01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 28 maggio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 15-21 Maggio
La scorsa settimana il CERT ha individuato e analizzato 42 campagne dannose attive in Italia: 38 hanno mirato direttamente obiettivi italiani, 4 sono state invece campagne generiche veicolate anche in Italia. 298 sono stati gli indicatori di individuati.

Le famiglie di malware individuate in diffusione sono state 10, per un totale complessivo di 12 campagne.

Qakbot è distribuito con campagne che, dalla scorsa settimana, non si sono interrotte. Le più recenti sono due campagne email mirate per utenti italiani, a tema Documenti. L’allegato vettore è un archivio .ZIP contenente un file XLSM o un file XLS con macro dannosa;
Formbook torna in diffusione con due campagne, a tema Ordini e Contratti. La prima è una campagna generica, che è stata però veicolata anche in Italia: in questo caso l’allegato vettore era un archivio .ZIP contenente un eseguibile .EXE. L’altra campagna email è invece stata mirata contro utenti italiani e utilizzava un allegato .ISO;
Lokibot non ha mai interrotto la campagna di diffusione avviata, ormai, ben due settimane fa. Il file vettore è sempre in formato .ISO, ma è cambiato il tema passato da “Ordini” a “Pagamenti”;
Dharma – torna in diffusione in Italia il ransomware Dharma. La campagna, mirata contro utenti italiani, sfrutta allegati .ZIP contenenti un HTA che funge da dropper. E’ questo file che scarica il ransomware Dharma da un dominio compromesso, localizzato in Spagna: la particolarità di questa variante di Dharma è che riporta, hard-coded, le credenziali del database mysql del server di comando e controllo;
Flubot ha registrato appena una settimana di pausa, ma è già tornato in diffusione via SMS, anche se in maniere meno massiva. La nuova campagna non si differenzia dalle precedenti via SMS se non per un dettaglio: gli SMS provengono da numeri esteri. Ricordiamo la guida del CERT-AGID per affrontare e risolvere questa infezione;
Remcos torna a distanza di un mese in Italia, veicolato da una sola campagna a tema Ordine, contenente un link nel corpo del messaggio: il link conduce al download in un archivio . RAR. Le campagne precedenti facevano invece uso del formato .ISO;
Nanocore è stato rilevato in diffusione con una sola campagna email internazionale, ma veicolata anche in Italia. Le email erano a tema bancario con allegato .ACE;
AgentTesla e ASTesla sono stati in diffusione con due campagne mirate contro utenti italiani, una a tema Documenti e una a tema Banking;
Dridex è stato veicolato con una campagna generica in lingua inglese, ma diffusa anche in Italia: l’email è a tema pagamenti con allegati in formato .XLS.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 15-21 Maggio
Le campagne di phishing individuate coinvolgono 9 brand, la quasi totalità dei quali afferiscono al settore Banking. Questa settimana però, al contrario del solito, il brand più sfruttato per le campagne di phishing è stato ING, che stacca nettamente tutti gli altri brand.

ING è sfruttato addirittura con 13 diverse campagne mirate: è il brand più sfruttato dai phisher;
IntesaSanpaolo, Unicredit e Poste sono state le campagne più attive dopo ING. Il brand Poste è stato sfruttato con 3 campagne, una di queste via SMS;
Fideuram, BPM, Hype, BCC chiudono il panorama dei brand bancari sfruttati a fini di phishing;
Enel è stata sfruttata per una campagna di phishing a tema Energia: scopo della campagna la sottrazione delle credenziali di accesso al servizio.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware troviamo una conferma: il formato archivio .ZIP è ancora il preferito per gli attaccanti, seguito dai formati .ISO e .XLS.

Fonte: https://cert-agid.gov.it/

1+28129[1]

Ransomware Qlocker: QNAP conferma l’uso di HBS come backdoor, ma Qlocker ha già chiuso i battenti

giovedì 27 maggio 2021
Ransomware Qlocker: QNAP conferma l’uso di HBS come backdoor, ma Qlocker ha già chiuso i battenti

QNAP ha sollecitato gli utenti ad aggiornare l’app di disaster recovery Hybrid Backup Sync – HBS3 per impedire al ransomware Qlocker di colpite i propri NAS QNAP esposti su Internet.

“Il ransomware conosciuto come Qlocker sfrutta la vulnerabilità CVE-2021-28799 per attaccare i NAS QNAP che eseguono certe versioni di HBS3” hanno fatto sapere con apposito avviso di sicurezza.

Insomma, per impedire a Qlocker di infettare il proprio NAS QNAP basta aggiornate HBS3 all’ultima versione disponibile.

La vulnerabilità CVE-2021-28799
E’ una vulnerabilità che conduce ad autorizzazioni improprie sul dispositivo. Se correttamente sfruttata, agisce, nei fatti, come un account backdoor che consente all’attaccante di accedere a dispositivi che eseguono versioni obsolete di HBS3. Questa vulnerabilità è già stata risolta per le versioni HBS3:

QTS 4.5.2: HBS 3 v16.0.0415 e successivi;
QTS 4.3.6: HBS 3 v3.0.210412 e successivi;
QTS 4.3.3 and 4.3.4: HBS 3 v3.0.210411 e successivi;
QuTS hero h4.5.1: HBS 3 v16.0.0419 e successivi;
QuTScloud c4.5.1~c4.5.4: HBS 3 v16.0.0419 e successivi.
Versioni precedenti devono essere aggiornate. La falla invece non riguarda le versioni HBS2 e HBS 1.3.

Qlocker in breve:
Qlocker è un ransomware specializzato in attacchi contro NAS QNAP. E’ stato diffuso con una massiva campagna che è iniziata a metà Aprile e che ha mietuto molte vittime anche in Italia. Il ransomware sostituisce i file presenti sul NAS con un archivio 7-zip protetto da password, per ottenere la quale viene richiesto un riscatto in criptovaluta. Inizialmente risolvibile a causa di alcuni bug (nel sistema di pagamento e per la presenza di un file di log contenente la password dell’archivio), è divenuto poi irrisolvibile senza il supporto degli attaccanti, che hanno proceduto in pochissime ore a risolvere tutti i bug. Ad ora, impedire l’infezione e disporre di copie di backup dei dati sono le uniche due maniere per evitare l’attacco e la perdita dei dati.

Per approfondire >
1. Il nuovo ransomware Qlocker bersaglia i NAS QNAP: ondata massiva di attacchi nel mondo, colpiti anche moltissimi utenti italiani

2. Qlocker: aggiornamenti sul ransomware che sta assediando i NAS QNAP

Un avviso che arriva in ritardo
E’ sempre da valutarsi positivamente la risoluzione di una vulnerabilità (fermo restando che poi occorre che gli utenti eseguano le patch o gli update, problema non da poco), ma sul caso specifico non si può non registrare l’eccessivo ritardo. Sicuramente questo pensano le centinaia di vittime di Qlocker che vedono arrivare avviso e patch con più di un mese di ritardo e con oltre 350.000 dollari già estorti. Inoltre tutti i siti di pagamento Tor afferenti a Qlocker non sono più accessibili, lasciando addirittura vittime disposte a pagare senza possibilità di pagare il riscatto. Qlocker ha chiuso i battenti alla velocità della luce, ma non è chiaro se possa aver subito un destino simile a quello di Darkside.

Ricordiamo comunque che contro i NAS Qnap rimangono attive due diverse campagne ransomware: Agelocker e QNAPCrypt.

01[1]

Il trojan bancario Bizarro sta colpendo oltre 70 banche in Europa e Sud America: prese di mira anche banche italiane

lunedì 24 maggio 2021
Il trojan bancario Bizarro sta colpendo oltre 70 banche in Europa e Sud America: prese di mira anche banche italiane

Bizarro è un trojan bancario nato in Brasile ma che, da qualche settimana, ha varcato i confini e sta bersagliando i clienti di oltre 70 diversi istituti bancari in Europa e in Sud America. Una volta che è riuscito a violare un sistema Windows, questo trojan cerca in ogni modo di ingannare gli utenti a inserire le proprie credenziali bancarie e, tramite varie tecniche di ingegneria sociale, a convincerli a diffondere i codici di autenticazione a due fattori.

La diffusione
Bizarro è un trojan piuttosto pericoloso perchè è costantemente in sviluppo: i suoi gestori allungano continuamente la lista delle banche bersaglio e implementano a cadenza molto ravvicinata molte tecniche per prevenire l’individuazione da parte di soluzioni di sicurezza ma anche per rendere più complicata possibile l’analisi del codice da parte dei ricercatori di sicurezza.

Stando ai dati telemetrici ad ora disponibili, Bizarro sta colpendo gli utenti di istituti bancari in nazioni nelle quali la sua presenza non era mai stata registrata: in Europa il trojan si concentra sui clienti di istituti bancari tedeschi, spagnoli, portoghesi, francesi ed italiani, mentre in Sud America i più colpiti sono i clienti di banche cilene, argentine e brasiliane.

La campagna di attacco
Bizarro viene diffuso con la più classica email di phishing che, prodotta in più lingue, riferisce comunque allo stesso tema: le email sono mascherate da messaggi ufficiali che riferiscono a fantomatici ammanchi e obblighi fiscali. Il corpo del messaggio contiene un link dal quale viene scaricato, in formato .MSI, il trojan.

Una volta avviato, il malware scarica un archivio .ZIP con i componenti dannosi dei quali necessita collegandosi a server appositamente compromessi sui servizi WordPress, Amazon e Azure.

Una email di phishing destinata ad utenti spagnoli. Fonte: bleepingcomputer.com

Le funzionalità di Bizarro
Una volta avviato, Bizarro termina ogni sessione esistente con i servizi di banking online semplicemente arrestando tutti i processi relativi ai browser. Questa banale attività obbliga gli utenti a re inserire le credenziali dell’account bancario: è qui che il malware intercetta le credenziali e le trasmette ai suoi gestori. Può anche disabilitare la funzione di auto completamento nel browser web per catturare le credenziali di login quando gli utenti le digitano manualmente.

Una componente centrale del malware è la sua backdoor: questa supporta oltre 100 diversi comandi, la quasi totalità dei quali serve a mostrare pop up fake agli utenti. Questa funzionalità si attiva soltanto dopo che il malware ha enumerato tutte le finestre per verificare che una sia connessa ai siti bancari supportati.

Altre funzionalità di Bizarro sono:

keylogger: Bizarro registra tutte le battiture sulla tastiera dell’utente;
può prendere il controllo di mouse e tastiera;
può prendere il controllo dei file salvati nell’hard drive;
può spegnere, riavviare, danneggiare il sistema operativo, ma anche limitare la funzionalità di Windows;
recupera dati e informazioni sulla vittima e sul sistema in uso, gestendo anche lo status della connessione.
Le tecniche di ingegneria sociale
Usando specifici comandi per la backdoor, gli operatori di Bizarro provano a spingere con l’inganno l’utente a fornire le informazioni di login al proprio account bancario: possono cioè mostrare all’utente messaggi pop up e finestre che richiedono l’inserimento o delle credenziali stesse o dei codici di autenticazione a due fattori.

Fonte: bleepingcomputer.com

Il contenuto di queste finestre vari: alcune notifiche richiedono dettagli aggiuntivi o di inserire un codice di conferma per un errore inesistente. Talvolta si informa che il sistema deve essere riavviato per concludere un’operazione di sicurezza.

Un’altra tecnica consiste nel mostrare all’utente immagini JPEG che imitano pagine del sito legittimo della banca, con tanto di loghi ufficiali e istruzioni per le vittime. Alcuni di questi messaggi sono usati come screenlocker e nascondono la taskbar, rendendo difficile l’avvio del Task Manager.

La maggior parte di queste immagini allerta l’utente di una fantomatica compromissione del sistema, indicando come sia urgente eseguire immediatamente un update o installare uno componente sul browser per risolvere il problema.

Fonte: bleepingcomputer.com

Molte di queste finestre tentano di indurre l’utente ad installare app bancarie fake, il cui unico scopo è mulare le app legittime degli istituti bancari per indurre l’utente ad inserire credenziali e dati sensibili.

01[1]

Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

mercoledì 19 maggio 2021
Ennesimo tool legittimo di Microsoft usato a fini illegittimi: il Build Engine sfruttato per distribuire malware

Certo, non è una novità: sono molteplici gli strumenti legittimi che vegono “piegati” a finalità illegittime da parte dei cyber attaccanti. Caso eclatante, putroppo già da qualche anno e Microsoft non sembra riuscire a porre rimedio al problema, è quello che riguarda BitLocker: BitLocker Drive Encryption è una funzionalità di protezione dei dati che consente di criptare parti oppure intere partizioni del sistema operativo. Nato quindi come strumento di sicurezza è in uso già da qualche anno come vero e proprio ransomware.

Ora ci siamo di nuovo: alcuni ricercatori di sicurezza hanno individuato e analizzato una campagna di distribuzione malware che sfrutta il tool di sviluppo Microsoft Build Engine (MSBuild) per distribuire prima il RAT Remcos, quindi, ottenuto il controllo remoto del sistema target, il malware infostealer e per il furto di credenziali RedLine. La campagna è iniziata ad Aprile ma è tutt’ora in corso ed è estremamente preoccupante perchè riesce ad eludere i controlli delle soluzioni antivirus più diffuse.

I protagonisti
Microsoft Build Engine (MSBuild) in breve
è uno strumento creato da Microsoft per sviluppare applicazioni tramite file di progetto .XML: ha funzionalità che consentono l’attività inline, rendendo possibile compilare codice ed eseguirlo direttamente in memoria. E’ proprio questa capacità di eseguire codice in memoria che ha aperto la strada ad usi illegittimi del tool, garantendo agli attaccanti, in estrema semplicità la possibilità di sferrare attacchi fileless: gli attacchi fileless sono estremamente difficili da individuare perchè non scaricano alcun file sul sistema, ma anche perchè non lasciano tracce sulla macchina infetta.

Rispetto a questa campagna di attacco, i ricercatori non hanno chiare lemodalità con cui sono distribuiti i file progetto di MSBuild (file formato .proj), ma sono stati determinati con certezza i payload distribuiti, ovvero RAT Remcos e lo Stealer RedLine.

Remcos RAT in breve:

Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.

RedLine RAT in breve:
in tutta la campagna di attacco il malware vero e proprio, inteso in senso classico, è appunto RedLine che è un malware scritto in .NET. Esegue scansioni sulla macchina bersaglio incerca di software per la gestione della criptovaluta e app di messaggistica, mentre ha funzionalità specifiche per sfruttare e raccogliere dati dal servizio VPN Nord VPN. E’ un malware infostealer, specializzato nel furto di:

cookie;
credenziali VPN;
credenziali memorizzate sui browser (login social ed email, ma anche estremi delle carte di credito ecc…);
wallet di criptovaluta;
informazioni di sistema.

La catena di infezione

Fase 1: la persistenza
In questa fase viene lanciato mshta.exe, nativo su Windows: è usato per lanciare un VBscript col qualer eseguire il file progetto .proj. Viene creata in una apposita cartella di avvio anche un file .lnk.
Fase 2: distribuzione dei payload
Ottenuta la persistenza, è eseguita una funzione che decodifica due array: da questi sono ottenuti un blocco eseguibile, ovvero i payload di Remcos e redLine) e un blocco shellcode. Entrambi sono allocati in memoria.
Fase 3: l’iniezione dei payload in memoria
lo shellcode viene seguito con CallWindowProc o Delegate.DynamicInvok. Chiamate successive allo shellcode hanno lo scopo di allocare la memoria, creare un processo ad hoc e iniettare il payload nella memoria del processo appena creato.

Fonte: Anomali Threat Research

Qualche conclusione
Questa campagna è mirata e non ha, ad ora, diffusione di massa. Non è neppure detto che sbarcherà in Italia, non vi sono certezze né dettagli che possano suggerire tale possibilità: è però utile descriverla e raccontarla sia per allertare chi utilizza MSBuild sia perchè ci consegna alcune interessanti conclusioni. La prima tra tutte è che gli antivirus sono necessari, ma non più sufficienti per garantire la cyber security. Gli attacchi fileless sono per definizione invisibili agli antivirus, proprio perchè spesso sfruttano e si camuffano da processi / strumenti legittimi e perchè sono eseguiti solamente in memoria, senza necessità di download ed esecuzione di file che potrebbero mettere in allarme i sistemi di rilevamento dele minacce. Non a caso gli attacchi fileless sono in crescita oltre l’esponenziale: i dati WatchGuard 20921 parlano di un aumento del 888% degli attacchi di questo tipo tra il 2019 e il 2020.

Formazione e pratiche di “igiene” informatica, protezione della rete, criptazione dei dati sono alcuni strumenti che vanno necessariamente affiancati alla classica soluzione antivirus. La diffusione di un approccio “Zero trust” arricchisce, anche se non completa, il quadro della cybersecurity: se i cyber attaccanti evolvono velocemente, anche la risposta deve essere veloce, perfino laddove richieda di cambiare completamente paradigma.

00[1]

La settimana nera dei ransomware: Darkside chiude i battenti mentre il ransomware Conti paralizza il sistema sanitario irlandese

lunedì 17 maggio 2021
La settimana nera dei ransomware: Darkside chiude i battenti mentre il ransomware Conti paralizza il sistema sanitario irlandese

Ransomware scatenati, ransomware ovunque, ransomware che alzano sempre più il tiro: le ultime due settimane sono state costellate di attacchi ransomware di peso. Forse troppo, a giudicare dalla vicenda di Darkside.

Darkside l’ha fatta troppo grossa: operazioni interrotte, infrastruttura down dopo operazione delle forze dell’ordine
Del ransomware Darkside abbiamo parlato qualche giorno fa, quando si è reso protagonista dell’attacco ad una delle più importanti infrastrutture degli Stati Uniti: parliamo dell’oleodotto Colonial Pipe. Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. L’attacco ransomware lo ha paralizzato, costringendo il presidente Joe Biden a dichiarare lo stato di emergenza e attuare una serie di misure volte ad evitare la mancanza di carburante in una parte estesa del paese. L’azienda ha deciso subito di pagare il riscatto, ma il governo statunitense ha scatenato una vera e propria caccia all’uomo in cerca dei responsabili.

A rivelare notizie interessanti sul fatto è stato UNKN, uno dei portavoce della gang ransomware rivale di Darkside, ovvero Revil. UNKN ha fatto sapere che gli sviluppatori di Darkside hanno completamente perso l’accesso alla parte pubblica della loro infrastruttura: in dettaglio non possono più accedere al blog, ai server DOS, al server di pagamento a seguito di un attacco sferrato contro la loro infrastruttura dalle forze dell’ordine statunitensi. Agli operatori di Darkside non è rimasto altro da fare che sospendere le attività e interrompere il programma di affiliazione. L’evento ha così allarmato i gestori dicampagne ransomware da aver indotto la gang di Revil, che ricordiamo è attualmente la minaccia ransomware più attiva e pericolosa, a definire nuove modalità di azione: gli affiliati al ransomware Revil non potranno più attaccare soggetti attivi nel settore sociale (sanità e istruzione in dettaglio) ed enti governativi. Inoltre gli affiliati dovranno concordare con i gestori i futuri attacchi, onde evitare la trasgressione a questi nuovi vincoli: la paura fa 90, vien da dire!

Fonte: Dmitry Smilyanet

La notizia arriva il giorno dopo una importante dichiarazione di Biden il quale, in conferenza stampa, ha annunciato che gli Stati Uniti si attiveranno in ogni forma possibile per garantire che quei paesi che ospitano infrastrutture ransomware agiscano per chiuderle. Sul caso Darkside, sospettato di avere origine russe, gli Stati Uniti hanno agito in comunicazione diretta con Mosca: segno che ormai per i ransomware sarà tolleranza zero.

Torna il ransomware Conti: in tilt il sistema sanitario irlandese
Il servizio sanitario pubblico irlandese, HSE, ha fatto sapere pubblicamente di aver rifiutato di pagare 20 milioni di dollari di riscatto: l’estorsione segue l’attacco da parte del ransomware Conti che ha portato alla criptazione dei computer e compromesso il funzionamento del sistema sanitario nel paese. L’HSE ha fatto sapere di aver subito l’attacco e arrestato tutti i propri sistemi IT nel pomeriggio di Venerdì.

“Abbiamo optato per lo shut down di tutti i sistemi in via precauzionale, per proteggerli dall’attacco e per permetterci di valutare appieno la situazione con i nostri partner di sicurezza” hanno dichiarato portavoce del sistema sanitario irlandese.

Gli effetti dell’attacco e la scelta di arrestare i sistemi IT hanno portato all’interruzione del servizio in tutto il paese, causando accessi limitati a record medici e dagnostici e rallentando la capacità di risposta del servizio sanitario e già si registrano disagi dovuti ad errate trascrizioni a causa del ritorno al sistema “carta e penna”.

Una fonte anonima ha fatto trapelare una parte dei contatti, già avvenuti, tra i gestori del ransomware Conti e rappresentati dell’HSE: gli attaccanti dichiarano di aver rubato oltre 700GB di file in chiaro prima di procedere alla criptazione dei sistemi. Tra questi dati figurerebbero informazioni su pazienti e dipendenti, contratti, informazioni finanziarie e di fatturazione ecc… Dagli screenshot della chat si apprende anche l’ammontare del riscatto: l’HSE dovrebbe pagare 19.990.000 dollari Usa per ottenere il decryptor e assicurarsi la cancellazione dei dati rubati prima che questi vengano resi pubblici e messi in vendita nel dark web.

La richiesta di riscatto da parte degli attaccanti. Fonte: bleepingcomputer.com

Il Primo Ministro irlandese, Micheál Martin, ha dichiarato pubblicamente che lo stato non pagherà alcun riscatto.

Il ransomware Conti in breve
Il Ransomware Conti, sospettato di avere base in Russia, si diffonde tramite attacchi di phishing preventivi: l’attacco di phshing conduce all’installazione dei trojan TrickBot e/o BazarLoader, tramnite i quali gli attaccanti ottengono l’accesso remoto ai sistemi bersaglio. Tramite tale accesso remoto, gli attaccanti procedono a muoversi lateralmente lungo la rete, rubando credenziali ulteriori e raccogliendo tutti i dati non criptati presenti sulle workstation e i server collegati alla rete. Una volta rubati tutti i dati trovati e messo le mani sulle credenziali dei domini Windows, gli attaccanti si pongono in attesa una setttimana, quindi distribuiscono il ransomware nella rete procedendo alla criptazione di tutti i dati.

Come tutti i ransomware di nuova genereazione, anche Conti utilizza la tecnica del doppio riscatto: uno per ricevere il decryptor e uno per garantire la cancellazione dei dati rubati ed evitarne la pubblicazione e la messa in vendita nel dark web.

01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 14 maggio 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 1-7 Maggio
La scorsa settimana il CERT-AgiD ha individuato e analizzato 28 campagne dannose: di queste 3 sono state generiche e veicolate anche nello spazio italiano mentre 25 sono state mirate contro obiettivi italiani. 163 sono stati gli indicatori di compromissioni (IOC).

Le famiglie di malware individuate sono state 4, soltanto 6 le campagne malware. Ecco i punti salienti:

Raccoon: è stato individuato in diffusione in Italia per la prima volta, con due diverse campagne a tema pagamenti. Le email contenevano allegati in formato .XLSB. E’ un malware che, fino ad ora, ha colpito quasi esclusivamente negli Stati Uniti;
Formbook è stato in diffusione anche questa settimana, con due diverse campagne email: una a tema pagamenti e una a tema ordine. Le email utilizzavano allegati in formato .ZIP e .GZ;
AgentTesla è stata veicolata con una sola campagna a tema Pagamenti: le email contenevano allegati in formato .ZIP;
Urnsif è stato rilevato in diffusione con una sola campagna malware a tema Delivery: le email veicolavano il malware via allegato .XLSM.

Raccoon in breve:
Raaccon è malware infostealer, specializzato cioè nel furto di dati e informazioni sensibili dai sistemi infetti. E’ un MaaS, malware as a service, ovvero un malware che può essere affittato nel dark web, personalizzato e distribuito dagli affiliati: i gestori garantiscono addirittura supporto tecnico e aggiornamenti, risolvendo bug e aggiungendo nuove funzionalità. Tra le informazioni rubate troviamo credenziali di login, info0rmazioni delle carte di credito, wallet di criptovalute e le informazioni contenuti nei browser (cookie, cronologia ecc…). Può essere diffuso sia tramite campagne di phishing, sia tramite siti web compromessi che ospitano exploit kit in grado di sfruttare falle dei browser per installare silenziosamente il malware.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 1-7 Maggio
Le campagne di phishing analizzate hanno visto il coinvolgimento di 8 diversi brand: la maggior parte di questi sono brand bancari, in particolare Poste, Intesa San Paolo e Unicredit.

Poste è stato il brand più sfruttato con campagne a tema Banking: le email contengono un link che punta a pagine registrate ad hoc per il furto dati;
IntesaSanpaolo, Unicredit, ING sono stati gli altri brand bancari più sfruttati. 4 sono state le campagne di phishing che hanno sfruttato il brand Intesa San Paolo, altrettante hanno sfruttato il nome di Unicredit, mentre ING è stato sfruttato in 3 campagne mirate;
Ubibanca chiude il panorama delle campagne di phishing a tema banking;
Full Inbox: qui si parla di una campagna i phishing generica che mira alla sottrazione delle credenziali di accesso ai servizi di posta elettronica;
BRT e Amazon completano il quadro delle campagne di phishing. BRT è stata sfruttata in una campagna a tema Delivery, Amazon in una a tema Premi.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco
Nel corso della settimana sono stati individuati, come file vettore, 4 diversi formati file: il formato archivio .ZIP e il formato Excel .XLSB sono stati i più utilizzati.
Fonte: https://cert-agid.gov.it/

01[1]

Il Garante tedesco blocca Facebook: non potrà usare i dati di Whatsapp per tre mesi. La vicenda arriva nelle mani del Garante europeo

mercoledì 12 maggio 2021
Il Garante tedesco blocca Facebook: non potrà usare i dati di Whatsapp per tre mesi. La vicenda arriva nelle mani del Garante europeo

Il Garante tedesco è stato chiaro ed estremamente rigido: l’ordinanza emessa qualche giorno fa impone a Facebook Ireland lo stop all’uso dei dati raccolti dalla sua controllata Whatsapp. Motivazione? L’Autorità di Amburgo ravvede, nell’uso da parte di Facebook dei dati personali raccolti da Whatsapp , di “scopi privati”: manca cioè quello che può essere definito come un interesse legittimo a trattare tali dati.

“La decisione – spiega il Garante tedesco – ha lo scopo di salvaguardare i diritti e le libertà di quei milioni di utenti tedeschi che hanno rifiutato di approvare i nuovi termini di utilizzo”.

Lo stop di 3 mesi si deve anche al fatto che il Garante tedesco si rivolgerà al Garante Europeo (EDPS) allo scopo di estendere il blocco a questo trattamento in tutti i 27 stati UE. La procedura d’urgenza durerà appunto 3 mesi. Il Garante tedesco ha fatto anche sapere di aver inviato una richiesta “per indagare sulle attuali pratiche di data sharing” alla Commissione per la Protezione dei Dati irlandese, ma questa non è stata presa in considerazione (e così rinfocolano le polemiche sul Garante irlandese, colpevole secondo alcuni di eccessivo lassismo verso le Big Tech).

L’ordinanza del Garante segue la decisione, preannunciata da Whatsapp, di una progressiva restrizione delle funzioni degli account Whatsapp di quegli utenti che hanno rifiutato di rinunciare al controllo dei propri dati decidendo di non condividerli con Facebook a partire dal 15 maggio 2021. La decisione iniziale per coloro che non avranno accettato la nuova policy di Whastsapp era quella di cancellare tali account, ma con l’aggiornamento della policy della scorsa settimana è stato fatto un passo indietro, introducendo la “sanzione” delle funzioni ridotte.

Whatsapp, da parte sua, ha già fatto sapere che il blocco non comporterà alcuna modifica ai piani: le modifiche alla privacy degli utenti sono confermate e la società conferma che gli utenti dovranno scegliere se utilizzare account con funzionalità limitate o condividere i propri dati con Facebook per usare account a pieno regime. Le parole sono piuttosto dure: “visto che le affermazioni dell’Authority di Ambrugo sono sbagliate, l’ordine (di non trattare i dati n.d.r) non avrà alcun impatto sul roll out dell’aggiornamento” ha dichiarato alla Reuters un portavoce di Whatsapp.

Gli aggiornamenti alla policy di Whatsapp: dove sta il problema?
Il Garante Tedesco, in una nota alla stampa, ha sollevato una serie di dubbi rispetto ai cambiamenti che avverranno nella policy di Whtasapp: cambiamenti che ampliano non poco il poteere di elaborazione dei dati dell’azienda in merito a:

il trasferimento dei dati di comunicazione degli utenti ad aziende di terze parti con esplicit riferimenti a facebook;
il nuovo obiettivo di “garantire l’integrità dei servizi e la verifica interaziendale dell’account” al fine di determinare un uso appropriato del servizio;
l’uso dei dati per connettersi ai prodotti delle aziende di Facebook;
l’elaborazione delle informazioni sulla posizione.

Insomma il Garante tedesco si schiera dalla parte di chi, da qualche mese, denuncia la scarsa chiarezza, confusione e contraddittorietà della nuova policy Whatsapp. Non solo: il Garante ha anche scoperto come alcuni dei dati degli utenti Whatsapp (compreso numero di telefono e identificativo del dispositivo) sono già condivisi con Facebook per “la sicurezza della rete e per impedire l’invio di spam). Ora non resta che attendere la decisione del Garante Europeo.

a[1]

Attacco ransomware blocca il più grande oleodotto negli Stati Uniti: Biden dichiara lo stato di emergenza

lunedì 10 maggio 2021
Attacco ransomware blocca il più grande oleodotto negli Stati Uniti: Biden dichiara lo stato di emergenza

I ransomware non fanno, ormai, più sconti a nessuno: se l’ondata verso le piccole e medie aziende non si è arrestata mai (e Ryuk continua a fare da protagonista), la scorsa settimana c’è stato un vero e proprio picco di attacchi contro laboratori e strutture sanitarie un pò in tutto il mondo. D’altronde, come dichiarato recentemente dagli appartenenti alla banda Revil, attualmente la più pericolosa famiglia ransomware in attività, gli ospedali sono bocconi prelibati perché deboli in termini di cyber sicurezza, ma con una necessità estrema di rientrare in possesso dei dati e riattivare i sistemi fosse anche solo per tutelare vite umane.

Ha fatto però notizia sui media di tutto il mondo un attacco ransomware in particolare, i cui effetti hanno davvero messo in ginocchio gli States costringendo addirittura il Presidente Biden a dichiarare lo stato di emergenza: parliamo dell’attacco ransomware che ha colpito il Colonial Pipeline, il più grande oleodotto del paese.

Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast.

Mappa del sistema Colonial Pipeline

Lo scorso sabato notte questo oleodotto ha subito un attacco che ha obbligato allo shut down di tutta l’infrastruttura onde impedire al malware di potersi ulteriormente diffondere: l’attacco è stato confermato dalla compagnia stessa il giorno successivo, quando la rete era già stata completamente sospesa ed erano in corso i primi tentativi di risoluzione del cyber incidente.

“Il 7 Maggio, la Colonial Pipeline Company ha avuto consapevolezza di essere stata vittima di un cyber attacco – si legge nella nota. “In risposta, abbiamo messo offline in modo proattivo alcuni sistemi al fine di contenere la minaccia, che ha temporaneamente interrotto le operazioni dell’oleodotto e ha colpito alcuni dei nostri sistemi IT. Appreso del problema, abbiamo immediatamente ingaggiato una società di cyber security di terza parte, che sta portando avanti una indagine sulla natura e sulla portata di questo incidente, che è attualmente ancora in corso” conclude il comunicato, consultabile qui.

Biden dichiara lo stato di emergenza

Lo stop dell’oleodotto ha portato a interrompere il trasporto di carburante per una zona che va dal Golfo del Messico fino alla città di New York, ma non solo, perchè lo stop ha riguardato anche zone più periferiche sempre servite dalla stessa infrastruttura. Il timore che una porzione sostanziosa di Stati Uniti possa rimanere senza benzina, diesel carburante per aerei si fa strada, quindi Biden ha dichiarato lo stato di emergenza per far si che possano attivarsi alcune misure straordinarie come il trasporto su gomma per il carburante e l’aumento delle ore di lavoro giornaliere degli auto trasportatori americani, per garantire almeno un afflusso minimo di carburante alle zone interessate.

Tutta colpa di Darkside
Soltanto da ieri si è cominciato a parlare di Darkside come possibile responsabile di questo attacco: è il Washington Post a fare il nome del team Darkside.

Darkside è una operazione ransomware lanciata intorno alla metà di Agosto 2020 e specializzata in attacchi mirati contro le aziende: il team Darkside cioè organizza campagne di attacco mirate, con tecniche di attacco e strumenti personalizzati rispetto all’obiettivo e all’architettura della sua rete. E’ un ransomware che mira esclusivamente a target “di peso”, come dimostra anche l’andamento dei conti in criptovaluta correlati a questa operazione: gli attaccanti hanno comunque più volte spiegato di puntare solo a riscatti estremamente onerosi, quindi mirano soltanto aziende che possono permettersi di pagare riscatti milionari. I riscatti fino ad ora registrati oscillano tra i 200.000 e i 2 milioni di dollari statunitensi.

Come tutti i ransomware di punta da un paio di anni a questa parte, Darkside non cripta soltanto i dati: la routine di criptazione è preceduta dall’esfiltrazione di tutti i dati disponibili nella rete bersaglio. Dati che poi vengono pubblicati a piccole dosi sul sito di leak della gang a scopo ricattatorio, per “incentivare” la vittima a pagare velocemente il riscatto.
Un estratto del sito di leak Darkside

In questi anni Darkside ha dimostrato di privilegiare vittime appartenenti ai seguenti settori:

sanitario (ospedali, ambulatori);
educativo ( scuole, università);
organizzazioni no profit;
enti governativi.

Aggiornamento del 14/05
E’ di ieri la notizia del pagamento, da parte di Colonial Pipeline, di un riscatto pari a 5 milioni di dollari. Il riscatto è stato pagato già Venerdì 7 Maggio, in aperta contraddizione con quanto espresso pubblicamente dalla compagnia, la quale aveva ribadito in più occasioni di non avere alcuna intenzione di pagare il riscatto. Sia la fretta di pagare da parte dell’azienda che la scelta degli attaccanti di accettare un riscatto così basso (mediamente il riscatto contro aziende di questo tipo oscilla tra i 25 e i 35 milioni di dollari) si devono probabilmente alla gravità della situazione: l’interruzione della fornitura di carburante e diesel a milioni di persone ha messo in allarme e costretto Biden ad intervenire immediatamente, anche per scongiurare il panico. Si sono registrate infatti, per alcuni giorni, lunghe code ai distributori di benzina, da parte di una popolazione civile spaventata dalla possibile scomparsa di carburanti. Il riscatto è stato pagato dopo poche ore dall’attacco, gli attaccanti hanno immediatamente fornito il tool di decriptazione che, però, si è dimostrato così lento da costringere l’azienda ad affiancargli i propri backup per velocizzare il ripristino della rete.

01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 24 – 30 Aprile
Questa settimana il CERT-AgID ha individuato e analizzato 39 campagne dannose: una sola generica ma veicolata anche in Italia, mentre 38 sono state mirate contro obiettivi italiani. Addirittura 504 sono stati gli indicatori di compromissione messi a disposizione.

Sette sono state le famiglie malware individuate, in diffusione con 17 diverse campagne malware. Ecco i dettagli:

Flubot: si conferma corretto l’alert lanciato tempo fa dal CERT-AgID: Flubot è in distribuzione con una ondata, una vera propria ondata, di SMS finalizzati alla diffusione dell’apk malevolo. Una breve descrizione del malware è disponibile qui, ma consigliamo agli interessati la consultazione della guida che il CERT ha prodotto su questa minaccia.
Ursnif è stato individuato in diffusione con tre diverse campagne a tema Documenti: il malware era veicolato con allegati .ZIP;
Formbook vede la seconda settimana consecutiva di distribuzione, con 3 campagne rispettivamente a tema Pagamenti, Delivery e Ordini. Sono stati usati, per la diffusione, i formati archivio .ZIP e .RAR.;
AgentTesla è stato diffuso con due campagne a tema Pagamenti: due i formati file in uso come vettori, ovvero allegati .GZ e .ZIP;
Mekotio è stato diffuso con due campagne, una a tema Documenti contenente un link per il download di un file .ZIP e una a tema Pagamenti con un allegato .ZIP contenente a sua volta un file .MSI;
Lokibot non si vedeva da un mese, ma è tornato in diffusione con una campagna a tema Documenti e un allegato .ZIP;
Darkside è la new entry della settimana: mai riscontrato in Italia è stato individuato dopo aver compromesso la BCC di Roma.

Le campagne di phishing della settimana 24 – 30 Aprile
Le campagne di phishing hanno riguardato e coinvolto 13 brand. Ancora il settore bancario è quello più colpito, di nuovo Intesa Sanpaolo il brand più sfruttato: stavolta però è in compagnia di Unicredit e ING. Ecco i dettagli:

Intesa e Unicredit sono state sfruttate con 4 campagne di pshihing a testa: contenevano link che puntavano su domini creati appositamente per il furto dati e registrati tutti molto recentemente;
ING è stata riguardata da tre campagne di phishing a tema Banking: anche in questo caso l’email conteneva un link a pagine di phising predisposte con un form di inserimento dei dati dell’account bancario / conto corrente;
BPER, IWBank, Nexi, MPS e Ubibanca completano il quadro delle campagne di phishing a tema banking;
Account sospeso, Zimbra e Full Inbox sono state campagne di phishing generiche finalizzate al furto di credenziali dei servuzu di posta elettronica;
BRT e Amazon completano il quadro delle campagne di phishing.

Tipologia di file di attacco
Nel corso della settimana sono stati individuati, come file vettore, 5 diverse tipologie: capofila per numero di individuazioni il formato archivio .ZIP, seguito dal formato .APK spinto dalle massive campagne SMS di Flubot.

01[1]

WeSteal, il primo malware as a service made in Italy venduto nel World Wide Web

giovedì 6 maggio 2021
WeSteal, il primo malware as a service made in Italy venduto nel World Wide Web

Gli esperti di sicurezza della unit24 di Palo Alto Network hanno lanciato, qualche giorno fa, un alert riguardante un nuovo malware chiamato WeSteal. Da quella che doveva essere una comune analisi di un malware nuovo, come succede tutti i giorni, sono però emersi particolari molto interessanti che puntano i riflettori sull’Italia.

Infatti WeSteal, del quale rendiamo sotto un riassunto dell’analisi tecnica, è prodotto e distribuito secondo la forma organizzativa del malware as a service (MaaS) da ComplexCodes, una programmatore che vende questi prodotti nel World Wide Web ed ha sede in Italia (il sito wesupply.to è attualmente irraggiungibile).

WeSteal è stato inizialmente pubblicizzato, con strutturate campagne di marketing, nei forum dell’underground web da Febbraio 2021: ComplexCodes non è nuova a queste operazioni, dato che già nel Maggio 2020 aveva messo in vendita un altro malware, chiamato “WeSupply Crypto Stealer”. Anzi, le analisi hanno mostrato come WeSteal sia una semplice evoluzione dello stesso progetto: il cambio nome può dipendere dalle (aggressive e articolate) campagne marketing di cui WeSupply si rende protagonista (qualche esempio sotto)

Ma non è, questo, il primo progetto del produttore di malware italiano: ComplexCodes, infatti, è già noto per aver prodotto malware come Zodiac Crypto Stealer e Spartan Crypter, sempre specializzati nel furto di criptovalute e caratterizzati da un alto livello di offuscamento del codice per evadere le individuazioni da parte delle soluzioni di sicurezza.

Non solo: ComplexCodes non si occupa soltanto di fornire servizi per il furto di criptovaluta, ma ha anche messo a disposizione WeControl, un remote access tool (RAT) per accedere da remoto ai sistemi violati. Inoltre risulta affiliata ad un sito web che rivende account rubati per servizi di streaming come Netflix o Disney+, ma anche a servizi VPN come NordVpn. Non poteva mancare, ovviamente, un servizio per attacchi DDoS, chiamato Site Killah: sotto è possibile vedere l’annuncio pubblicitario del servizio, estratto dal sito wesupply.to

Banner pubblicitario di Site Killah

WeSteal: che cosa fa
WeSteal è pensato per il furto di criptovalute dalla vittima, puntando ai wallet Bitcoin, Ethereum, Litecoin, Bitcoin Cash e Monero. Il suo funzionamento è piuttosto banale: semplicemente, quando il proprietario di un computer infetto esegue la copia, negli appunti di sistema, di un link con una sintassi che richiama o è simile a quella di un indirizzo di un wallet di criptovaluta, il malware modifica tale contenuto modificando l’ID del wallet. La vittima quindi non si renderà neppure conto di stare dirottando il trasferimento richiesto su un conto diverso, ovvero di colui che ha affittato il malware da Wesupply.

Inoltre il malware viene fornito ai “clienti” con un sistema di offuscamento per eludere l’individuazione da parte delle soluzioni antivirus e con una dashboard dalla quale verificare e tracciare l’attività sui dispositivi compromessi.

La pagina di pubblicizzazione del RAT We Control sul sito del “produttore”

Quanto costa WeSteal?
Il malware è offerto come MaaS (malware as a service) tramite abbonamenti, tra l’altro a prezzi stracciati: 20 euro per un mese, 50 euro per 3 mesi e 125 euro per un anno.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy