01+28129+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 24 settembre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

La scorsa settimana il CERT-AgID, ha individuato attive nello spazio italiano, 20 campagne dannose: 14 erano mirate contro obiettivi italiani, 6 invece sono state generiche ma veicolate anche in Italia.

I malware della settimana 11 – 17 settembre 2021

9 sono state le famiglie di malware individuate, per un totale di 12 campagne malware:

Lokibot è stato diffuso con 3 diverse campagne: una a tema Documenti ha visto l'uso di allegati immagine .ISO, due invece sono stati a tema Università con allegati .ZIP e .XLS;
Hancitor di nuovo in diffusone con due campagne generiche a tema Documenti: le email contenevano link e allegati .DOC. DI nuovo Hancitor è stato usato come "cavallo di troia" per veicolare CobaltSrike;
sLoad è stato diffuso con una campagna mirata a tema Pagamenti: la campagna è girata nel circuito PEC e ha visto l'uso di allegati .ZIP. Anche in questo caso, come già accaduto, il CERT ha contrastato la campagna in collaborazione coi provider PEC. Qui l'avviso pubblico rilasciato dal CERT;
AgentTesla è stato veicolato con una campagna mirata contro utenti italiani a tema Pagamenti: l'allegato usato era in formato .LZH;
Dridex e Remcos sono stati di nuovo in diffusione con due campagne, una a tema Pagamenti e una a tema Delivery, e veicolati tramite file Excel contenenti macro;
Vidar è stato invece individuato in diffusione per la prima volta in Italia con una campagna a tema Ordine ed allegati in formato PPAM;
Qakbot e Oski invece sono stati distribuiti con una campagna a testa, rispettivamente tema Resend e a tema Ordine.
Per approfondire > Alert del CERT: è in corso in Italia l'ennesima campagna di diffusione del malware Lokibot. Qualche info tecnica per restare al sicuro

Vidar in breve:
Vidar è un malware specializzato nel furto di informazioni: è distribuito principalmente via email o tramite l'installer di software commerciali crackati o tramite software keygen. Mira principalmente alle credenziali salvate nei browser o in altri software. I dati sottratti dai dispositivi infetti sono inviati e raccolti al server di C&C. Oltre alle credenziali dei servizi e dell'home banking, prende di mira anche i wallet di criptovaluta.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 11 – 17 settembre 2021
Le campagne di phishing individuate e analizzate sono state 8, con 6 brand coinvolti.

IntesaSanpaolo, MPS, Nexi e Poste sono stati i brand più sfruttati nelle campagne di phishing a tema bancario;
GLS è stata sfruttata per una campagna mirata contro utenti italiani clienti del servizio GLS;
Email generic: è stata individuata una campagna di phishing generica mirata al furto delle credenziali di accesso agli account di posta elettronica di vari servizi email

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, la fa da padrone il formato archivio .ZIP, seguito dagli immancabili file Office con macro, principalmente .DOC e .XLS. Una campagna ha visto l'uso dei file PPAM di Microsoft Power Point.

Fonte: https://cert-agid.gov.it/
Pubblicato da s-mart Informa a 11:39
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest
Etichette: banking malware, CERT, data breach, enterprise IT security, furtodati, Italia, malware, pec, phishing

01[1]

Trend cyber crime: la classifica delle vulnerabilità più sfruttate negli attacchi ransomware

martedì 21 settembre 2021
Trend cyber crime: la classifica delle vulnerabilità più sfruttate negli attacchi ransomware

Un gruppo di ricercatori ha stilato un elenco delle vulnerabilità che, secondo analisi e dati telemetrici, sono quelle attualmente più sfruttate da attacchi ransomware: sono le brecce che utilizzano per irrompere nei sistemi di aziende e utenti.

Tutti i dati sono stati riassunti una semplice tabella, pubblicata su Twitter: un materiale estremamente utile per mettersi al riparo dalle minacce attualmente più attive e perchè ribadisce l'importanza e la centralità del patch management. Sottolineando però un punto: la prevenzione diventa un'attività sempre più complessa nella quale assume sempre più rilievo l'analisi e lo studio delle minacce più diffuse per procedere a patching mirato. L'elenco riprende i prodotti più utilizzati e diffusi e, sotto, vi sono riportati gli identificativi CVE assegnati ad ogni singola vulnerabilità.

Fonte: https://twitter.com/uuallan/status/1438899102448820224

Ad ogni ransomware il suo ariete

Tra le vulnerabilità indicate troviamo quelle di QNAP ad esempio: il ransomware QLocker, di cui abbiamo reso una panoramica qui, ha sfruttato attivamente la CVE-2021-28799. Questa è già stata patchata, ma i dispositivi vulnerabili sono ancora tantissimi. La patch impedisce l'uso di credenziali hard-coded. Sempre i NAS QNAP, ma anche i NAS Synology sono stati sotto attacco del ransomware QNAPCrypt: questo sfrutta la CVE-2021-28799.
A metà 2021 il ransomware Cring ha invece sfruttato un bug della VPN Fortinet per criptare dispositivi vulnerabili alla CVE-2018-13379, anche questa già patchata.

A Luglio invece il ransomware HelloKitty ha colpito i dispositivi SonicWall sfruttando la CVE-2019-7481. In contemporanea REvil violava la piattaforma Kaseya determinando uno dei più gravi attacchi supply chain dell'anno: ben 3 le vulnerabilità sfruttate CVE-2021-30116, CVE-2021-30119 e CVE-2021-30120.

Ad Agosto il ransomware LockFile si è presentato sulle scene usando una combo devastante: la suite di vulnerabilità ProxyShell (l'insieme delle 3 vulnerabilità CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) e l'attacco PetitPotam, che sfrutta la CVE-2021-36942. Ricordiamo che per PetitPotam ad ora non ci sono soluzioni ufficiali, solo patch non ufficiali: qui l'alert di Microsoft.

A Settembre il ransomware Conti, vecchia conoscenza, ha iniziato a prendere di mira i server Microsoft Exchange, sempre sfruttando ProxyShell. Server Exchange che comunque sono sotto un vero e proprio assedio: la scoperta di 4 vulnerabilità 0day, denominate ProxyLogon ha scatenato attacchi in tutto il mondo da parte dei ransomware DearCry e BlackKingdom. ProxyLogon si compone di 4 vulnerabilità: CVE-2021-26855; CVE-2021-26857; CVE-2021-26858; CVE-2021-27065.

01[1]

REvil decrypted: risolvibile l'infezione ransomware

lunedì 20 settembre 2021
REvil decrypted: risolvibile l'infezione ransomware

REvil non ha bisogno di presentazioni: parliamo di un "top ransomware" divenuto popolarissimo dopo l'attacco contro Kaseya, uno dei più gravi attacchi di tipo "supply chain" avvenuti quest'anno. Prima di Kaseya aveva già colpito migliaia di utenti nel mondo, Italia compresa.

Dopo l'attacco a Kaseya col quale, in colpo solo, la cybergang del ransomware era riuscita a colpire oltre 60 MSP e più di 1500 aziende, il ransomware era improvvisamente e repentinamente scomparso: infrastruttura offline, irraggiungibile sito di leak e pagina di pagamento Tor, blocco totale della campagna di attacco.

Il 7 Settembre però REvil è tornato in grande spolvero: tornano attivi l'intera infrastruttura, il sito di leak che il gruppo di cyber attaccanti utilizza per pubblicare i dati rubati dalle vittime sotto ricatto, la pagina di pagamento / negoziazione Tor ecc... Tutte le vittime colpite in precedenza hanno visto ripartire da capo il timer e hanno ritrovato attive le loro richieste di riscatto. Il primo nuovo attacco, che certifica il ritorno in attività del ransomware, risale al 9 Settembre.

Ora arriva il duro colpo: è disponibile un master decryptor, grazie ad una fonte interna alla task force internazionale che da mesi sta cercando di abbattere l'infrastruttura del ransomware e individuarne i responsabili. Quindi, tutte le criptazioni avvenute in data precedente al 13 Luglio 2021 sono risolvibili.

I nostri tecnici sono già al lavoro per ricontattare coloro che già ci avevano chiesto assistenza: nuove vittime potranno richiedere il nostro supporto seguendo le procedure indicate sulla pagina web https://www.decryptolocker.it/

Dettagli utili al riconoscimento dell'infezione:

estensione di criptazione aggiunta ai file criptati: 5-9 caratteri random;
nota di riscatto:
[estensione di criptazione]-readme.txt;
[estensione di criptazione]-HOW-TO-DECRYPT.txt;
riferimenti delle pagine di pagamento: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/93FB0EB80E66B04B
http://decryptor[.]top/93FB0EB80E66B04B

Una versione della nota di riscatto

File criptati da REvil

00[3]

Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un'azienda chimica

venerdì 10 settembre 2021
Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un'azienda chimica

Ha colpito due volte in un solo giorno: prima vittima, Butali S.p.A che possiede la ben più nota catena di elettronica e elettrodomestici Euronics; subito dopo sotto attacco è finita anche 3V Sigma. Parliamo di ViceSociety, una nuova campagna ransomware. Nel frattempo i dati parlano chiaro: l'attenzione dei ransomware contro le aziende e gli enti italiani è tutt'altro che scemato. Anzi, sono stati portati ulteriori tentativi di attacco contro aziende italiane da parte del ransomware Lockbit: è stato ad esempio rilevato, sempre nella giornata di ieri, un tentativo di doppia estorsione ai danni dell'azienda chimica Tovo Gomma.

L'attacco contro Euronics è riuscito
Inutile dire che, tra i tanti, l'attacco subito da Euronics sta facendo più notizia rispetto ad altri. Intanto, una specifica: l'attacco è stato condotto contro la società Butali S.pA, che ha sede legale nei Paesi Bassi e che detiene parte della catena di elettronica di consumo.

L'attacco è confermato dalla presenza, sul sito di leak collegato al ransomware Vice Society, di una parte dei dati rubati.

I dati rubati sono molteplici, ma colpisce la presenza di liste di username e password in chiaro all'interno di semplici file .xls. Vi sono contenuti, probabilmente, gli accessi alle reti delle varie filiali. E' presente perfino una coppia user e password di accesso amministrativo ad un'area riservata: qui è possibile vedere, calendari, prenotazioni, servizi offerti dai negozi.

Fonte: https://www.redhotcyber.com

Tra i dati rubati, che riguardano per la maggior parte negozi Euronics tra Toscana e Umbria, troviamo inventari, fatture, informazioni di budget, planning, offerte future, fatture, procedure interne ecc... ma anche i dati dei clienti non sono in salvo.

Da Redhotcyber, tra i primi a dare la notizia, fanno sapere anche del ritrovamento di un registro nel quale sono visibili, dal 2018 a oggi, le chiamate che le varie filiali hanno fatto ad una serie di clienti: nel file si trovano informazioni personali dei clienti come nome e cognome, indirizzo, numero di telefono ecc...

Fonte: https://www.redhotcyber.com

Ad ora non ci sono aggiornamenti e l'azienda non ha rilasciato alcuna dichiarazione pubblica.

Vice Society: qualche info tecnica
Comparso verso la metà del 2021 sui radar dei ricercatori, Vice Society è divenuto famoso per l'uso di exploit per l'insieme di vulnerabilità di Windows chiamate PrintNightmare. In dettaglio sono 3:

CVE-2021-1675,
CVE-2021-34527,
CVE-2021-36958
e affliggono lo spooler di stampa di Windows. Se correttamente sfruttate consentono ad un attaccante i privilegi di amministrazione, quindi la possibilità di eseguire codice arbitrario e di eseguire movimenti laterali nelle reti.

Patchate il 10 Agosto, queste falle sono ancora sfruttate non solo perchè sono ancora molti i sistemi vulnerabili, ma anche perchè la patch sembra non essere definitiva: alcuni ricercatori hanno infatti verificato che il blocco dell'esecuzione di codice da remoto può venire facilmente aggirato con una semplice modifica degli exploit usati.

Vice Society aggiunge ai file criptati l'estensione di criptazione v.society.

Fonte: https://twitter.com/demonslay335

00[1]

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

giovedì 9 settembre 2021
Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L'attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma "la quasi totalità delle credenziali VPN risulterebbero ancora valide" (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password.

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l'attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all'uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come "Orange", già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove.

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.

Quasi in contemporanea, sulla pagina di leak del ransomware Groove è apparsa la comunicazione del leak subito da Fortinet VPN

Il sito di leak di Groove. Fonte: bleepingcomputer.com
In entrambi i casi, il link rimanda ad un file ospitato su un server di storage Tor, già usato dagli attaccanti di Groove per ospitare i file rubati e ricattare le vittime. Secondo il ricercatore di sicurezza Vitali Kremez c'è da pensare che "il leak SSL VPN sia stato probabilmente realizzato per promuovere il nuovo forum di hacking RAMP, offrendo un omaggio agli aspiranti operatori ransomware".

Non è dato sapere quante delle credenziali relative a 498,908 account siano ancora valide: la redazione di Bleeping Computer però, dopo verifica, ha confermato che tutti gli indirizzi IP testati sono server Fortinet VPN. Ulteriori analisi condotte da Advanced Intel mostrano che gli IP indicano dispositivi sparsi nel mondo, di questi quasi l'8% sono in Italia. Prime stime dicono che le aziende esposte al leak siano 22.500, sparse nel mondo, ma una 40ina sarebbero aziende italiane.

La vulnerabilità CVE-2018-13379, già patchata
Stando a quanto dichiarato da alcuni ricercatori, le credenziali potrebbero essere state sottratte tramite data scraping sfruttando una vulnerabilità nota, la CVE-2018-13379: questa vulnerabilità affliggeva il sistema operativo FortiOS installato su alcuni dispositivi Fortigate, ma è stata già corretta. Il problema era così grave da aver portato perfino l'FBI, insieme alla CISA (Cybersecurity and Infrastructure Security Agency), ad allertare le aziende su questo advanced persistent threat (APT) usato già in molte occasioni per attacchi contro server Fortinet FortiOS, puntando molto l'attenzione sul fatto che tale vulnerabilità avrebbe condotto a leak utilissimi per portare futuri attacchi.

La disposizione geografica dei server violati. Fonte: ADVIntel

01+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 - 27 Agosto

venerdì 3 settembre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 - 27 Agosto

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 21 - 27 Agosto
Nel corso della settimana, sono state individuate 18 campagne dannose in diffusione nello spazio italiano: 4 di queste sono state campagne generiche, 14 invece miravano ad obiettivi Italiani. 623 gli indicatori di compromissione individuati.

7 le famiglie malware individuate in diffusione, 12 le campagne malware totali. In dettaglio, i malware più diffusi sono stati:

Formbook, distribuito con 4 campagne diverse, due in italiano a tema "ordine", due generiche. Le email contenevano allegati in formato LZH, XZ e EXE. Un solo caso riportava un link ad un file ISO;
Hancitor, diffuso con due campagne diverse: una è stata generica a tema "documenti" e una invece italiana a tema "pagamenti". Entrambe presentavano lo stesso schema: le email contenevano il link per il download di un file .DOC. Come già visto, Hancitor è stato usato per distribuire CobaltStrike;
Lokibot invece è stato distribuito solo con campagne italiane, due in dettaglio: una a tema Banking e una a tema Pagamenti. Le email contenevano allegati di topo .ZIP e .XLSX;
AgentTesla è stato in distribuzione con una campagna italiana a tema Contratti. Le email veicolavano allegati in formato .RAR;
Remcos, Nanocore e Ursnif sono stati in distribuzione, rispettivamente, con una sola campagna. Il primo è stato distribuito con una campagna italiana a tema Ordine: il link contenuto nel corpo email rimandava al download di un file .ISO. Nanocore invece, assente da 3 mesi in Italia, è stato in distribuzione con email a tema Pagamenti e allegati in formato .GZ. Ursnif è stato in distribuzione con una sola campagna generica a tema pagamenti, anche in questo caso con allegati in formato .GZ.

Fonte: https://cert-agid.gov.it/

Hancitor in breve:
è stato osservato in distribuzione per la prima volta intorno alla fine di Luglio, in due campagne diverse a tema Pagamenti: le email presentavano un link che puntava al download di un file .DOC dotato di macro. E' un malware downloader che però, come dimostrato dalle analisi tecniche, ha anche funzionalità di infostealer. Inizialmente è stato usato per distribuire un nuovo malware, FickerStealer, ma le campagne più recenti lo hanno visto come downloader di CobalStrike (che altro non è che un tool legale di penetration testing usato ormai abbondantemente anche dai cyber criminali).

Nanocore in breve...
NanoCore è stato individuato per la prima volta nel 2013, in vendita nei forum di hacking del dark web. E' un trojan di accesso remoto (RAT), ma ha anche una varietà di funzionalità: funziona come keylogger e password stealer e invia ai propri operatori password e dati utili che riesce a esfiltrare dal sistema infetto. Può anche scaricare altri file dannosi, bloccare lo schermo, rubare file ecc..

Le campagne di phishing della settimana 21 - 27 Agosto
Le campagne di phishing analizzate hanno coinvolto 6 diversi brand, non appartenenti solo al mondo bancario e finanziario. Eccone la lista:

BPM e MPS, il cui brand è stato sfruttato per campagne di phishing ovviamente a tema bancario;
Apple è stata sfruttata per una campagna a tema "Acquisti" che, tramite un link puntato su un dominio .shop. mostrava all'utente un catalogo prodotti e un carrello, proprio come un vero shop online. Gli utenti che acquistano tramite lo shop fake possono pagare solo con bonifico diretto ad un iban italiano intestato a Istituto bancario XFinancial Services.;
Amazon è stata sfruttata per una campagna a tema "Premi". Le email contengono un link a una finta lotteria nella quale è possibile vincere, dichiara il corpo email, un TV Samsung. L'utente è indotto a compilare coi dati personali un form per la partecipazione alla lotteria, quindi viene richiesto il pagamento tramite carta;
Sky invece ha visto il brand sfruttato per una campagna a tema "Aggiornamenti" collegata a landing page ospitate su domini registrati appositamente. Tutte le landing page sono approntate per sembrare pagine per aggiornare l'account. La campagna mira al furto delle credenziali di accesso al servizio;
Outlook chiude l'elenco dei brand: sfruttato con una campagna italiana a tema "Aggiornamenti" , cercava di indurre gli utenti a inserire le credenziali di posta in pagine di phishing che emulavano le login page di Outlool Web Access.
I temi principali della settimana 21 - 27 Agosto
I temi sfruttati per le campagne di attacco sono stati una decina circa, ma tre sono stati i più importanti: il primo, ovviamente, il tema Banking, sfruttato per il phishing contro il settore bancario. Il tema Pagamenti invece è stato usato principalmente per veicolare malware, il tema "Ordine" è stato usato per veicolare Formbook e Remcos.

Fonte: https://cert-agid.gov.it

00[1]

Il ransomware Ragnarok va in pensione: sospese le operazioni e rilasciata la master key

lunedì 30 agosto 2021
Il ransomware Ragnarok va in pensione: sospese le operazioni e rilasciata la master key

Come accade ogni tanto, il gruppo di cyber criminali responsabili delle operazioni del ransomware Ragnarok ha annunciato la sospensione di tutte le attività e rilasciato la master key tramite il quale divengono risolvibili tutte le infezioni dovute a questo malware.

Contrariamente a come succede di solito, non c'è una dichiarazione "ufficiale" del gruppo riguardo alla sospensione delle attività: le uniche tracce sono sul sito di leak, quello usato dagli estorsori per rendere pubblici i dati rubati delle vittime che si sono rifiutate di collaborare. Il sito di leak è stato svuotato di tutte le immagini e i contenuti.

Il sito di leak, per come si presenta attualmente

Resta solo un brevissimo testo che contiene il link ad un archivio scaricabile entro il quale si trovano la master key e i file binari necessari per usarla.

Il contenuto dell'archivio. Fonte: Catalin Cimpanu

Al primo colpo d'occhio, quindi, non sembra che l'operazione di sospensione delle attività sia stata programmata e che, anzi, sia stata eseguita in fretta e furia: hanno semplicemente cancellato tutto. Un ulteriore dettaglio consolida il sospetto della fuga precipitosa: il sito di leak di Ragnarock conteneva alcune news, pubblicate tra il 7 Luglio e il 16 Agosto, nelle quali gli attaccanti annunciavano una serie di nuove vittime, minacciando la pubblicazione dei dati rubati. Tra queste, aziende francesi, estoni, turche, cingalesi, statunitensi, spagnole ma anche italiane, tutte operanti in settori diversi, dai servizi legali alla manifattura. Insomma, fino al 16 Agosto gli attaccanti erano attivi e avevano fatto nuove vittime.

Al di là di come sono andate le cose, la master key si è dimostrata corretta: molteplici ricercatori (primo tra tutti Michael Gillespie) hanno eseguito vari test confermando la possibilità di allestire con la master key un decryptor capace di riportare in chiaro i file senza danneggiarli.

Ricordiamo che le estensioni di criptazione del ransomware Ragnarock sono:

.ragnarok_cry;
.ragnarok;
.rgnk;
.odin.
Ragnarock in breve
Ragnarock è stato un ransomware attivo dalla fine del 2019 in poi. Specializzato in attacchi contro le aziende, rientra nella categoria dei ransomware specializzati nella "doppia estorsione": un primo riscatto viene richiesto per riportare in chiaro i file, un secondo per non rendere pubblici i dati rubati dagli attaccanti prima di procedere alla criptazione dei sistemi della vittima.

Storicamente, Ragnarock ha preso di mira i gateway Citrix ADC, disponendo infatti di un exploit kit capace di sfruttarne la vulnerabilità CVE-2019-19781.

Per approfondire >

Il ransomware Ragnarock colpisce in Italia: qualche info tecnica
Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano
Altri "pensionati" eccellenti di quest'anno
I ransomware che, quest'anno, hanno sospeso l'attività e reso pubbliche o la master key o le chiavi di decriptazione delle singole vittime sono:

ransomware Ziggy, che ha sospeso le attività in Febbraio. Sono state rese pubbliche le chiavi di decriptazione di 922 diverse vittime;
ransomware Avaddon, che ha sospeso le attività a Giugno. Anche in questo caso sono state pubblicate le chiavi di decriptazione di molteplici vittime;
ransomware SynAck che non ha propriamente sospeso le attività, ma sta in una fase di passaggio ad una nuova campagna che sfrutta un nuovo ransomware, che si chiamerà El_Cometa. I suoi gestori hanno reso pubblica la master key del ransomware SynAck, mentre stanno allestendo la rete di affiliati per El_Cometa.

00[1]

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

giovedì 9 settembre 2021
Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L'attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma "la quasi totalità delle credenziali VPN risulterebbero ancora valide" (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password.

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l'attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all'uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come "Orange", già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove.

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.

Quasi in contemporanea, sulla pagina di leak del ransomware Groove è apparsa la comunicazione del leak subito da Fortinet VPN

Il sito di leak di Groove. Fonte: bleepingcomputer.com
In entrambi i casi, il link rimanda ad un file ospitato su un server di storage Tor, già usato dagli attaccanti di Groove per ospitare i file rubati e ricattare le vittime. Secondo il ricercatore di sicurezza Vitali Kremez c'è da pensare che "il leak SSL VPN sia stato probabilmente realizzato per promuovere il nuovo forum di hacking RAMP, offrendo un omaggio agli aspiranti operatori ransomware".

Non è dato sapere quante delle credenziali relative a 498,908 account siano ancora valide: la redazione di Bleeping Computer però, dopo verifica, ha confermato che tutti gli indirizzi IP testati sono server Fortinet VPN. Ulteriori analisi condotte da Advanced Intel mostrano che gli IP indicano dispositivi sparsi nel mondo, di questi quasi l'8% sono in Italia. Prime stime dicono che le aziende esposte al leak siano 22.500, sparse nel mondo, ma una 40ina sarebbero aziende italiane.

La vulnerabilità CVE-2018-13379, già patchata
Stando a quanto dichiarato da alcuni ricercatori, le credenziali potrebbero essere state sottratte tramite data scraping sfruttando una vulnerabilità nota, la CVE-2018-13379: questa vulnerabilità affliggeva il sistema operativo FortiOS installato su alcuni dispositivi Fortigate, ma è stata già corretta. Il problema era così grave da aver portato perfino l'FBI, insieme alla CISA (Cybersecurity and Infrastructure Security Agency), ad allertare le aziende su questo advanced persistent threat (APT) usato già in molte occasioni per attacchi contro server Fortinet FortiOS, puntando molto l'attenzione sul fatto che tale vulnerabilità avrebbe condotto a leak utilissimi per portare futuri attacchi.

La disposizione geografica dei server violati. Fonte: ADVIntel

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy