server di comando e controllo sfruttano un servizio legittimo di Windows, ovvero BITS (Background Intelligent Transfer System), usato per inviare aggiornamenti del sistema operativo.

E' un downloader PowerShell che ruba informazioni mirate dai sistemi infetti (processi in esecuzione e presenza di client di posta elettronica come Outlook), ma può anche scattare screenshot dello schermo, analizzare la cache DNS cercando specifici domini. Le informazioni che vengono sottratte dal dispositivo infetto sono informazioni tecniche della macchina e il codice UUID (Universally Unique IDentifier). La funzione principale è comunque quello di eseguire il download di altri payload, soprattutto trojan e ransomware di varie famiglie.
La catena di infezione di sLoad. Fonte: Yoroi.company

Gli allegati più utilizzati per diffondere sLoad sono in formato .ZIP e contengono varie tipologie di script dannosi (formati .vbs, .vbe, .wsf, .wsc): più raramente sono usati file .doc, .PDF, eseguibili .exe e Javascript.

Per quanto spesso le soluzioni di sicurezza riescano ad individuare gli allegati dannosi o, nel caso di presenza di strumenti di identificazione comportamentale, a bloccare lo script dannoso, la migliore protezione resta la prevenzione. In questo articolo una breve guida agli allegati email più usati per infettare i sistemi Windows con utili consigli su come evitare di restare vittime di queste campagne

01[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 12 marzo 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della prima settimana di Marzo
La scorsa settimana il CERT-AgID ha individuato e analizzato, attive nello scenario italiano, 19 campagne dannose: 17 mirate contro obiettivi italiani, mentre 2 generiche veicolate anche in Italia. 547 gli indicatori di compromissione individuati e resi disponibili, sul sito ufficiale.

Otto sono state le famiglie malware individuate in diffusione, con Urnsif che si pone al primo posto col maggior numero di campagne di diffusione.

Urnsif è stato diffuso con tre diverse campagne mirate contro utenti italiani, a tema "Documenti", "Energia", "Aggiornamenti". Le email collegate alla campagna contenevano allegati compromessi del tipo .ZIP, .XLS e .Doc. Tutte e tre le campagne si sono prolungate nel tempo, mostrando anche cambiamenti di allegati per ridurre il rischio di individuazione;
AgentTesla e ASTesla sono stati diffusi rispettivamente con due campagne a tema pagamenti nel primo caso e con una campagna a tema "Conferma" nel secondo caso. Tutte e tre le campagne hanno visto l'uso di allegati in formato .ACE;
sLoad è stato di nuovo in diffusione con una campagna mirata contro le aziende e i liberi professionisti circolante nel circuito PEC: la campagna ha avuto breve durata nel corso del Lunedì. Qui l'apposita news pubblicata https://cert-agid.gov.it/news/campagna-sload-via-pec-con-solito-allegato-doppio-zip/ dal Cert;
Lokibot, Formbook, Qakbot e Dridex completano la panoramica delle famiglie malware in diffusione, ma sono circolati con campagne di scarso peso e ridotta diffusione.

Fonte: https://cert-agid.gov.it/

Per approfondire > Anatomia di sLoad, uno dei malware più diffusi in Italia contro le aziende
Le campagne di phishing della prima settimana di Marzo
Le campagne di phishing hanno sfruttato 5 diversi brand: stavolta però non è il settore bancario quello più sfruttato. Tra i brand più sfruttati troviamo Poste e Nexi, che scalzano dal vertice di questa triste classifica il brand Intesa San Paolo:

Poste è stato sfruttato in ben 3 campagne di phishing mirate alla sottrazione delle credenziali di accesso ai servizi di Poste Italiane e degli estremi delle carte di credito;
Nexi è stata sfruttata in due campagne a tema Banking. Le email simulavano comunicazioni ufficiali Nexi con richiesta di aggiornamento dati degli account utenti;
Intesa San Paolo per la prima volta è fuori dal podio, sfruttata in una sola campagna di phishing a tema Banking mirata contro utenti San Paolo;
Microsoft e TNT chiudono il quadro delle campagne di phishing. La campagna TNT, a tema Pagamenti, spingeva l'utente a compilare un form tramite il quale gli attaccanti hanno sottratto gli estremi della carta di credito. La campagna Microsoft invece è simile alle precedenti, con l'invito all'azione all'utente a causa della fantomatica sospensione dell'account (ovviamente falsa).

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si confermano molto usati i documenti Office, .xls, .doc, .xls. In uso però sono stati anche documenti .ace; .exe, .zip,.html e .iso
Fonte: https://cert-agid.gov.it/

01+28129[1]

NAS QNAP ancora sotto attacco: massiva distribuzione di criptominer, oltre 370.000 i NAS vulnerabili in Italia

lcapacità del cybercrime. martedì 9 marzo 2021
NAS QNAP ancora sotto attacco: massiva distribuzione di criptominer, oltre 370.000 i NAS vulnerabili in Italia

I dispositivi NAS QNAP non patchati sono di nuovo protagonisti una ondata di attacchi mirati: questa volta nessun ransomware, è invece in corso una massiva campagna che mirata alla diffusione di criptominer. D'altronde pare essere l'anno dei criptominer, i cui assetati sfruttatori stanno lasciando a bocca asciutta il mercato delle schede grafiche e perfino dei pc da gaming pur di ottenere nuova potenza di calcolo. E ora la fila delle vittime di questo business opaco e sempre più sconfinante nell'illegalità, si allunga coi NAS QNAP.

L'attuale ondata sfrutta due diverse vulnerabilità di esecuzione di comandi da remoto pre autenticazione: trattarsi di due vulnerabilità, la CVE-2020-2506 e la CVE-2020-2507, residenti nella patch dell'app QNAP HelpDesk diffusa nell'Ottobre 2020.

Il malware che viene diffuso attualmente, individuato dai ricercatori di 360 Netlab, è stato ribattezzato UnityMiner. Gli sviluppatori del criptominer hanno personalizzato il malware nascondendo sia il processo di mining sia le informazioni sull'uso reale della CPU: di conseguenza gli utenti che utilizzano il sistema di interfaccia di gestione WEB per verificare l'uso del sistema, non possono vedere alcun comportamento anomalo.

Sono vulnerabili a questo tipo di attacco tutti i NAS QNAP i cui firmware sono stati rilasciati prima dell'Agosto 2020.

Stando ai dati telemetrici di 360 NetLab questa campagna ha avuto il via il 3 Marzo, o almeno questa è la data in cui sono state individuate le prime violazioni. Ma i numeri sono già estremamente preoccupanti: i ricercatori hanno eseguito una mappatura dei NAS QNAP vulnerabili che risultano online, individuandone 4.297.426. Di questi, circa 370.000 si trovano in Italia, stato europeo col maggior numero di dispositivi esposti

Fonte: 360 Netlab

QNAP, da parte sua, anche se non ha pubblicato un alert specifico per avvisare i propri clienti degli attacchi attualmente in corso, ha comunque già invitato gli utenti, lo scorso mese, ad aggiornare le app Update Surveillance Station e Helpdesk per risolvere le vulnerabilità di sicurezza sulle quali si basa la campagna di attacco.

Non solo: già nel mese di Gennaio era stato diffuso da parte di QNAP un primo avviso rispetto a una serie di attacchi mirati a sfruttare i NAS QNAP per il mining di criptovaluta. Tale alert seguiva un articolo pubblicato a Novembre col quale QNAP illustrava il rischio di compromissione dei NAS con un miner malware per Bitcoin.

I NAS QNAP sotto assedio
Insomma, ormai da tempo, i NAS QNAP subiscono quello che non è esagerato definire un vero e proprio assedio: tra settembre e ottobre 2019 protagonisti furono il malware QSnatch e il ransomware Mushtik. Nell'Agosto del 2019 è stata la volta del ransomware QNAPCrypt che colpì duramente i NAS QNAP con password deboli e firmware QTS obsoleto.

Più recentemente, siamo nel Settembre 2020, fu QNAP stessa ad informare i clienti di ondate di attacchi che distribuivano il ransomware AgeLocker sui dispositivi esposti pubblicamente.

01+28129[1]

L'agenzia di Sicurezza Nazionale U.S.A e Microsoft propongono l'approccio Zero Trust per la cybersecurity

lunedì 1 marzo 2021
L'agenzia di Sicurezza Nazionale U.S.A e Microsoft propongono l'approccio Zero Trust per la cybersecurity

L'NSA statunitense e Microsoft sostengono il modello di sicurezza Zero Trust come il modo più efficiente per le aziende di difendersi dalle cyber minacce sempre più complesse di oggi. Il concetto non è nuovo e ruota attorno al presupposto che un intruso potrebbe già essere presente nella tua rete: ne consegue che i dispositivi e le connessioni non dovrebbero essere mai considerati attendibili in modo implicito e, di conseguenza, è necessario verificarne sempre la sicurezza e l'autenticità.

Questo modello deve i natali a a John Kindervag che ha coniato il termine Zero Trust nel 2010: in realtà si inizia a parlare di modello Zero Trust, anche se con altro nome, già negli anni 2000, ma il salto avviene nel 2009 quando Google ha implementato internamente il modello di sicurezza Zero Trust. Poi il dibattito è, ovviamente, ritornato molto vivo sulla scia del ormai famoso e infausto attacco alla supply-chain di SolarWinds, in conseguenza del quale si è riaccesa la discussione sui benefici di una architettura di sicurezza Zero Trust per reti sensibili.

Il Presidente di Microsoft Brad Smith ha sostenuto il modello Zero Trust addirittura nel corso dell'udienza che ha sostenuto presso il Senato degli Stati Uniti in relazione all'attacco SolarWind, ribadendo come tale concetto rappresenti il miglior approccio possibile per una organizzazione o per un ente al fine di garantire la sicurezza delle proprie reti.

"Le migliori e più basilari pratiche di sicurezza e igiene informatica non erano purtroppo utilizzate con la regolarità e disciplina che ci aspetteremmo da clienti di alto profilo come le agenzie di sicurezza. Nella maggior parte dei casi non erano presenti né l'autenticazione a più fattori né la modulazione dei privilegi di accesso secondo necessità né altri meccanismi che sono requisiti fondamentali per costruire un ambiente Zero Trust. Eppure la nostra esperienza e i nostri dati suggeriscono senza dubbio che se tali misure fossero state in atto, gli aggressori avrebbero avuto soltanto un limitato impatto rispetto alla compromissione di dati preziosi, anche dopo aver ottenuto l'accesso agli ambienti di lavoro dell'agenzia" ha dichiarato Smith.

Insomma, pare proprio che l'attacco SolarWind abbia scosso le acque in profondità e adesso sia Microsoft che l'NSA raccomandano il modello di sicurezza Zero Trust per reti critiche (sistemi di sicurezza nazionale, dipartimento della difesa ecc...) e grandi imprese.

Zero Trust è un progetto a lungo termine
I principi guida di questo modello sono la costante verifica dell'autenticazione e autorizzazione degli utenti, l'accesso con privilegi minimi e l'accesso segmentato secondo rete, utente, dispositivo e app.
Clicca sull'immagine per ingrandirla. Fonte: Microsoft.com

Il diagramma sopra mostra la sicurezza Zero Trust secondo Microsoft, che vede al centro la verifica in tempo reale dell'applicazione delle policy di sicurezza. Nel modello, l'accesso a dati, app, infrastruttura e reti è concesso solo dopo aver verificato e autenticato l'identità e riscontrata la sicurezza dei dispositivi. Comprendere e verificare come gli utenti, i processi, i dispositivi si relazionano coi dati è lo scopo fondamentale di Zero Trust, ha dichiarato anche l'NSA.

Ecco che si rendono necessarie più unità di osservazione che garantiscano la possibilità di fare un accurato quadro delle attività sulla rete, valutarne la legittimità e quindi prevenire eventuali movimenti laterali che un cyber attaccante potrebbe tentare per diffondersi lungo la rete target. Tali verifiche sono possibili grazie a combinazioni dei dati dell'utente e dei dispositivi con una serie di informazioni rilevanti dal punto di vista della sicurezza, quali ad esempio l'orario, la posizione, il comportamento mostrato... Tramite questi dati si può impostare un sistema sicuro capace di consentire o negare l'accesso a specifiche risorse a determinati utenti. La decisione viene quindi registrata in modo tale da poter essere riutilizzata anche in future analisi di attività sospette. L'intero processo di verifica va applicato ad ogni singola richiesta di accesso ad una risorsa aziendale, se si vuole che il modello sia coerente al suo interno e capace quindi, di garantire sicurezza.

"Zero Trust è un modello che implementa un monitoraggio completo della sicurezza: dai controlli di accesso granulari basati sul rischio all'automazione del sistema di sicurezza in maniera coordinata attraverso tutti gli aspetti dell'infrastruttura: tutto si concentra sulla protezione delle risorse critiche (i dati) in tempo reale entro un ambiente di rischio dinamico", prosegue il documento dell'NSA.

Già da queste brevi righe introduttive si capisce come costruire un ambiente Zero Trust sia una attività di lungo periodo. La buona notizia è che tale transizione può essere incrementale e riduce in ogni caso il rischio ad ogni nuovo passo, garantendo una vera e propria impennata della visibilità sulla rete e una migliorata capacità di risposta automatica nel tempo.
Fonte: National Security Agency

ZeroTrust: i benefici per la rete
L'NSA, nel suo documento ha fornito tre diversi esempi, basati su incidenti di cyber sicurezza realmente accaduti, dei vantaggi che un approccio Zero Trust può portare alla sicurezza degli asset aziendali: esempi che mostrano come l'attacco avrebbe potuto essere respinto se fosse stato attivo un modello Zero Trust.

Nel primo esempio, l'attaccante ha avuto accesso alla rete bersaglio da un dispositivo non autorizzato usando credenziali legittime rubate ad un dipendente con un livello di autenticazione sufficiente in un ambiente di sicurezza tradizionale. Nel secondo esempio la minaccia è interna oppure derivante da un attore che ha compromesso il dispositivo di un utente tramite exploit inviato tramite connessione dati mobile. In questo caso, nell'ambiente tradizionale, l'attore può enumerare i dispositivi in rete, aumentare i privilegi concessi e spostarsi lateralmente lungo la rete per trovare altri sistemi da attaccare o per ottenere la persistenza.

Nel terzo esempio l'NSA disegna un tipico attacco alla supply-chain nella quale l'attore aggiunge codice dannoso ad un "popolare dispositivo o applicazione di rete aziendale" che l'azienda mantiene e aggiorna regolarmente seguendo le best practices di cyber security. In un ambiente Zero Trust il dispositivo o l'app compromessa non sarebbero in grado di comunicare con l'attaccante perchè questo non sarebbe considerato attendibile per impostazione predefinita.

"I suoi privilegi di accesso ai dati sarebbero strettamente controllati, ridotti al minimo e monitorati; la segmentazione sarebbe rafforzata dalle policy; l'analisi verrebbe utilizzata per monitorare le attività anomale. Inoltre, anche nel caso in cui il dispositivo possa scaricare aggiornamenti per applicazioni firmate (dannose o meno), le connessioni di rete consentite ad un dispositivo in un modello Zero Day vedrebbero applicate policy di sicurezza basate sulla negazione degli accessi per impostazione predefinita: qualsiasi tentativo di connettersi ad indirizzi remoti per dialogare con un eventuale server C&C verrebbero molto probabilmente bloccati" conclude l'NSA.
Fonte: National Security Agency

Certo, i problemi sono molti, primo tra tutti la resistenza interna alle organizzazioni rispetto a cambiamenti di questo tipo, derivanti dalla riprogettazione completa del modello esistente verso quello Zero Trust. Utenti, amministratori, il management stesso dovrebbero, per prima cosa, adottare la stessa mentalità perchè lo Zero Trust possa funzionare. Si prospetta l'ennesimo, lungo, periodo di transizione per la cybersecurity: un cambiamento totale di modello e di approccio, ma che si rende ormai inevitabile data la sempre crescente complessità e capacità del cybercrime.

01[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 26/02

venerdì 5 marzo 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 26/02
La scorsa settimana il CERT-AgID ha individuato e analizzato circa 30 campagne dannose attive in Italia: 2 di queste erano generiche ma veicolate anche nello spazio italiano, 28 invece miravano ad obiettivi italiani. Ben 305 sono stati gli indicatori di compromissione individuati (IoC).

I malware individuati in diffusione appartengono a 9 diverse famiglie malware. Ecco la panoramica:

AgentTesla è stato il malware più diffuso, veicolato in 3 diverse campagne, due a tema Pagamenti e uno a tema Delivery. Gli allegati utilizzati per veicolare il malware sono stati di tipo .ACE, archivio .ZIP e file docuemnto .RTF;
ASTesla è stato diffuso con una campagna a tema pagamenti e allegato di tipo .ACE;
NanoCore è stato veicolato con una campagna generica che ha coinvolto anche l'Italia. La campagna email è stata a tema Pagamenti con allegato .ISO;
TrickBot è stato veicolato con campagna generica, tema Delivery. L'allegato utilizzato era un file .xls contenente la macro dannosa;
Qakbot invece è stato diffuso con una campagna mirata contro utenti italiani a tema "Documenti": l'allegato utilizzato era il formato archivio .ZIP;
Urnsif invece è stato diffuso con una campagna mirata contro utenti italiani a tema Conferma. L'allegato utilizzato era in formato .XLS. La campagna è durata un solo giorno, con costanti cambiamenti sia dell'allegato che del server di comando e controllo;
Lokibot è stato in diffusione con una campagna a tema Università che ha sfruttato i loghi dell'Università La Sapienza di Roma. L'allegato utilizzato per la diffusione del malware era un archivio .ZIP;
FormBook, con una campagna mirata contro utenti italiani a tema Pagamenti, ha visto l'uso di allegati .IMG;
Remcos è stato diffuso con una campagna mirata contro l'Italia a tema Pagamenti e con allegato un archivio .RAR.

Nanocore in breve...
NanoCore è stato individuato per la prima volta nel 2013, in vendita nei forum di hacking del dark web. E' un trojan di accesso remoto (RAT), ma ha anche una varietà di funzionalità: funziona come keylogger e password stealer e invia ai propri operatori password e dati utili che riesce a esfiltrare dal sistema infetto. Può anche scaricare altri file dannosi, bloccare lo schermo, rubare file ecc..

Le campagne di phishing della settimana 26/02
I brand coinvolti nelle campagne di phishing analizzate sono stati 13: di nuovo il settore più colpito è quello bancario, IntesaSanPaolo, Poste e Unicredit i brand più sfruttati:

IntesaSanPaolo è stata sfruttata con 4 campagne mirate a tema Banking e si conferma il brand più utilizzato dagli attaccanti;
Poste, Unicredit, BPM, MPS, BPER e UbiBanca chiudono la panoramica dei brand sfruttate in campagne di phishing a tema Banking;
Enel è stato sfruttato con una campagna a tema Energia, annunciando all'utente vittima un falso rimborso di 133.32 euro per ricevere il quale era necessario inserire le credenziali delle carte di credito, ovviamente sottratte immediatamente dagli attaccanti;
INPS invece è stato un sfruttato in una campagna di phishing finalizzata al furto di dati anagrafici e estremi delle carte di credito tramite un dominio registrato in Russia;
Microsoft, Outlook, Amazon e Tim chiudono il quadro delle campagne. Questi brand sono stati sfruttati in campagne contenenti false comunicazioni afferenti ai vari brand finalizzate al furto delle credenziali di accesso ai servizi relativi. Alcune di queste campagne sono state diffuse anche via SMS

Tipologia di file di attacco
Per quanto riguarda i formati degli allegati vettore, si conferma il boom di utilizzo del formato archivio .ZIP, seguito dal formato .ACE. Torna, dopo molto tempo, l'uso del formato documento Rich Text Format RTF.
Pubblicato da s-mart Informa a 12:05 Invia tramite emailPostalo sul blogCondividi su TwitterCondividi su FacebookCondividi su Pinterest

01[1]

Strumenti legittimi usati a fini di cybercrime: BitLocker di Windows usato come ransomware

mercoledì 3 marzo 2021
Strumenti legittimi usati a fini di cybercrime: BitLocker di Windows usato come ransomware

Partiamo da un punto: non è una novità e anzi, i primi utilizzi illegittimi di BitLocker risalgono al 2015. Non è una novità neppure l'uso di tool e strumenti legittimi a fini illegittimi: l'esempio più facile ce lo fornisce la parabola dei miner di criptovalute che hanno debuttato come strumento legittimo per poi venire vietati dalla maggior parte degli app Store e bloccati dai browser più popolari a causa del dilagante impiego a finalità illegali.

Torniamo sul punto perché, ma neppure questa è una novità, una minaccia già conosciuta da anni torna a colpire in Italia e, viste le richieste di supporto ricevute in questi giorni (che sia in atto una campagna mirata contro utenti italiani?), è utile rinfrescare la memoria.

BitLocker: cosa è, a cosa serve
Partiamo dall'origine: BitLocker è la soluzione di criptazione che Microsoft ha integrato in Windows come forma estrema di protezione dei dati da accessi illegittimi. BitLocker consente infatti di criptare singole partizioni, volumi interi o unità: se all'avvio del sistema operativo o all'accesso al drive criptato l'utente non fornisce la password di criptazione, i file non saranno visibili.

NB: parliamo di BitLocker, ma le stesse tematiche affliggono tutti i tool simili. Uno molto popolare, in questo caso opensource, ma che ha le stesse funzionalità, è DiskCryptor.

BitLocker usato a "mò di ransomware"
La logica è chiara: se la criptazione viene effettuata illegittimamente da un soggetto terzo che ha avuto accesso al dispositivo o alla rete, l'utente non avrà a disposizione la password. Su questo presupposto un attaccante può basare l'estorsione, secondo la più classica delle modalità: se vuoi tornare in possesso dei tuoi file (ovvero ricevere la password e/o la chiave di criptazione privata) paga un riscatto, altrimenti cancelleremo i tuoi file.

Un server bloccato dall'uso illegittimo di BitLocker

Questo, in forma breve, il contenuto della nota di riscatto che comunemente viene rilasciata da chi utilizza BitLocker come un ransomware. Nella foto sotto è possibile vedere tale richiesta, presentata qualche giorno fa ad un nostro assistito, in lingua italiana:

Insomma, siamo di fronte ad un'infezione ransomware in piena regola senza però l'utilizzo di alcun ransomware, fatto che porta un grande vantaggio all'attaccante: essendo BitLocker uno strumento legittimo, è molto probabile che ne gli strumenti anti malware e anti ransomware di Windows e di altre soluzioni di sicurezza saranno in grado di individuare e bloccare la minaccia. Le soluzioni di sicurezza infatti non ravviseranno alcun segnale di attacco, quindi non interverranno ne a sospendere l'attività di BitLocker ne ad allertare l'utente. Basterà eseguire codice dannoso, magari sfruttando vulnerabilità presenti in altri software, per usare l'utilità di sistema manage-bde di BitLocker da riga di comando per cifrare i dati degli utenti.

Bersaglio prediletto di questo tipo di attacchi sembrano essere i server Windows, acceduti illegittimamente via RDP.

Ospedale belga subisce la criptazione con BitLocker
Recentemente ha avuto un certo risalto l'attacco ransomware subito verso la fine di Gennaio dalla struttura ospedaliera bela CHwapi: 40 i server criptati, 100 TB di dati criptati usando solo BitLocker di Windows. Un danno di proporzioni tali da aver paralizzato l'infrastruttura IT dell'ospedale e costretto temporaneamente la direzione a spostare i pazienti verso altri ospedali e cancellare le operazioni chirurgiche fissate.

In ogni cartella criptata è stata lasciata una nota di riscatto, nella quale la direzione ospedaliera viene invitata a contattare via Bitmessage gli attaccanti per decriptare i file.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy