venerdì 23 aprile 2021
Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

Non c'è pace per i NAS Qnap: sono in corso proprio in questi giorni ben due ondate di attacchi ransomware contro questi dispositivi. Ondate contemporanee che stanno facendo registrare migliaia di vittime, che da un giorno all'altro si trovano impossibilitati ad accedere ai file salvati sui loro storage.

Da una parte c'è una vecchia conoscenza, ovvero l'ultima versione (che ricordiamo non è purtroppo risolvibile senza pagare il riscatto) di QNAPCrypt: nulla di nuovo da segnalare, se non che sono evidentemente ancora moltissimi i NAS QNAP i cui proprietari non hanno adottato né le mitigazioni già da tempo consigliate da QNAP né le patch di sicurezza.

La novità però è il nuovo ransomware Qlocker, che viene diffuso con una campagna così massiva da aver messo in immediato allarme l'intera comunità di cybersecurity. Lawarence Abrams, della redazione di Bleeping Computer, ha condiviso i dati degli utenti che hanno segnalato questa infezione al servizio ID-ransomware solo il 21 Aprile si sono registrate 353 vittime: numero di segnalazioni che è andato di pari passo, fa sapere Abrams, al picco di attività nel forum di supporto di Bleeping dove, da due giorni, la fila degli utenti che richiede aiuto per tornare in possesso dei propri file aumenta continuamente (e non possiamo non registrare negativamente il numero di utenti che dichiara di non aver approntato alcun meccanismo di backup o di averlo implementato in locale proprio sul NAS).

Fonte: IDransomware

Qlocker ha avviato la campagna di diffusione il 19 di Aprile e sta a tutt'ora continuando a mietere vittime, anche se ancora non è chiaro come riesca ad accedere ai NAS QNAP: quel che è sicuro è come funziona, ad ora. Le vittime semplicemente trovano tutti i file presenti sul proprio dispositivo QNAP spostati in un archivio 7-zip protetto da password. Mentre i file vengono chiusi, il QNAP Resource Monitor mostra numerosissimi processi 7z attivi

Fonte: BleepingComputer

Una volta che Qlocker ha finito questo processo, i file presenti sul Qnap vengono chiusi in un archivio 7zip con estensione .7z. Per estrarre i file le vittime dovranno inserire una password che è, ovviamente, conosciuta soltanto dagli attaccanti.

Fonte: BleepingComputer
La nota di riscatto si chiama !!!READ_ME.txt e contiene, oltre a una serie di istruzioni, la chiave unica che la vittima deve inserire per poter accedere al sito di pagamento del ransomware su Tor.

Il riscatto per ricevere la password con la quale accedere all'archivio ammonta per tutte le vittime a 0.01 Bitcoin, che sono circa 557 dollari. Una volta pagato, le vittim visualizzeranno la password, come si vede nella foto sotto (You decrypt password is....)

Fonte: BleepingComputer

Bug trovato, bug corretto
Nella notte tra il 21 e il 22 Aprile si è aperto uno spiraglio di speranza per gli utenti. Il ricercatore Jack Cable ha scoperto un bug sul sito Tor di Qlocker che consentiva agli utenti di recuperare la propria password gratuitamente. Bastava infatti disporre dell'ID della transazione Bitcoin di una persona che aveva già pagato e modificarlo leggermente: il sito Tor di Qlocker accettava questi ID modificati, confermando un pagamento inesistente e visualizzando la password 7zip della vittima. Qualche centinaio di utenti è riuscito così a liberare i propri file.

Peccato che gli attaccanti si sono accorti del problema e già poche ore dopo hanno corretto il bug.

Mitigazioni e patch
QNAP sta cercando da tempo di correre ai ripari viste le frequenti ondate di attacchi: QnapCrypt, QSnatch, Unityminer, AgeLocker ecc...

Anzitutto, il 16 Aprile ha patchato due vulnerabilità, sfruttate in attacchi reali:

CVE-2020-2509: Command Injection Vulnerability in QTS and QuTS hero
CVE-2020-36195: SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On
Il sospetto è che Qlocker sfrutti la vulnerabilità CVE-2020-3619 per eseguire il ransonmware sui dispositivi vulnerabili, che non presentano appunto le patch.

Questo è il motivo per il quale è FORTEMENTE CONSIGLIATO aggiornare prima possibile QTS, Multimedia Console e media Streaming alle ultime e più recenti versioni, che contengono le correzioni necessarie.

