01[3]

La datificazione della realtà: un viaggio virtuale in auto nella rete, ma siamo noi stessi la destinazione finale

lunedì 14 giugno 2021
Avv. Gianni Dell’Aiuto

Che cosa sarebbe il mondo digitale e come vivremmo questa rivoluzione, appunto digitale, senza dati? Domanda assolutamente improponibile, perché l’intero sistema è fatto sulla base di dati e sempre i dati sono indispensabili per far muovere la macchina: i dati che passano in rete ogni giorno sono la benzina del motore che, senza, sarebbe assolutamente un marchingegno inutile. Per meglio comprendere il nostro paragone automobilistico e fare alcune indispensabili precisazioni terminologiche su parole usate indiscriminatamente quali sinonimi l’una dell’altra, proviamo ad immaginare un viaggio in cui le macchine sono i nostri strumenti hardware: computer, cellulari, tablet. Queste macchine viaggiano idealmente in un enorme spazio virtuale che è il web: i siti sono punti che incontriamo nel nostro viaggio o possibili destinazioni come città, caselli autostradali ecc. Queste destinazioni sono collegate tra loro dalle strade secondo le regole di internet che possiamo, in questo, paragonare a una rete stradale. Il motore è rappresentato dal software di ogni singolo mezzo.

E la benzina? Non è l’energia con cui mandiamo avanti i dispositivi o carichiamo le batterie: sono i dati. Senza i dati immessi dagli utenti le macchine potrebbero al massimo dialogare una con l’altra o poco più e non riuscirebbero ad indicare agli internauti i percorsi che, si noti la bizzarria, iniziano sapendo con assoluta certezza la destinazione a cui vogliamo giungere e che noi indichiamo o come prodotto o come landing page.

Ed infatti, sia che si chieda un prodotto o un servizio da acquistare, sia che si voglia dialogare con qualcuno, il sistema sa già dove e come portarci a destinazione. Stiamo ovviamente parlando di piattaforme di ricerca. Ma per farlo il sistema ha bisogno di informazioni che può raccogliere solo dagli utenti che possono darle volontariamente o involontariamente se non addirittura contro la loro volontà come in caso di furti di dati: è il futuro che abbiamo voluto noi e dal quale non sembra certo possibile tornare indietro.

Prima online passavano solo messaggi diretti tra due utenti: potevamo già anche cercare qualsiasi cosa in rete, ma all’epoca dei siti statici, quelli del web 1.0 se si fosse cercato il signor Rossi avremmo corso il rischio di imbatterci in persone con i capelli rossi, tonalità di vernice e idee politiche. I sistemi di ricerca erano elementari e gli algoritmi non sviluppati quanto lo sono oggi.

Poi siamo passati al web dinamico o 2.0, quello in cui le macchine possono meglio dialogare tra loro tramite intermediari e gli utenti inserire contenuti in tempo reale ed interagire con il resto del mondo. Si passa dai siti personali statici ai blog e la comunicazione cambia completamente sull’intero pianeta. Adesso ben possiamo dire che siamo al web semantico, vale a dire un ambiente in cui documenti, pagine, immagini sono già associati ad informazioni e dati che ne specificano il contesto. L’ideale per la ricerca di chi vuole trovare il signor Mario Rossi che vive a Milano in Via Mondovì di professione meccanico e, con l’occasione, possiamo già avere abbinati, per facilitare la ricerca, anche i dati della famiglia e altro ancora.

Sarà possibile? Già avviene a noi stessi che, nel momento di una ricerca su un qualsiasi motore diventiamo, per uno strano meccanismo proprio noi, sedicenti ricercatori, il prodotto ricercato. Lo sappiamo bene. Se digitiamo il nome di un cantante, nei prossimi giorni saremo portati a conoscenza della sua discografia e delle tappe del prossimo tour; se compriamo un biglietto per Parigi ci indicheranno, in tempo reale, i ristoranti e gli hotel migliori e anche gli sconti per i musei.

Noi crediamo di essere i manovratori del veicolo, ma siamo i benzinai e fornitori del petrolio che il sistema provvede a raffinare in un processo di datificazione, che, per far funzionare al meglio l’intero sistema, deve ridurre tutte le informazioni che riceve a dati misurabili e valutabili economicamente: è un futuro ineluttabile. Ogni tipo di relazione e interazione online, a cominciare dai like sui social, è parte di questo futuro che già viviamo e sarà portato ancora più avanti con sistemi di data mining con macchine che dialogheranno tra loro utilizzando sempre meno il fattore umano e l’Intelligenza Artificiale.

E continueremo ad apportare carburante al sistema per diventare sempre più numeri.

01+28129+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 18 giugno 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 29 campagne dannose con obiettivi Italiani. Soltanto 67 gli indicatori di compromissione (IoC) messi a disposizione.

I malware della settimana 5 - 11 Giugno
E' stata una settimana, quella scorsa, quanto mai tranquilla. Sono state individuate in distribuzione soltanto due famiglie malware, che sono state:

Lokibot, che torna sulle scene dopo una settimana di pausa. Le campagne sono state tutte a tema "Pagamenti": l'email vettore, camuffata come comunicazione ufficiale della banda Santander, veicolava allegati .ZIP;
Trickbot torna in diffusione con una campagna a tema "Documenti": le email vettore contenevano allegati .XLSB con macro dannosa che, se abilitata, ha funzionalità di dropper del malware.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 5 - 11 Giugno
Le campagne di phishing individuate hanno riguardato 17 brand, la maggior parte dei quali appartenenti al settore bancario.

BPM, Poste, ING, Intesa Sanpaolo e Findomestic sono i brand del settore bancario maggiormente presi di mira per le campagne a tema "Banking";
MPS, Unicredit, BNL, Nexi, BPER, Credem, UbiBanca invece chiudono il quadro delle campagne a tema bancario, per quanto meno sfruttati in un minor numero di campagne;
BRT, Premi, Amazon, Email generic, Netflix invece sono le campagne di phishing mirate contro i clienti dei rispettivi servizi, al fine di furto delle credenziali di posta elettronica e, da quello, degli account dei relativi servizi.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

01[1]

Il ransomware Avaddon è risolvibile: interrotte le operazioni e rese disponibili le chiavi di decriptazione

lunedì 14 giugno 2021
Il ransomware Avaddon è risolvibile: interrotte le operazioni e rese disponibili le chiavi di decriptazione

Il gruppo di cyber attaccanti responsabili del ransomware Avaddon (ne abbiamo parlato qui) ha deciso di sospendere tutte le operazioni collegate al ransomware. Sono state rese disponibili anche le chiavi di decriptazione, anche se con uno stratagemma peculiare: qualche giorno fa infatti la redazione della rivista specializzata Bleeping Computer ha ricevuto un messaggio anonimo il cui mittente affermava di far parte dell'FBI. Il messaggio recava con se un file archivio .ZIP protetto da password e contenente le chiavi di decriptazione per tutte le vittime del ransomware Avaddon:

Fonte: https://www.bleepingcomputer.com

Le chiavi sono effettivamente funzionanti e quindi è ora possibile procedere alla decriptazione dei file criptati senza cedere al ricatto degli attaccanti e pagare il riscatto. Chi avesse bisogno di assistenza può contattarci all'indirizzo email alessandro@nwkcloud.com o tramite il sito https://www.decryptolocker.it

La gif sotto mostra la decriptazione di test effettuata dai tecnici di BleepingComputer

Fonte: https://www.bleepingcomputer.com

L'archivio contiene 2934 chiavi di decriptazione, ognuna delle quali corrisponde ad una specifica vittima.

Avaddon in breve
Le operazioni di diffusione del ransomware Avaddon sono iniziate nel Giugno 2020: la prima campagna di diffusione vide l'uso di semplici email di phishing

Avaddon è stato una RaaS (ransomware as a service): inizialmente non ha impensierito molto poiché presentava una bassissima attività, ma questa è andata piano piano incrementando grazie al suo Programma di affiliazione. Avaddon era, come ormai va di moda nel mondo dei ransomware, un servizio tramite il quale un team di sviluppatori mette in affitto il codice del malware, tool e strumenti di gestione / analisi ad una serie di affiliati: gli affiliati si occupano della distribuzione del ransomware e versano una commissione su quanto guadagnato tramite i riscatti ai gestori del servizio. Da questo punto di vista Avaddon era così organizzato da disporre pure di una pagina di supporto alle vittime, dove sono fornite ulteriori e indicazioni per utenti poco esperti

Ad ora sono circolanti due diverse versioni e sono entrambe risolvibili:

prima versione con estensione di criptazione .avdn
seconda versione con estensioni di criptazione variabili. Ad esempio .adDECCCaEe; .baaCEdCdBb ecc...

01+28129+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 11 giugno 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AgID ha individuato e analizzato un totale di 31 campagne dannose con obiettivi Italiani: 319 sono stati gli indicatori di compromissione (IOC) individuati.

I malware della settimana 29 Maggio - 4 Giugno
Le famiglie malware individuate in diffusione sono state 5, per un totale di 7 campagne. Ecco la lista dei malware:

Formbook si conferma il malware più diffuso per la 3° settimana consecutiva. E' stato in diffusione con campagne mirate a tema ordini e/o pagamenti: le email vettore utilizzavano allegati in formato archivio .ZIP e .RAR;
sLoad è stato veicolato con una campagna a tema Pagamenti diffusa sfruttando account PEC compromessi. La campagna è stata individuata e contrastata grazie agli sforzi congiunti di CERT AGID, Vigilanza AGID e i provider PEC. Contestualmente è stato diramato un alert per avvisare gli utenti della minaccia;
Ursnif è stato veicolato tramite email a tema Delivery: le email veicolavano allegati in formati XLSM contenenti una macro dannosa;
Guloader è stato diffuso con una campagna mirata per l'Italia: le email, a tema pagamenti, contenevano allegati .ZIP contenenti un altro archivio, in formato .GZ. L'eseguibile del malware, in formato .EXE, si annidava nell'archivio .GZ;
Bitrat torna in diffusione dopo 5 mesi di assoluto silenzio: individuata una campagna a tema ordine con allegati in formato .XLSX.
Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Bitrat in breve
Bitrat è un Remote Access Trojan: consente all'attaccante di controllare il dispositivo infetto tramite comandi inviati da una serie di server C2. Può avere accesso alla webcam, registrare le battiture sulla tastiera, sfruttare il dispositivo per il mining di criptovaluta e scaricare e eseguire upload di altri file sul sistema infetto.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 29 Maggio - 4 Giugno
Le campagne di phishing hanno visto il coinvolgimento di 12 brand: la novità della settimana è che c'è un "pari merito" per numero di campagne di phishing tra quelle classificate come "email generic" a tema investimenti con finalità di truffa Bitcoin e le classiche campagne phishing a tema Banking. Ecco i dettagli:

Scam BTC: sono state ben 7 le campagne a tema Investimenti che hanno preso di mira sia enti pubblici che utenti privati. Il CERT-AGID ha diffuso, sul tema, un apposito alert con i relativi IoC
Microsoft invece è stato sfruttato per campagne di phishing finalizzate al furto delle credenziali di accesso ai servizi Microsoft;
Intesa Sanpaolo e Poste si confermano i brand più sfruttati per le campagne a tema Banking;
UnipolSai, Nexi, ING e Unicredit chiudono la panoramica dei brand sfruttati per campagne di phishing a tema Banking;
Zimbra e Full Inbox sono stati usati per campagne generiche mirate al furto di credenziali di servizi di posta elettronica;
WeTransfer è stato sfruttato in campagne di phishing in inglese, che però hanno visto come destinatari anche alcune PA italiane. L'email a tema Documenti cercava di sottrarre credenziali di accesso al servizio WeTransfer.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware troviamo una novità: se il formato archivio .ZIP si conferma il più utilizzato, a pari merito però si trova il formato eseguibile .exe. I formati archivio comunque vanno "alla grande" con campagne che hanno visto l'uso dei formati .7z, .rar, .gz. Seguono i formati file Excel .xlsx e .xlsm e il formato .pdf

Fonte: https://cert-agid.gov.it
Pubblicato da s-mart Informa a 11:31
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest
Etichette: accessoremoto, banking malware, CERT, criptovalute, enterprise IT security, furtodati, Italia, malware, phishing, Trojan

01[1]

La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

lunedì 7 giugno 2021
La svolta del governo statunitense contro i ransomware potrebbe essere una grande lezione per noi

Non è tutta "colpa" dell'attacco ransomware al gasdotto Colonial Pipeline, ma non è improprio dire che quell'evento sia stato la goccia che ha fatto traboccare il vaso e portato il Governo degli Stati Uniti ad impugnare sul serio le armi contro la minaccia ransomware: minaccia che, per scelta di Biden, è divenuta un affare di sicurezza nazionale che si interseca con le relazioni estere e la politica internazionale.

D'altronde scoprire che milioni di statunitensi hanno rischiato di rimanere senza carburanti mentre il prezzo del gasolio superava per la prima volta i 3 dollari al litro, tutto a causa di una password VPN rubata e acquistata nel dark web (questa pare essere stata la breccia sfruttata dai gestori del ransomware Darkside per violare la rete del sistema Colonial Pipeline) è un duro colpo: da una sola password può dipendere l'approvvigionamento di carburante o acqua a milioni di persone, da una sola falla può dipendere l'efficienza o meno di un ospedale o di un interno sistema sanitario (come tristemente ci insegna la vicenda che ha riguardato il sistema sanitario irlandese).

La nuova strategia antiransomware del governo USA

Il Presidente Biden, poco dopo l'attacco al Colonial Pipeline, oltre a dichiarare lo stato di emergenza ha firmato un ordine esecutivo per mettere in sicurezza le infrastrutture critiche USA: scopo di questo atto è stato quello di rafforzare la resilienza sia di autorità ed enti pubblici che delle imprese private. A partire da un punto: la condivisione delle esperienze. L'ordine infatti prevede che i provider di servizi IT condividano le informazioni relative ai cyber attacchi con il Governo federale.
Conoscere il nemico è fondamentale per sapersi difendere e quindi scegliere i migliori strumenti: nulla viene lasciato al caso e la lista delle "misure urgenti e necessarie" è chiara:

autenticazione a due o più fattori;
architettura delle reti "Zero Trust";
adozione di tecnologie cloud quali Software as a Service (SaaS); Infrastructure as a Service (IaaS) e Platform as a Service (PaaS);
formazione del personale;
patch management per mantenere i sistemi sempre aggiornati e sicuri.
Ma non finisce qui: l'ordine parla apertamente dell'urgenza della messa in sicurezza delle supply chain. D'altronde, l'attacco al Colonial Pipeline non è stato l'unico duro colpo subito dagli USA: il supply chain attack che ha visto protagonista la piattaforma SolarWind di Orion ha reso chiaro come basti un punto di accesso per raggiungere in maniera capillare le reti di centinaia di migliaia di aziende ed enti. E se questo rischio è vero in generale, ancora di più lo è per quei servizi critici usati dalle agenzie federali. Ecco che Biden ha previsto quindi specifici standard per i software che verranno adottati dal Governo: standard che, se non rispettati, saranno discriminanti sulla possibilità di adozione dei software.

Infine è stato istituito il Cyber Satety Review Board, composto da esponenti incaricati dal governo e di aziende private, che sarà convocato in caso di attacco informatico di livello rilevante o critico: il Board dovrà analizzare l'evento e valutare possibili soluzioni, elaborando anche un protocollo per la messa in sicurezza informatica della rete / delle reti colpite.

L'ordine esecutivo non basta
Inutile dire come l'ordine esecutivo, che comunque traccia degli obblighi piuttosto chiari, sia in realtà una specie di toppa per tappare un buco che, però, ha bisogno di una soluzione duratura. Soluzione duratura che non può essere diversa da una vera e propria nuova strategia di gestione della cybesecurity. A partire dalle aziende: l'amministrazione Biden ha chiesto a tutte le aziende americane di seguire gli standard di sicurezza che il governo stesso impone alle agenzie federali e ai suoi fornitori. Una novità non da poco, in un sistema che, fino ad ora, ha previsto la totale libertà da parte delle aziende private in termini standard di cyber security e data protection.

Per la prima volta poi Biden ha annunciato che la Casa Bianca è già al lavoro per organizzare un sistema di tracciamento dei pagamenti in criptovaluta, notoriamente usati dai cyber criminali per estorsioni anonime: la volontà è quella di arrivare a bloccare i pagamenti legati ad estorsioni da cyber attacchi (la doppia estorsione dei ransomware), ma anche quella di imporre policy di trasparenza agli exchange di criptovaluta.

La questione si internazionalizza: il problema non è di un singolo Stato
L'ultimo punto della strategia messa in campo da Biden è quella di intervenire direttamente contro i gruppi di cyber criminali: gruppi che, per quanto riguarda gli attacchi subiti in Occidente, hanno spesso sede in paesi come Russia, Cina, Corea del Nord ecc.. Impossibile quindi sgominare queste bande senza la collaborazione dei paesi in cui hanno sede: del tema Biden e Putin discuteranno il 16 Giugno. Insomma accordi bilaterali in vista, ma sarà da vedere di che tipologia ed entità: sono sempre più forti e insistenti le voci che chiedono al Governo statunitense di equiparare u attacco ransomware ad un atto di terrorismo.

Eppur si muove: anche l'Italia verso la guerra ai ransomware e al cybercrime
Una parte del PNRR promosso dal Governo Draghi va proprio nella direzione (anzi qui siamo ad una vera e propria rincorsa) di dotare il nostro paese di strutture, infrastrutture e una governance che sia all'altezza dei tempi. Il PNRR arriva infatti proprio mentre è in corso l'approvazione dei vari decreti attuativi necessari al completamento del Perimetro di cyber security nazionale (ne abbiamo parlato qui e qui più specificatamente), mentre si fa sempre più strada la volontà di creare una agenzia di cyber security nazionale separata dal DIS.

01[1]

Vulnerabilità critiche in VMware: attacchi già in corso?

giovedì 10 giugno 2021
Vulnerabilità critiche in VMware: attacchi già in corso?

VMware ha pubblicato, a fine Maggio, un alert urgente che invita i suoi utenti a patchare urgentemente alcune vulnerabilità che impattano i vCenter Server: l'alert rivela l'esistenza delle vulnerabilità contestualmente alla pubblicazione delle patch, nella speranza che i cyber attaccanti non abbiano il tempo di sfruttarle. Ecco perchè l'alert invita caldamente gli utenti a patchare prima possibile le vulnerabilità, collegandole direttamente al rischio ransomware.

vCenter Server è una soluzione di gestione dei server che aiuta gli amministratori IT a gestire macchine virtuali e host virtualizzati negli ambienti aziendali tramite una console centralizzata.

La prima vulnerabilità, la CVE-2021-21985 impatta i vCenter Server 6.5, 6.7 e 7.0: qui è consultabile l'avviso di sicurezza. Questa vulnerabilità può essere sfruttata da remoto da un attaccante non autenticato tramite un attacco piuttosto semplice che non richiede alcuna interazione da parte dell'utente.

"il vSphere Client (HTML5) contiene una vulnerabilità di esecuzione di codice da remoto dovuto alla mancata validazione degli input nel plugin Virtual SAN Health Check, che è abilitato di default nei vCenter Server" spiegano da WMware. "Un attaccante con accesso alla porta 443 può sfruttare questa vulnerabilità per eseguire comandi con privilegi illimitati nel sistema operativo ospitato dal vCenter Server".

Il problema riguarda chiunque usi vCenter Server, perchè, in uso o meno, Virtual SAN Health Check è abilitato di default.

La seconda vulnerabilità segnalata da VMware è la CVE-2021-21986, di livello medio di rischio: è presente nei plugin Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e VMware Cloud Director Availability ed è collegata ad alcuni problemi nel meccanismo di autenticazione.

Queste vulnerabilità sono già sfruttate per attaccare le aziende?
Alla richiesta di patching urgente di WMware ha fatto eco anche un avviso da parte del CISA (Cybersecurity and Infrastructure Security Agency), che ha invitato tutte le aziende statunitensi e non solo ad installare gli aggiornamenti. Segno che la paura di nuovi attacchi a tappeto contro le aziende sfruttando vulnerabilità conosciute e già patchate c'è ed è alta: ancora sono in corso, ad esempio, attacchi contro enti e aziende che sfruttano le vulnerabilità ProxyLogon dei Server Microsoft Exchange, nonostante queste siano risolte da tempo.

A rinfocolare i timori comunque è il fatto che online si sono già diffusi, in pochissimi giorni, una serie di Proof Of Concept di exploit, vere e proprie "bozze di codice" pensate per attaccare le aziende "passando" da WMware.

Stime di massima parlando i oltre 6000 sistemi vulnerabili.
Già dai primi di Giugno moltissimi ricercatori di sicurezza hanno iniziato a denunciare scansioni di massa in cerca di vCenter Server WMware vulnerabili. La prima a denunciare l'attività di scanning in corso è stata l'azienda di threat intelligent Bad Packets, mentre il motore di ricerca di dispositivi connessi ad Internet Shodan conferma che sono centinaia i server vCenter raggiungibili tramite Internet e vulnerabili.

01[1]

Le patch, queste sconosciute: ecco Epsilon Red, il nuovo ransomware che bersaglia i server Microsoft Exchange (ancora) vulnerabili a ProxyLogon

martedì 1 giugno 2021
Le patch, queste sconosciute: ecco Epsilon Red, il nuovo ransomware che bersaglia i server Microsoft Exchange (ancora) vulnerabili a ProxyLogon

La vicenda legata a Proxylogon, l'insieme di vulnerabilità che affliggono i server Microsoft Exchange e che sono state usate per violare vittime di alto livello (ma non solo), pare essere ancora lontana dal trovare una soluzione. Paradossalmente, perché le 4 vulnerabilità che costituiscono ProxyLogon sono state già risolte da Microsoft ormai tempo fa: il problema quindi, di nuovo, sta nel fatto che gli utenti non installano la patch. La situazione si è fatta così grave e preoccupante, sia per la tipologia che per il numero di attacchi portati sfruttando ProxyLogon, da aver obbligato qualche tempo fa l'NSA a intervenire in prima persona rimuovendo le web shell dai server compromessi addirittura senza avvisare i proprietari.

Per approfondire > Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

ProxyLogon è stato ampliamente pubblicizzato e, una volta capite le potenzialità di queste falle, cyber criminali in tutto il mondo hanno iniziato a scansionare a tappeto il web in cerca di server che mostrassero queste vulnerabilità. Il perché è semplice: ProxyLogon è una vera e propria porta aperta sui server Microsoft e può essere sfruttata (e già lo è) per portare svariate tipologie di attacchi, ransomware compresi. E qui che entrano in gioco DearCry e, la scorsa settimana, Red Epsilon.

Il primo attacco con Red Epsilon è stato individuato la scorsa settimana dai ricercatori di sicurezza di Sophos, che hanno scoperto che un attore esterno illegittimo era riuscito ad accedere alla rete aziendale di un loro cliente sfruttando appunto il set di vulnerabilità ProxyLogon. Le analisi hanno permesso di scoprire che Red Epsilon è scritto in linguaggio GO e che la sua esecuzione è preceduta da un set unico di 12 script Powershell che hanno lo scopo di preparare il terreno alla criptazione di routine. Questi script hanno infatti specifici scopi:

terminare processi e servizi relativi a tool di sicurezza, database, programmi di backup, applicativi Office, client Email;
cancellare le Volume Shadow Copies per impedire il ripristino dei dati;
rubare il file Security Account Manager contenente gli hash delle password;
cancellare i log degli Eventi di Windows;
disabilitare Windows Defender;
sospendere processi;
disinstallare tool di sicurezza;
espandere le permissioni sul sistema.
Uno di questi 12 script sembra un clone del tool per il penetration testing Copy-VSS

Script ed eseguibili di Red Epsilon. Fonte: Sophos

Una volta entrati nella rete, gli attaccanti usano il RDP e il Windows Management Instrumentation (WMI) per installare software ed eseguire gli script Powershell: solo alla fine viene distribuito l'eseguibile di Red Epsilon. Contestualmente a queste operazioni, gli attaccanti installano anche Remote Utilities, un software commerciale per operazioni di desktop remoto, e Tor Browser: con questi ultimi passaggi gli attaccanti si garantiscono una porta aperta da sfruttare anche nel caso dovessero perdere il punto di ingresso iniziale.