Nell'alert di sicurezza che QNAP ha pubblicato su Qlocker si dice che:
"QNAP raccomanda fortemente a tutti gli utenti l'installazione immediata della versione più recente di Malware Remover e eseguire immediatamente una scansione malware sui NAS QNAP: Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync necessitano di aggiornamento immediato all'ultima versione disponibile per aggiungere ulteriori protezioni contro gli attacchi ransomware. QNAP sta lavorando ad una soluzione per rimuovere questo malwate dai dispositivi infetti" .

In caso di attacco, proseguono, cioè se i file sono già stati criptati è fondamentale non riavvviare il dispositivo e eseguire, invece, immediatamene lo scanner malware, quindi contattare il Supporto Tecnico QNAP su https://service.qnap.com/. Sottolineamo che lo scanner malware e gli aggiornamenti di sicurezza non aiuteranno a recuperare i file, ma proteggeranno i dispositivi NAS da attacchi futuri. Queste mitigazioni infatti proteggono anche da attacchi di altri ransomware come QnapCrypt.

Una possibile soluzione?
E' in corso di verifica una soluzione proposta da alcuni ricercatori di sicurezza indipendenti. La soluzione è illustrata in questo video, ma non possiamo garantire l'effettiva efficacia per tutti gli utenti, dato che alcuni stanno lamentando l'impossibilità a rintracciare il file 7z.log

NB: riportiamo questa possibilità di risoluzione per mera completezza di informazione, non potendo garantire il risultato finale. Aggiorneremo immediatamente questa news in caso vengano individuate soluzioni di sicura efficacia.

venerdì 23 aprile 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 10 - 16 Aprile
La scorsa settimana il CERT-AGID ha individuato e analizzato 28 campagne dannose, delle quali 1 sola è risultata generica, mentre tutte le altre erano mirate specificatamente contro obiettivi italiani. 490 gli indicatori di compromissione messi a disposizione.

7 sono state le famiglie di malware in diffusione, per un totale di 8 campagne di diffusione.
In dettaglio:

Flubot si colloca al primo posto tra i malware più diffusi, spinto in Italia via SMS con una campagna a tema Delivery che ha sfruttato il brand DHL. Il CERT-AGID ha pubblicato una specifica analisi su questo malware, consultabile qui. E' già stata però individuata in diffusione la nuova versione, la 4.0: ne abbiamo parlato qui;
Snake: scomparso dai radar da moltissimo tempo, Snake è un trojan keylogger storico, tra i primi malware di questa tipologia che ha visto una diffusione di massa. E' stato diffuso nel corso dell'unica campagna internazionale analizzata dal CERT, a tema Ordin;
Formbook conferma la propria predilezione per l'Italia con l'ennesima campagna (a tema Pagamenti) contro utenti italiani. L'unica novità è che dopo un primo utilizzo, nelle scorse settimane, di allegati dannosi in formato HTML e JS, Formbook è tornato sui propri passi rispolverando gli allegati in formato ACE;
Trickbot è tornato dopo un lungo silenzio, iniziato il 25 Febbraio di quest'anno. E' stato diffuso con una campagna a tema Pagamenti contenente un link ad un allegato archivio .ZIP contenente a sua volta un file XLSB dannoso;
Qakbot torna dopo 1 mese esatto in diffusione in Italia. Nessuna novità: la campagna è stata a tema Documenti, i formati usati sono stati un archivio .ZIP contenente un file .XLSM;
AgentTesla e ASTesla chiudono il quadro, con due campagne a tema Pagamenti e Conferma.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 10 - 16 Aprile
I brand coinvolti nelle campagne di phsihing sono state 9: inutile ribadire, ma lo ribadiamo, che il settore più attacato è di nuovo quello bancario, mentre i brand preferiti dai phisher sono Intesa San Paolo e Poste Italiane.
IntesaSanPaolo ha visto il proprio brand sfruttato in ben 6 campagne di phishing via email, con link che puntavano su domini appositamente creati;
Poste invece è stata usata in 4 campagne a tema Banking: 3 di queste sono state veicolate via email, una via SMS. E' stata individuata anche una campagna a tema SPID;
concludono la panoramica delle campagne a tema banking BPER, Unicredit, Nexi, MPS, ING e BPB;
LiberoMail: è stata individuata anche una campagna di phishing mirata contro utenti Libero. L'email, a tema Account sospeso, invitavano le vittime a inserire un form fake le credenziali del proprio account per riattivare il servizio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
I formati file più usati nelle campagne di attacco la scorsa settimana sono stati .ZIP e .ACE

Fonte: https://cert-agid.gov.it/

giovedì 22 aprile 2021
Il malware Flu bot evolve: il CERT individua in diffusione in Italia la nuova versione

Il primo alert del CERT riguardo lo sbarco di Flu Bot in Italia è di qualche giorno fa: ne abbiamo reso un breve riassunto qui, mentre l'analisi completa è consultabile qui dal sito ufficiale del CERT-AgID. Era stata individuata in diffusione contro gli utenti italiani la versione 3.9 di questo malware che ha, come funzionalità principale, il furto dati e credenziali.

In dettaglio il malware, pensato per i dispositivi mobile Android, visualizza una serie di pagine di phishing che imitano i login delle app che l'utente mano a mano utilizza. Una attenzione particolare è riservata ai servizi di home banking: quando l'utente apre l'app di banking della propria Banca, il malware mostra pagine di phishing che emulano la schermata di login dell'home banking dell'istituto, richiedendo una serie di dati. Tutti i dati che l'utente inserisce vengono direttamente inviati al server di comando e controllo (2C) gestito dagli attaccanti.

Due giorni fa però, il CERT ha individuato in diffusione una nuova versione, rivista e migliorata di Flu Bot, ovvero la versione 4.0.

Quali novità - nuovo SMS
Il primo cambiamento è il testo del messaggio SMS che caratterizza la campagna di diffusione di Flu bot 4.0 in Italia: il tema resta quello delle spedizioni, ma stavolta non si invita l'utente a seguire una spedizione. Il testo fa riferimento ad una fantomatica mancata consegna di un pacco: si invita quindi l'utente a cliccare sul link per pianificare una nuova spedizione.

Fonte: https://cert-agid.gov.it/

Se il sito viene raggiunto tramite browser su dispositivo Android, quel che vedrà l'utente è una pagina che emula quella del corriere DHL, con tanto di logo in bella vista. Nella pagina si chiede all'utente di scaricare un'applicazione per rintracciare il pacco

Fonte: https://cert-agid.gov.it/

Quali novità - qualche appunto tecnico
La versione 4.0 non mostra funzionalità aggiuntive: nei fatti quindi le finalità e le funzioni del malware non sono cambiate.

"Sul piano tecnico invece il malware ha parametrizzato varie funzionalità che prima erano implementate ad hoc per ogni paese target, consentendo agli autori di usare un unico file APK per più paesi (semplificando e velocizzando quindi la pianificazione delle campagne)" specificano gli esperti del CERT.

Tra le funzionalità aggiornate ci sono quella che genera automaticamente i domini e il blocco dei numero ai quali sono inviati gli SMS. Quest'ultima funzione è efficace comunque soltanto se si conosce il prefisso del paese della vittima.

Per quanto riguarda la generazione dei domini, Flu Bot già nella versione 3.9 non conteneva il suo C2 in chiaro o criptato: il C2 viene generato tramite algoritmi. Alla prima analisi comunque erano 5.000 i domini estratti con questa tecnica, ma soltanto due ad ora risultano registrati e in uso. Con la nuova versione è stato però rimosso il

supporto il DNS-over-HTTPS, quindi i domini sono generati soltanto tramite DNS classici.
La differenza sta nella sicurezza e nella privacy della comunicazione ed è, in teoria, un passo indietro per il malware. Se tradizionalmente le richieste ai server per cercare un sito web sono inviati in testo normale (plaintext), col protocollo DNS-over-HTTPS il nome dominio digitato viene inviato ad un server DNS compatibile tramite connessione HTTPS, criptata quindi non in testo normale. Così terzi non possono vedere a quale sito web si sta tentando di accedere.

venerdì 23 aprile 2021
Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

Non c'è pace per i NAS Qnap: sono in corso proprio in questi giorni ben due ondate di attacchi ransomware contro questi dispositivi. Ondate contemporanee che stanno facendo registrare migliaia di vittime, che da un giorno all'altro si trovano impossibilitati ad accedere ai file salvati sui loro storage.

Da una parte c'è una vecchia conoscenza, ovvero l'ultima versione (che ricordiamo non è purtroppo risolvibile senza pagare il riscatto) di QNAPCrypt: nulla di nuovo da segnalare, se non che sono evidentemente ancora moltissimi i NAS QNAP i cui proprietari non hanno adottato né le mitigazioni già da tempo consigliate da QNAP né le patch di sicurezza.

La novità però è il nuovo ransomware Qlocker, che viene diffuso con una campagna così massiva da aver messo in immediato allarme l'intera comunità di cybersecurity. Lawarence Abrams, della redazione di Bleeping Computer, ha condiviso i dati degli utenti che hanno segnalato questa infezione al servizio ID-ransomware solo il 21 Aprile si sono registrate 353 vittime: numero di segnalazioni che è andato di pari passo, fa sapere Abrams, al picco di attività nel forum di supporto di Bleeping dove, da due giorni, la fila degli utenti che richiede aiuto per tornare in possesso dei propri file aumenta continuamente (e non possiamo non registrare negativamente il numero di utenti che dichiara di non aver approntato alcun meccanismo di backup o di averlo implementato in locale proprio sul NAS).

Fonte: IDransomware

Qlocker ha avviato la campagna di diffusione il 19 di Aprile e sta a tutt'ora continuando a mietere vittime, anche se ancora non è chiaro come riesca ad accedere ai NAS QNAP: quel che è sicuro è come funziona, ad ora. Le vittime semplicemente trovano tutti i file presenti sul proprio dispositivo QNAP spostati in un archivio 7-zip protetto da password. Mentre i file vengono chiusi, il QNAP Resource Monitor mostra numerosissimi processi 7z attivi

Fonte: BleepingComputer

Una volta che Qlocker ha finito questo processo, i file presenti sul Qnap vengono chiusi in un archivio 7zip con estensione .7z. Per estrarre i file le vittime dovranno inserire una password che è, ovviamente, conosciuta soltanto dagli attaccanti.

Fonte: BleepingComputer
La nota di riscatto si chiama !!!READ_ME.txt e contiene, oltre a una serie di istruzioni, la chiave unica che la vittima deve inserire per poter accedere al sito di pagamento del ransomware su Tor.

Il riscatto per ricevere la password con la quale accedere all'archivio ammonta per tutte le vittime a 0.01 Bitcoin, che sono circa 557 dollari. Una volta pagato, le vittim visualizzeranno la password, come si vede nella foto sotto (You decrypt password is....)

Fonte: BleepingComputer

Bug trovato, bug corretto
Nella notte tra il 21 e il 22 Aprile si è aperto uno spiraglio di speranza per gli utenti. Il ricercatore Jack Cable ha scoperto un bug sul sito Tor di Qlocker che consentiva agli utenti di recuperare la propria password gratuitamente. Bastava infatti disporre dell'ID della transazione Bitcoin di una persona che aveva già pagato e modificarlo leggermente: il sito Tor di Qlocker accettava questi ID modificati, confermando un pagamento inesistente e visualizzando la password 7zip della vittima. Qualche centinaio di utenti è riuscito così a liberare i propri file.

Peccato che gli attaccanti si sono accorti del problema e già poche ore dopo hanno corretto il bug.

Mitigazioni e patch
QNAP sta cercando da tempo di correre ai ripari viste le frequenti ondate di attacchi: QnapCrypt, QSnatch, Unityminer, AgeLocker ecc...

Anzitutto, il 16 Aprile ha patchato due vulnerabilità, sfruttate in attacchi reali:

CVE-2020-2509: Command Injection Vulnerability in QTS and QuTS hero
CVE-2020-36195: SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On
Il sospetto è che Qlocker sfrutti la vulnerabilità CVE-2020-3619 per eseguire il ransonmware sui dispositivi vulnerabili, che non presentano appunto le patch.

Questo è il motivo per il quale è FORTEMENTE CONSIGLIATO aggiornare prima possibile QTS, Multimedia Console e media Streaming alle ultime e più recenti versioni, che contengono le correzioni necessarie.

Nell'alert di sicurezza che QNAP ha pubblicato su Qlocker si dice che:
"QNAP raccomanda fortemente a tutti gli utenti l'installazione immediata della versione più recente di Malware Remover e eseguire immediatamente una scansione malware sui NAS QNAP: Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync necessitano di aggiornamento immediato all'ultima versione disponibile per aggiungere ulteriori protezioni contro gli attacchi ransomware. QNAP sta lavorando ad una soluzione per rimuovere questo malwate dai dispositivi infetti" .

In caso di attacco, proseguono, cioè se i file sono già stati criptati è fondamentale non riavvviare il dispositivo e eseguire, invece, immediatamene lo scanner malware, quindi contattare il Supporto Tecnico QNAP su https://service.qnap.com/. Sottolineamo che lo scanner malware e gli aggiornamenti di sicurezza non aiuteranno a recuperare i file, ma proteggeranno i dispositivi NAS da attacchi futuri. Queste mitigazioni infatti proteggono anche da attacchi di altri ransomware come QnapCrypt.

Una possibile soluzione?
E' in corso di verifica una soluzione proposta da alcuni ricercatori di sicurezza indipendenti. La soluzione è illustrata in questo video, ma non possiamo garantire l'effettiva efficacia per tutti gli utenti, dato che alcuni stanno lamentando l'impossibilità a rintracciare il file 7z.log

NB: riportiamo questa possibilità di risoluzione per mera completezza di informazione, non potendo garantire il risultato finale. Aggiorneremo immediatamente questa news in caso vengano individuate di soluzioni di sicura efficacia.

venerdì 9 aprile 2021
La settimana nera dei data leak: in vendita nel dark web i dati di 500 milioni di utenti Facebook e 500 milioni di utenti Linkedin

La settimana dopo Pasqua si è aperta con una notizia che ha avuto un'eco gigantesca: durante il fine settimana di Pasqua sono stati pubblicati online, su un popolare forum di hacking, i dati di oltre 533 milioni di utenti Facebook. Tra questi figura addirittura il fondatore di Facebook, coinvolto personalmente dal leak. Ciò che rende particolarmente allarmante questo leak è il fatto che i record contengono dati disponibili pubblicamente sui profili utente, ma anche i numeri di telefono associati.

In realtà il furto dei dati non è avvenuto nel periodo di Pasqua, ma nel 2019. La ricostruzione della dinamica dei fatti già vede contrapposti esperti di sicurezza da una parte e Facebook dall'altra: se alcuni ricercatori attribuiscono il furto dei dati ad una vulnerabilità della funzione "Add friend", corretta appunto nel 2019 da Facebook, nella ricostruzione ufficiale di Big F invece si parla di "semplice scraping". Secondo Facebook quindi non ci sono state violazioni dei sistemi, ma solo la raccolta di dati che erano pubblicamente disponibili sui profili degli utenti.

I dati sono stati messi in vendita, prima ad un prezzo bassissimo (2.19 dollari statunitensi) poi gratuitamente, in un forum di hacking piuttosto frequentato: il bassissimo costo di un set così grande di dati non deve stupire perchè tali dataset vengono pubblicati per la vendita sui forum solitamente dopo che sono già stati venduti a prezzi ben più alti in contrattazioni private.

Particolarmente preoccupante il numero di utenti italiani riguardati: l'Italia è la terza nazione più colpita al mondo con 35.677.323 record pubblicati appartenenti ad utenti italiani.

Egitto - 44.823.547
Tunisia - 39.526.412
Italia - 35.677.323
USA - 32.315.282
Arabia Saudita- 28.804.686

I dati sottratti e pubblicati sono stati:

Numero di telefono cellulare;
Nome e Cognome;
Sesso;
Città e provincia di nascita;
Data di nascita (formato data + ora, anche se non visibile sul profilo FB);
Attività lavorativa e relazioni sentimentali (“relationship status”);
Email (presenti solo in pochi casi);
UID Facebook (codice numerico del profilo Facebook).

E se il Garante irlandese si è già mosso aprendo un'istruttoria sulla vicenda, anche il Garante italiano è intervenuto scrivendo direttamente a Facebook e imponendo alcune misure: prima di tutto la nostra authority ha imposto di rendere immediatamente disponibile un servizio che consenta agli utenti italiani di verificare eventuali violazioni del proprio numero di telefono o del proprio indirizzo email. Nel frattempo il Garante ha anche allertato gli utenti riguardo ai rischi ai quali sono esposti coloro che hanno subito il data leak: non solo furto di identità, ma anche il rischio di "sim swapping" ovvero una tecnica di attacco che consente di avere accesso illegittimo ad un numero di telefono per violare una serie di servizi online che usano proprio io numero di telefono come sistema di autenticazione. E' fondamentale quindi prestare attenzione a qualsiasi anomalia gli utenti dovessero riscontrare sulla propria utenza telefonica, soprattutto l'improvvisa perdita di campo anche in luoghi dove solitamente c'è buona ricezione.

Alcuni consigli > Come limitare i danni per la violazione dei dati di 36 milioni di utenti Facebook italiani - Intervento di Guido Scorza su "MilanoFinanza"

Se sei un utente Facebook e vuoi verificare l'eventuale violazione del tuo account, è ad ora disponibile un servizio sicuro, ma offerto da terze parti - https://haveibeenpwned.com

Neppure il tempo, comunque, di correre ai ripari dal leak di Facebook che gli esperti di sicurezza iniziano a segnalare un secondo, enorme, data leak: appena due giorni dopo la pubblicazione dei dati degli utenti Facebook, viene pubblicato nel dark web un archivio contenente i dati di 500 milioni di profili Linkedin. Un numero enorme, se pensiamo che il social ha circa 740 milioni di iscritti: è quindi bene che la totalità deli utenti italiani su Linkedin, ovvero 21 milioni, si consideri da ora esposto ad attività criminali e truffaldine. Tra i dati pubblicati risultano indirizzi email, numeri di telefono, link agli altri profili social e dettagli professionali di vario tipo: sono tutte informazioni personali che adesso possono essere usati per ulteriori truffe e attacchi online.

Il dataset è in vendita per 1.800 dollari, ma con 2 soli dollari il "venditore" offre la possibilità di avere accesso ai dati di 2 milioni di profili, anche come riprova dell'esistenza effettiva del database.

Anche in questo caso, hanno dichiarato da Linkedin, dovrebbe trattasi di dati derivanti da attività di semplice scraping eseguita tramite strumenti di automazione come API o specifici tool. Lo scraping non è di per sé illegale e consiste nella raccolta di dati che sono ottenuto richiedendo informazioni direttamente al portale che ospita tali dati: nel caso di Linkedin sono stati diffusi, infatti, solo dati pubblicati dagli utenti stessi e/o condivisi coi propri contatti. Dati i rischi però, lo scraping è ormai vietato dalle principali piattaforme e gli utenti sono obbligati a sottostare al divieto tramite accettazione dei termini di servizio.

Il Garante italiano si è mosso anche nei confronti di Linkedin, aprendo un'istruttoria per approfondire il data leak e adottando un provvedimento nel quale specifica bianco su nero come sia assolutamente vietato utilizzare dati personali illegalmente sottratti (illecito trattamento): di conseguenza ogni eventuale utilizzo può comportare carattere sanzionatorio.

martedì 6 aprile 2021
Italia sotto assedio: ransomware colpiscono il Comune di Brescia e Axios, che offre il Registro elettronico alle scuole Italiane

Due episodi nel giro di pochissimi giorni, preceduti dall'attacco a Boggi Milano del quale abbiamo già parlato qui: sono stati giorni di grande attività per il mondo dei ransomware in Italia. Se, da una parte continuiamo a ricevere richiesta di assistenza per QNAPCrypt, che evidentemente sta colpendo ad ondate i NAS Qnap di moltissimi utenti italiani, dall'altra due eventi conquistano perfino i media nazionali: gli attacchi ransomware che hanno colpito il Comune di Brescia e Axios Italia.

DopplePaymer affonda il Comune di Brescia
In un primo momento, il Comune di Brescia aveva negato di essere vittima di estorsione poi, nel pomeriggio di ieri, incalzato da una fuga di notizie registrata dalla testata Il Giornale di Brescia, ha dovuto confermare l'attacco ransomware. I sistemi del Comune sono stati colpiti e messi offline dal famigerato ransomware DoppplePaymer: sono offline il sito web, il sistema che gestisce gare ed appalti, la piattaforma per le pratiche edilizie, le piattaforme di gestione del sistema scolastico e di quello cimiteriale, l'Anagrafe (il Comune nega accessi illegittimi ai dati dei cittadini perchè "su server protetti" che eseguono Linux), la Polizia Locale e tutte le reti informatiche di Palazzo Loggia. Il riscatto richiesto è di 26 Bitcoin, pari a 1,3 milioni di Euro.

Se, come sembra, ci vorranno mesi per ripristinare la rete e tutti i servizi comunali (a meno di pagare il riscatto e ottenere la chiave di decriptazione dagli attaccanti) è divampata la polemica riguardo alla sicurezza delle infrastrutture comunali: dalle prime ricostruzioni è emerso come l'intero sistema informatico dipenda da server che sono ancora fisicamente posizionati nella sala macchine di via Lamarmora, una soluzione anacronistica e pericolosa anche se, a onor del vero, il Comune già da un anno stava lavorando per dotarsi del cloud ma l'operazione non è ancora giunta al termine.

Fonte: l'Home Page attuale del sito del Comune di Brescia

Registro Elettronico fermo: ransomware ancora non identificato colpisce Axos Italia
Axos Italia è una delle aziende che offre il servizio di Registro Elettronico alle scuole italiane: ieri l'azienda ha fatto sapere tramite i propri canali social di aver subito un cyber attacco, in dettaglio un attacco ransomware. Che c'era qualcosa che non andava era chiaro a molti già da qualche giorno, perché i primi problemi al servizio si sono manifestati Sabato 3 Aprile, finché il servizio è divenuto irraggiungibile. Sempre del 3 Aprile è la prima comunicazione di Axos, che comunque non menzionava alcun cyber attacco, limitandosi a parlare genericamente di "disservizio".

Da ieri però l'azienda parla apertamente di attacco ransomware, rassicurando comunque i suoi utenti rispetto al fatto che non risultano perdite o esfiltrazione di dati: una dichiarazione frettolosa e che forse dovrebbe arrivare solo a indagini concluse, visto che ormai è parte integrante di un attacco ransomware il momento del furto dati, minacciando la pubblicazione o l'uso dei quali gli attaccanti stringono la morsa ricattatoria sulle vittime. La notizia dell'attacco non ha avuto grande risalto essenzialmente fino ad oggi, Lunedì 6, semplicemente perché è avvenuto a scuole chiuse, in pieno ponte Pasquale: inoltre sono ancora moltissime le scuole che non solo sono chiuse, ma non fanno neppure didattica a distanza.

Il 3 Aprile, alle 11.00, l'Axios dirama un primo comunicato:
“Gentili clienti, a seguito di un improvviso malfunzionamento tecnico occorso durante la notte si è reso necessario un intervento di manutenzione straordinaria“.

Cala poi il silenzio fino al 5 Aprile, quando l'azienda pubblica una nuova comunicazione:
“teniamo a informarVi che stiamo lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi Web entro pochi giorni“.

Soltanto a fine giornata, verso le 18.20 di ieri, Axos parla apertamente di "attacco hacker di tipo ransomware": “A seguito di approfondite verifiche tecniche messe in atto da sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura“.

Ci sono già stati, ha ammesso, contatti con gli attaccanti ma la decisione è stata quella di non cedere al ricatto e procedere in autonomia al ripristino dell'infrastruttura. Non è chiaro quale ransomware abbia colpito i sistemi di Axios: l'azienda ha parlato solo di una minaccia recentissima in circolazione solo da Marzo. Proprio l'estrema novità di questa minaccia ransomware, definita dall' Amministratore Unico di Axios come di "ultimissima generazione", sarebbe stata la causa del successo dell'attacco: i sistemi, ha dichiarato Rocchi, sarebbero sicuri ma avrebbero dovuto essere aggiornati contro questo "ransomware di ultima generazione" proprio sabato mattina. L'attacco però, non c'è limite alla sfortuna, è avvenuto il Venerdì notte.

martedì 30 marzo 2021
Hackerato il server Git di PHP: l'aggiunta di una backdoor nel codice sorgente di PHP ha fatto tremare il web

E' ormai uno scenario col quale non si può più fare a meno di confrontarsi quello degli attacchi cosiddetti "supply chain", ovvero gli attacchi che non colpiscono direttamente l'obiettivo primario ma la catena di distribuzione: gli eventi che hanno riguardato SolarWind e Microsoft Exchange hanno riportato in primo piano un dibattito che era un pç sopito, ma che, incalzato dagli eventi, è divenuto irrimandabile e ormai si è reso evidente come sia urgente prendere le giuste contromisure rispetto ai cosiddetti "software supply chain attack".

Ora ci risiamo, di nuovo, e anche questo evento ha un potenziale di compromissione molto esteso: la repository ufficiale Git di PHP è stata hackerata e il codice sorgente è stato manomesso. Due giorni fa infatti due commit dannosi sono stati "spinti" nella repository php-src GIT gestita dal team PHP sul loro server git.php.net. Gli attaccanti, ad ora sconosciuti, hanno firmato questi commit come se i loro autori fossero noti sviluppatori e manutentori PHP, ovvero Rasmus Lerdord e Nikita Popov. Per rendersi conto della portata di questo attacco, fortunatamente sventato, basta dire che PHP rimane il linguaggio di programmazione lato server più usato, alimentando più del 79% dei siti web in Internet.

Il comunicato ufficiale spiega che un attaccante è riuscito ad inserire il codice dannoso, ma non è chiaro se sia riuscito nel suo intendo compromettendo il server stesso o gli account dei due sviluppatori. Popov ha però escluso seccamente la possibilità di aver subito una violazione del proprio account.

I due commit sono disponibili qui e qui: questi sono stati inseriti come "fix typo", cioè gli attaccanti hanno provato a camuffarli da semplici correzioni ortografiche apportate dagli sviluppatori.

E' stato Popov stesso a rendersi conto della modifica, pur in apparenza assai banale: già alla prima verifica l'amministratore del server Git ha riscontrato una modifica alla linea 370 del codice. Modifica che appariva a firma di Lerdof e che inseriva l'istruzione zend_eval_string necessaria all'attaccante per installare una backdoor tramite la quale eseguire codice da remoto (RCE) su qualunque sito web avesse eseguito il codice manomesso anziché quello pulito.

In particolare, la riga di codice aggiunta eseguiva codice PHP nell'intestazione HTTP useragent nel caso in cui la stringa stessa fosse iniziata con zerodium. Non è chiaro il motivo dietro alla scelta di zerodium, che altro non è che una nota società di cybersecurity americana del tutto estranea, ovviamente, all'attacco. Il secondo commit dannoso invece è stato individuato da un altro sviluppatore, Michael Voříšek.

La celere individuazione dei due commit dannosi nel codice PHP ha scongiurato il peggio e non è esagerato dire che ha salvato il web, evitando un attacco le cui dimensioni avrebbero rischiato di essere incalcolabili.

Popov ha anche fatto sapere che l'evento ha spinto i gestori del server PHP a spostare il repository su GitHub: "mantenere la nostra infrastruttura Git è un rischio non necessario" ha dichiarato. Le nuove regole parlano chiaro: chi vorrà contribuire al progetto PHP d'ora in poi dovrà creare un account GitHub attivando l'autenticazione a due fattori.

giovedì 1 aprile 2021
Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano

Il famoso brand di abbigliamento maschile Boggi Milano è stato colpito da un attacco ransomware: sembra che siano stati sottratti anche 40GB di dati, compresi i dati dei dipendenti e le loro buste paghe. Boggi Milano, fondata nel 1939 e operante con 200 negozi in oltre 39 paesi, ha confermato l'attacco, specificando che sull'incidente sono in corso delle indagini e che l'attacco non dovrebbe comportare un impatto significativo sull'azienda.

Non sono trapelate ulteriori informazioni, ma nel dark web è comparsa la rivendicazione: il team di attaccanti dietro il ransomware Ragnarock ha rivendicato l'attacco sul proprio blog, specificando di aver preso di mira i server di Boggi Milano e di aver rubato 40GB di file, compresi file sulle risorse umane e sui salari dei dipendenti.

Di Ragnarock abbiamo parlato recentemente, visto che pur avendo debuttato piuttosto recentemente sulle scene del cybercrime, ha già mietuto varie vittime in Italia: Boggi è l'ennesima vittima.

Fonte: leak site di Ragnarock

Fonte: leak site di Ragnarock

Per approfondire > Il ransomware Ragnarock colpisce in Italia: qualche info tecnica

Le analisi dei ricercatori hanno fornito importanti informazioni su questa minaccia, che pare specializzata nell'attaccare i server Citrix ADC vulnerabili. In dettaglio gli attaccanti sfruttano la già nota vulnerabilità CVE-2019-19781 per accedere ai sistemi bersaglio e installare quindi Ragnarock. Quando l'attaccante riesce a compromettere un dispositivo Citrix ADC, vengono subito scaricati ed eseguiti una serie di script che ricercano nella rete computer Windows che presentano la vulnerabilità EternalBlue (anche questa patchata da tempo). Se tale vulnerabilità viene individuata e l'exploit ha successo, viene successivamente iniettata una DLL che scarica e installa il ransowmare.

La vulnerabilità CVE-2019-19781
Per quanto non sia possibile escludere altri vettori di attacco, la maggior parte delle infezioni del ransomware Ragnarock originano dall'exploit della vulnerabilità CVE-2019-19781 che è presente nelle applicazioni Citrix Application Delivery Controller (ADC) e Citrix Gateway e nell'appliance Citrix SD-WAN WANOP.

Da parte sua, Citrix è già corsa ai ripari rendendo disponibile la versione 10.5 dell'ADC, che contiene il fix permanente per questa vulnerabilità (link di riferimento per la problematica qui) .

La routine di criptazione di Ragnarock è del tutto simile a quella di molti altri ransomware e non presenta particolarità. Quando cripta i file usa la criptazione AES e la chiave generata sarà a sua volta criptata con una chiave di criptazione RSA correlata. In questo modo soltanto gli sviluppatori del ransomware hanno la facoltà di decriptare la chiave di criptazione della vittima.

Ogni file criptato vedrà l'aggiunta dell'estensione .ragnarock al nome del file: ad oggi non esistono modi conosciuti per risolvere la criptazione senza il supporto degli attaccanti. Chi non ha quindi un backup disponibile, non potrà ripristinare dati e sistemi.