Come tutti i ransomware, Red Epsilon copia la nota di riscatto in ogni cartella contenente file criptati: nella nota vi sono le istruzioni per contattare gli attaccanti e negoziare un prezzo per il tool di decriptazione. La nota di riscatto appare molto molto simile a quella usata dal famigerato ransomware REvil. Le uniche differenze sono legate al fatto che i gestori di Red Epsilon hanno corretto alcuni errori sintattici e grammaticali commessi dalla banda di REvil, che si suppone essere di lingua russa.

Fonte: bleepingcomputer.com

Ad ora figurano, sul conto Bitcoin degli attaccanti, già vari pagamenti, il più alto dei quali equivale a circa 210.00 dollari: non male per un ransomware attivo da meno di 10 giorni.

01+28129[1]

Nuova variante della campagna email sLoad si diffonde via PEC: il CERT interviene e la blocca prima che possa diffondersi

lunedì 31 maggio 2021
Nuova variante della campagna email sLoad si diffonde via PEC: il CERT interviene e la blocca prima che possa diffondersi

La scorsa settimana, sLoad è stato messo in distribuzione tramite email di spam veicolate entro il circuito PEC: la campagna era mirata contro utenti italiani, le email veicolavano un allegato .ZIP contenente, a sua volta, un altro allegato .ZIP.

La campagna è stata a tema "Pagamenti", oggetto email era [RAGIONE_SOCIALE]: entro l'allegato .ZIP è annidato uno script WSF usato come dropper, per scaricare appunto il malware sLoad. La cosa interessante è stata che questa campagna malware è stata contrastata grazie al contributo dei gestori PEC coinvolti.

L'email della campagna sLoad della scorsa settimana. Fonte: https://cert-agid.gov.it/

Ora, a distanza di una settimana, il giro si ripete: una nuova campagna di distribuzione di sLoad, veicolata via PEC, è iniziata nella tarda serata del 30 Maggio ed è terminata qualche ora dopo.

L'email della campagna sLoad di questa settimana. Fonte: https://cert-agid.gov.it/

Le variazioni rispetto alla precedente campagna sono minime: non cambiano né modalità di diffusione né tema usato (sempre Pagamenti). Le modifiche riguardano il testo, leggermente cambiato, è il formato del file vettore allegato, che passa da .ZIP ad un altro formato archivio, ovvero .7Z. Non cambia invece il file contenuto nell'archivio. Anche il giorno per la distribuzione non è cambiato: le campagne sLoad iniziano sempre la domenica sera, poco prima della mezzanotte.

Anche stavolta però, il CERT ha contrastato la campagna: già Domenica sera sono iniziate le prime segnalazioni all'indirizzo email che il CERT ha messo a disposizione degli utenti per segnalare cyber attacchi (malware@cert-agid.gov.it). Di nuovo, la pronta collaborazione con i Gestori PEC ha permesso di contrastare la campagna e, nei fatti, bloccarla prima che si diffondesse.

Qui gli indicatori di compromissione pubblicati dal CERT

sLoad in breve
sLoad è un malware con funzionalità di downloader / dropper di altri malware. Diffuso esclusivamente via campagne di email di spam, può raccogliere informazioni sui sistemi Windows infetti e inviarli al server di comando e controllo, dal quale riceve anche una serie di comandi secondo la tipologia della macchina colpita. Tali comunicazioni usano, sfortunatamente, il servizio BITS che Windows usa invece legittimamente per gli aggiornamenti del sistema operativo. Tra le informazioni sottratte dai sistemi ci sono anche gli elenchi dei processi in esecuzione, ma anche l'eventuale presenza di client di posta elettronica da "scassinare". Può inoltre acquisire screenshot, analizzare la cache DNS in cerca di precisi domini e, soprattutto, scarica ed esegue i payload di altri malware (principalmente ransomware e trojan).

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy