01_(1)_(1)[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 22 ottobre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 09 - 15 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 31 campagne dannose attive nel cyber spazio italiano: 25 sono state mirate contro obiettivi italiani, 6 invece sono state campagne generiche veicolate anche in Italia. 889 gli indicatori di compromissione che il CERT ha messo a disposizione, consultabili dal sito istituzionale.

Le campagne malware analizzate sono state 12 e hanno visto la diffusione di 6 diverse famiglie malware:

Qakbot è stato in diffusione con ben 3 campagne, 2 generiche e una invece mirata contro utenti italiani. Le email contengono un link che conduce al download di un file ZIP e un file XLS;
Lokibot è stato in diffusione con 3 campagne a tema Ordine: le email diffondevano allegati in formato GZ e ISO;
Formbook è stato in diffusione con 2 campagne, una mirata contro utenti italiani e una generica, tutte e due a tema Ordine. Gli allegati vettore sono file DOC;
AgentTesla è stato diffuso con due campagne, una generica e una mirata, a tema Ordine e Delivery: gli allegati email usati sono GZ e IMG;
Urnsif torna in diffusione con una campagna mirata che ha sfruttato il brand BRT: contiene allegati XLS con macro dannosa;
Dridex è diffuso con una campaggna generia a tema Pagamenti: gli allegati vettore sono file XLS con una macro dannosa che contiene oltre 170 indirizzi dai quali scaricare la DLL compromessa che attiva la catena di infezione.
QakBot in breve:
Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 09 - 15 Ottobre
Le campagne di phishing individuate e analizzate sono state 19 e hanno coinvolto 11 brand:

Poste, Intesa Sanpaolo, Nexi, Mediolanum, Fineco i brand sfruttati negli attacchi di phishing bancario. E' stata individuata anche una campagna generica che non riferisce ad alcun brand specifico ma che invita gli utenti ad "aggiornare" i dati della carta di credito;
Email generic: il CERT segnala anche due campagne, una generica e una mirata contro gli utenti italiani, a tema Avvisi di sicurezza o messaggio non recapitato: entrambe mirano al furto delle credenziali dei servizi email;
Agenzia delle Entrate ha visto il proprio nome e logo sfruttati in una campagna di phishing ospitata su un dominio appositamente creato;
Tiscali e Sky sono state sfruttate invece per due campagne, rispettivamente a tema Informazioni la prima e Abbonamento la seconda. La campagna Sky porta gli utenti su una landing page nella quale viene richiesto di inserire gli estremi della carta di credito;
BRT è stata sfruttata in una campagna di phishing mirata al furto delle credenziali di accesso al servizio.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, il gradino più alto del podio è occupato dal formato XLS di Office: segue il formato GZ , quindi gli immancabili DOC e ZIP.

Fonte: https://cert-agid.gov.it

01[1]

Alert CERT: campagna di spam a tema Dike, mirata contro la PA, installa un software di controllo remoto sui dispositivi infetti

lunedì 18 ottobre 2021
Alert CERT: campagna di spam a tema Dike, mirata contro la PA, installa un software di controllo remoto sui dispositivi infetti

Il CERT-AGID ha pubblicato oggi Lunedì 18 Ottobre un alert relativo ad una campagna di spam, attiva già da ieri, rivolta contro la pubblica amministrazione: è una campagna di email di spam che sfrutta il nome del popolare software per la firma digitale Dike e il marchio InfoCert per installare sui dispositivi infetti un software per il controllo remoto.

Qualche info tecnica
Dal sito ufficiale del CERT apprendiamo che questo è il testo dell'email che viene diffuso in queste ore principalmente verso account della Pubblica Amministrazione

Fonte: https://cert-agid.gov.it

Come si vede, l'oggetto rimanda ad un fantomatico "aggiornamento critico" di Dike, il programma per la firma digitale di InfoCert molto diffuso nella PA, ma anche nel settore privato.

L'email contiene un allegato in formato PDF contenente un link che conduce al download di un file chiamato Dike_Infocert_upgrade.msi: questo, spiegano gli esperti del CERT, viene scaricato dal dominio infocert-dike[.]firstcloudit[.]com.

La pagina che viene visualizzata è quella sottostante: si vede il ricorrere del marchio InfoCert per dare legittimità alla pagina

Fonte: https://cert-agid.gov.it

Il download ovviamente non contiene alcun aggiornamento per Dike: al contrario installa sul dispositivo della vittima AteraAgent, un software di controllo da remoto legittimo ma usato, in questo caso, come fosse un vero e proprio Remote Access Trojan.

Non è la prima volta
La campagna individuata in questi giorni non è affatto nuova: al contrario, una fotocopia di questa fu diffusa già nel Luglio di quest'anno. Anche in quel caso, gli attaccanti abusavano di Dike e del marchio InfoCert.

Lo schema era assolutamente fotocopia: una email con oggetto "Aggiornamento critico Dike" viene inviata a migliaia di account della PA. Questa contiene un allegato in formato PDF che rimanda al download di un file Dike_Infocert_upgrade.msi.

Ecco come si presentava la mail diffusa nel mese di Luglio, anch'essa prontamente denunciata dal CERT:

Fonte: https://cert-agid.gov.it

Soluzione e indicatori di compromissione
Gli esperti del CERT garantiscono che l'infezione è facilmente risolvibile: AterAgent infatti è un sowftare legittimo che, una volta installato, viene regolarmente visualizzato nell'elenco delle applicazioni di Windows. Basterà procedere quindi alla sua disinstallazione come fosse un qualsiasi programma.

01[1]

Bucati i sistemi informatici della SIAE: i cybercriminali di Everest rubano i dati degli iscritti, dei dipendenti e dei dirigenti - aggiornato

mercoledì 20 ottobre 2021
Bucati i sistemi informatici della SIAE: i cybercriminali di Everest rubano i dati degli iscritti, dei dipendenti e dei dirigenti - aggiornato

Aggiornamento 22/10/2021: a quanto si apprende da testate di settore e dalle dichiarazioni rese dal gruppo di attaccanti di Everest, l'attacco non ha previsto l'uso di ransomware. I dati cioè non sono stati criptati, ma semplicemente esfiltrati. L'attaccante ha dichiarato che l'attacco si è svolto con un penetration test sulle infrastrutture digitali di SIAE, quindi si è proceduto con l'esfiltrazione dei dati. Il riscatto, inizialmente fissato a 3 milioni di euro in Bitcoin, è stato abbassato a 500.000 euro, anche in seguito alla volontà, pubblicamente dichiarata da SIAE, di non pagare alcun riscatto. Il Garante intanto ha annunciato pubblicamente l'apertura dell'istruttoria.

La SIAE, Società Italiana degli Autori ed Editori, è stata colpita da un attacco ransomware: stando a quanto dichiarato dai cyber attaccanti, i dati rubati ammontano a circa 60 GB (28.000 documenti) e conterrebbero carte e documenti di identità (numeri dipassaporto, patenti di guida), documenti di iscrizione e deposito di migliaia di artisti. La conferma dell'esito dell'attacco e del furto dei dati è stata data dalla Siae stessa alla redazione di Cybersecurity360: è stato confermato anche il fatto che è già stata presentata la richiesta di riscatto in Bitcoin per un ammontare di 3 milioni di euro (così riporta il Corriere della Sera). Gli attaccanti hanno anche già fatto sapere che se SIAE si rifuterà di pagare, i 60GB di dati saranno resi pubblici a piccole dosi. Intanto la cyber gang ha già provveduto a pubblicare e mettere in vendita, sul proprio sito di leak, una prima parte dei dati rubati a mò di prova dell'avvenuta irruzione nei sistemi SIAE, facendo anche sapere si essere già pronti a pubblicarne altri.

Il sito di leak del ransomware Everest
Da parte sua SIAE ha confermato la tipologia di dati rubati, mentre non ha confermato che siano finiti in mano agli attaccanti anche i dati di pagamento: al contrario da SIAE sottolineano come siano stati sottratti "soltanto" dati anagrafici e quindi non ci sia "alcun danno economico"...

Alcuni dei documenti già pubblicati sul sito di leak

“La Siae non darà seguito alla richiesta di riscatto”, fa sapere il Direttore Generale Gaetano Blandini. “Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l’andamento della situazione cercando di mettere in sicurezza i dati degli iscritti della Siae” ha concluso.

E' il secondo attacco in poche settimane
Giusto qualche settimana fa, precisamente a fine Settembre, la SIAE aveva già subito un attacco, in quel caso di phishing: ignoti attaccanti stavano inviando SMS contenenti link o addrittura chiamando direttamente numerosi associati di SIAE con un numero che solo apparentemente sembrava essere quello ufficiale di SIAE: qualsiasi dato dichiarato via telefono o inserito nelle varie landing page alle quali conducevano i link contenuti negli SMS sono stati rubati.

Sotto il tweet col quale, dal profilo ufficiale, SIAE dava pubblico annuncio della truffa in corso

Pubblicato da s-mart Informa a 15:59
Invia tramite email
Postalo sul blog
Condividi su Twitter
Condividi su Facebook
Condividi su Pinterest

01[1]

Garante Italiano: in una pagina a tema tutte le nuove linee guida adottate sui cookie

martedì 12 ottobre 2021

Nel mese di Giugno il Garante ha adottato nuove Linee guida sul tema cookie e, in generale, tracciamento degli utenti sul web. Tali linee guida si sono sono rese necessarie per aggiornare quelle precedentemente in uso (risalenti al 2014), che non tenevano conto delle novità introdotte dal GDPR e dalle nuove Linee guida dell'EDPB nonché della consultazione pubblica che è stata promossa l'anno scorso. Obiettivo delle modifiche? Rafforzare il potere decisionale degli utenti riguardo alle modalità e utilizzo dei propri dati personali durante la navigazione sul web. Adesso c'è una specifica pagina sul sito web istituzionale del Garante che riporta queste novità, consultabile all'indirizzo https://www.gpdp.it/temi/cookie

Punto focale delle nuove Linee guida è il fatto che senza consenso nessun dato può e deve essere trattato: per impostazione predefinita quindi ogni sito web dovrà avere disabilitati cookie e qualsiasi altro strumento di tracking, eccezion fatta per quelli tecnici necessari al funzionamento del sito web stesso. No quindi anche ai cookie di terze parti e altre forme di tracciamento passivo come il fingerprinting.

Una volta acceduto al sito web, l'utente dovrà visualizzare una informativa che renda chiari sia quali sono i tempi di conservazione delle informazioni sia se tali dati possano essere trattati anche da terze parti. Nell'ottica di rendere più chiare e comprensibili le (spesso mastodontiche e incomprensibili) informative, le nuove Linee guida prevedono che queste potranno essere rese anche con più mezzi e modalità come pop up, video, ma anche interazioni vocali, animazioni ecc... Resta la conferma dell'obbligo della sola informativa sui cookie tecnici, anche entro l'informativa generale. Per quanto riguarda i cookie analytics il Grante ha ribadito che essi dovvranno essere usati solo a scopi statistici e per valutare l'efficacia di un servizio.

I cookie per la profilazione degli utenti invece devono essere strettamente correlati al consenso dell'utente: senza l'espressione libera e informata del consenso dell'utente tali cookie non potranno essere attivati. Il consenso deve essere richiesto tramite um banner chiaramente distinguibile che non potrà comunque impedire all'utente la navigazione: in sunto, il banner dovrà essere chiudibile e dovrà comunque garantire la navigazione sul sito senza che l'utente venga in alcun modo tracciato nel caso in cui abbia negato il consenso. Insomma, il cookie wall è apertamente vietato anche dalle linee guida del Garante italiano.

Viene precisato anche che lo scrolling, ovvero lo spostamento del cursore del mouse entro la pagina web, non può essere ritenuto come una manifestazione valida del consenso dell'utente: i publisher potranno considerare lo scroll down come una manifestazione del consenso solo se inserito in un processo più ampio che consenta all'utente di generare un evento, registrabile e documentabile sul server che ospita il sito, che possa conformarsi come una manifestazione positiva e inequivoca della volontà di consentire il trattamento dati.

Viene indicata come "misura ridondante e invasiva" l'usanza, purtroppo ancora molto diffusa, di riproporre in maniera insistente ad ogni visita il banner cookie a coloro che, nel corso di precedenti visite, abbiano già negato il consenso. La scelta degli utenti deve essere registrata ed archiviata senza ulteriori tentativi, a meno che

non si verifichino cambiamenti significativi alle modalità di trattamento dei dati;
siano trascorsi 6 mesi dall'ultima visualizzazione del banner cookie;
sia impossibile sapere se un cookie sia già memorizzato o meno sul dispositivo dell'utente.
Gli utenti devono comunque vedersi garantito il diritto a modificare in qualsiasi momento un consenso prestato in precedenza.

La nota del Garante si conclude con una chiara specifica: i titolari dei siti web hanno 6 mesi per conformarsi alle indicazioni delle Linee Guida per non incorrere in sanzioni. In ultimo, il Garante "auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno".

Linkografia utile:

Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021
EDPB: Guidelines 05/2020 on consent under Regulation 2016/679

01[1]

Attacchi DDoS in crescita: la pandemia li spinge al rialzo

mercoledì 13 ottobre 2021
Attacchi DDoS in crescita: la pandemia li spinge al rialzo

Se in Italia sta rimbalzando negli ultimi giorni la notizia dell'attacco DDoS che ha colpito il sito nazionale della CGIL (più simbolico che sofisticato, ma comunque efficace), nel resto del mondo la fa da padrone la notizia del gigantesco attacco DDoS mitigato da Microsoft l'ultima settimana di Agosto. Ma non finisce qui: il problema degli attacchi DDoS si è fatto così urgente da aver portato ad intervenire anche le forze dell'ordine. Se in Ucraina finiscono in manette i gestori di una botnet da 100.000 device circa, affittabile per lanciare attacchi DDoS, dall'altra la Polizia olandese ha addirittura contattato direttamente una dozzina di clienti di un servizio DDoS, avvisandoli che i continui reati informatici porteranno a procedimenti giudiziari e che quindi è per loro consigliabile trovare alternative migliori e soprattutto legali. Insomma, cari lanciatori di attacchi DDoS, la Polizia vi osserva.

L'attacco DDoS che Microsoft ha mitigato e che era rivolto ad un cliente europeo di Azure, ha toccato i 2.4 terabit per secondo: un attacco del 140% più grande dell'attacco più pesante mai registrato da Azure, ovvero quello avvenuto nel 2020 e che ha toccato 1Tbps. L'attacco, durato 10 minuti circa, è stato suddiviso in 3 diverse ondate di volume decrescente: 2,4 tbps la prima, 0,55 tbps la seconda, 1,7 tbps la terza. L'infrastruttura dalla quale è stato lanciato l'attacco è composto da circa 70.000 bot, la maggior parte concentrati nelle regioni asiatiche del Pacifico e negli Stati Uniti. Questo attacco, di cui è avuta notizia solo la scorsa settimana, arriva dopo che Microsoft ha registrato un aumento superiore al 25% degli attacchi DDoS rispetto allo stesso trimestre del 2020.

Fonte: Microsoft

Gli attacchi DDoS sono in crescita

Gli attacchi DDoS negli ultimi due anni hanno fatto registrare un significativo aumento sia in termini di volume che in termini di complessità: aumenti che corrispondono e rispecchiano l'aumento dell'attività in Internet conseguenze alla pandemia da Covid19. Microsoft ha ad esempio fatto sapere di aver mitigato quasi 252.000 attacchi DDoS rivolti contro l'infrastruttura globale di Azure nell'arco della prima metà del 2021. Tra gli utenti Azure, i più bersagliati da attacchi DDoS si trovano negli Stati Uniti (59%), il 19% sono invece utenti europei, il 6% utenti asiatici: la mole di attacchi in queste zone è dovuta al concentrarsi in loco di aziende e servizi finanziari.

Attacchi DDoS nella prima metà del 2021. Fonte: Microsoft

Misure di mitigazione
Difendersi da un attacco DDoS è quasi impossibile se non ci si è attrezzati precedentemente. Gli attacchi DDoS "applicativi" non puntano all'intera infrastruttura, ma soltanto ad un applicativo indispensabile della stessa, che finisce per divenire dapprima instabile quindi inutilizzabile: in questo caso si possono approntare una serie di misure tecniche e organizzative per rendere scalabile e resiliente l'infrastruttura stessa.

Dagli attacchi DDoS di banda, invece, solo gli Internet Service Provider possono difenderci oppure ci sono specifici servizi che incanalano tutto il traffico indirizzato verso l'infrastruttura sulla quale è attivo il servizio, lo ripuliscono e reindirizzano al destinatario finale solo il traffico adatto e sicuro. Tali fornitori possono anche, in caso di attacchi di entità considerevole, deviare l'eccessivo traffico verso società esterne di DDoS Protection.

00[1]

Anatomia di Hancitor, il malware downloader più diffuso in Italia nel mese di Settembre

venerdì 15 ottobre 2021
Anatomia di Hancitor, il malware downloader più diffuso in Italia nel mese di Settembre

Di Hancitor abbiamo parlato per la prima volta nel mese di Luglio di quest'anno, quando il CERT-AGiD, nell'ambito delle verifiche sulle campagne di attacco in corso nel cyberspazio italiano, individuò la prima campagna di diffusione in Italia: come tutti i downloader, Hancitor era impostato per scaricare e installare ulteriori malware che, in quel caso era FickerStealer, un infostealer.

Per approfondire > Un nuovo malware per il furto dati in diffusione in Italia: il Cert-Agid intercetta tre campagne che diffondono FickerStealer

Dal mese di Settembre ad ora, Hancitor figura costantemente tra i malware diffusi in Italia e monitorati dal CERT: anche nel corso della settimana 02 - 08 Ottobre Hancitor si conferma il secondo malware più distribuito in Italia, stando ai dati del CERT AGID. Ecco perchè riteniamo utile dedicarvi un breve approfondimento.

Info tecniche
Hancitor è un infostealer, ma la sua funzione principale è quella di Donwloader. Una volta che ha infettato un dispositivo, infatti, vi scarica e installa ulteriori malware: nel 2020 ha iniziato ad utilizzare il tool di penetration testing Cobal Strike, mentre le prime campagne italiane lo vedevano in coppia con FickerStealer. Negli ultimi mesi gli attori che lo gestiscono hanno iniziato anche ad utilizzare un tool per il ping delle reti, utile a enumerare gli host attivi nell'ambiente Active Directory.

La Unit24 di PaloAltoNetwork ha condotto approfondite analisi su questo malware e le sue campagne di diffusione: l'immagine sotto mostra la catena di infezione, che tendenzialmente è invariata dal 2020 a parte lievi modifiche

Fonte: https://unit42.paloaltonetworks.com
In breve:

la vittima riceve una email con un falso documento DocuSign che conduce ad un ulteriore documento su Google Drive (collegato ad account compromessi in precedenza);
il link alla pagina Google Drive conduce al download di un documento Office (solitamente Word) compromesso;
il documento Office contiene le istruzioni per abilitare la macro;
l'abilitazione della macro porta al download della DLL, che viene quindi eseguita usando rundll32.exe;
a questo punto Hancitor inizia a generare il traffico C&C;
il server C&C invia i comandi per il download di FickerStealer (o altri malware);
il server C&C gestisce l'attività Cobalt Strike nell'ambiente AD;
le attività che Hancitor esegue tramite Cobal Strike possono portare all'uso di tool per il ping della rete oppure all'installazione di malware tramite Remote Access Tool (RAT);
in alcuni, rari, casi Hancitor è servito alla distribuzione del malware botnet Send-Safe, per trasformare i dispositivi infetti in bot di spam per spingere ulteriormente Hancitor.

Fonte: https://unit42.paloaltonetworks.com

In dettaglio, una volta abilitata la macro dannosa contenuta nel documento Word, questa scarica la DLL di Hancitor. Solitamente questa DLL si chiama W0rd.dll e viene scaricata nella cartella C:\Users\[username]\AppData\Roaming\Microsoft\Word\STARTUP\W0rd.dll

Fonte: https://unit42.paloaltonetworks.com

Il file DLL viene eseguito con rundll32.exe ed avvia il traffico di C&C. Sotto l'analisi di questo traffico con WireShark

Fonte: https://unit42.paloaltonetworks.com
Si avvia la terza fase dell'infezione: stabilito il traffico C&C, Hancitor recupera l'ulteriore malware da scaricare, dallo stesso dominio che ospita Hancitor: questi domini variano, ma non cambiano i malware in diffusione ovvero Hancitor stesso, Cobalt Strike (che non è un malware ma un tool legittimo utilizzato a finalità illegittime), FickerStealer e Send-Safe. Per dirla con più precisione, Cobal Strike viene usato essenzialmente per distribuire il malware finale.

Ora si avvia l'ultima fase, quella che conclude la catena di attacco: sugli host dove è eseguito Cobal Strike viene scaricato un eseguibile in formato .EXE che esegue un ping della rete: il risultato del ping viene salvato nella stessa directory che contiene il documento Word, nel file result.txt. Nella foto sottostante si vedono il file doc compromesso, l'eseguibile per il ping della rete (che da febbraio 2021 ha cambiato nome in netpingall.exe) e il file txt dove sono salvati i risultati

Tramite questa analisi gli attaccanti hanno una panoramica chiara degli host attivi entro l'ambiente AD: tutte queste verifiche creano comunque un traffico inteso e fastidioso.

Mitigazione
Il CERT-AGID sta monitorando costantemente la diffusione di Hancitor: rimandiamo al sito istituzionale per gli Indicatori di Compromissione. Filtri antispam decenti, un'adeguato sistema di amministrazione (possibilmente ad approccio zero-trust) e host aggiornati alle versioni più recenti dei sofwtare e SO riducono notevolmente il rischio di infezione e l'efficienza dell'attività post infezione del malware.

01+28129+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 8 ottobre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 25 Settembre – 01 Ottobre 2021
La scorsa settimana, il CERT ha individuato e analizzato 34 campagne dannose, 30 mirate specificatamente contro obiettivi italiani e 4 invece, generiche, veicolate anche in Italia: gli indicatori di compromissione messi a disposizione sono stati 461.

La campagne malware individuate in diffusione sono state 11: 7 le famiglie malware distribuite

Formbook è stato diffuso con ben 3 campagne a tema Ordine: è di nuovo il malware più diffuso della settimana. E' stato diffuso con allegati DOC e ZIP ma anche, e questa è una novità, con file in formato HTML. Gli allegati HTML, una volta aperti, portano al download di un file ZIP che contiene, a sua volta, un file EXE in base64. Hancitor e Formbook sono i malware più diffusi per Settembre in Italia;
Qakbot è stato diffuso con due campagne email con allegati ZIP e XLS: le campagne sono state a tema Contratti;
Lokibot è stato diffuso con due campagne a tema Ordine e allegati di tipo archivio in formato ZIP e RAR, contenenti a loro volta un file immagine ISO;
AgentTesla è stato diffuso con una sola campagna mirata a tema Ordine, con allegati GZ;
Hancitor è stato diffuso con una sola campagna generica a tema Documenti: l'email conteneva un link per il download di un documento DOC contenente la classica macro dannosa;
Guloader è stato in diffusione con una campagna mirata contro utenti italiani a tema Pagamenti e allegati GZ;
Dridex conquista la 6 posizione tra i malware più diffusi nel mese di Settembre in Italia: la campagna della scorsa settimana è stata a tema Pagamenti con allegati XLSB veicolati via email.
Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 25 Settembre – 01 Ottobre 2021
Le campagne di phishing analizzate sono state 23 ed hanno coinvolto 12 brand, la maggior parte, ovviamente, afferenti al settore bancario e finanziario:

Fonte: https://cert-agid.gov.it
MPS, Intesa Sanpaolo, Poste, CheBanca e ING sono stati i brand più sfruttati la scorsa settimana. La campagna di phishing che ha riguardato i clienti Poste Italiane è stata veicolata via SMS ed è visibile solo da utenti mobile;
Due campagne a tema Casella Piena e Aggiornamenti sono state mirate contro utenti italiani per rubare le credenziali di accesso ai servizi email;
Decathlon è stata sfruttata per una truffa contro gli utenti italiani della catena: l'email era un sondaggio fake che conduceva, in realtà, ad una schermata di pagamento con carta di credito compilata il quale la vittima si trova abbonata ad un servizio non specificato che sottrae automaticamente denaro dalla carta;
Microsoft ha visto il proprio brand sfruttato per una campagna volta al furto delle credenziali der servizio Outlook Web App, tramite un dominio weebly;
i clienti Aruba hanno subito un massivo invio di email fake a tema Pagamenti con lo scopo di sottrarre gli estremi della carta di credito tramite un form fake di pagamento del rinnovo del servizio;
We Transfer e Zimbra sono stati sfruttai per campagne a tema File Sharing: il primo brand è stato sfruttato per una campagna contro la PA volto al furto delle credenziali di accesso alla posta elettronica. Zimbra è stato sfruttato invece, sempre contro la PA, per il furto delle credenziali di accesso agli account di posta elettronica. Le email, diffuse da un account compromesso della PA; usavano allegati HTM che una volta aperti, presentano form identici a quelli istituzionali: le credenziali lì inserite sono inviate direttamente agli attaccanti.

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, il gradino più alto del podio è occupato dal formato archivio ZIP: seguono i formati GZ e l'immancabile XLS e DOC. I file Office con macro restano uno dei vettori di attacco più comunemente utilizzati dai cyber attaccanti

Fonte: https://cert-agid.gov.it

00[1]

Facebook, Instagram e Whatsapp down: down globale per un'errata configurazione del DNS

martedì 5 ottobre 2021
Facebook, Instagram e Whatsapp down: down globale per un'errata configurazione del DNS

Alle 17.30 circa di Lunedì 4 ottobre (ora italiana) utenti da tutto il mondo hanno iniziato a segnalare malfunzionamenti, o completa incapacità di accesso al servizio, per Facebook, Instagram e Whatsapp. Crediamo che ce ne siamo conto un pò tutti, mentre spostavamo le conversazioni con amici e colleghi su Telegram, Signal e altre app...

I tentativi di aprire uno dei 3 siti web davano lo stesso risultato: DNS_PROBE_FINISHED_NXDOMAIN e veniva quindi consigliato di verificare l'eventuale presenza di errori di battitura nel dominio scritto nella barra degli indirizzi. Gli utenti mobile invece, al malfunzionamento delle app, vedevano il messaggio "Per favore, verifica la tua connessione internet e riprova più tardi". Perfino il sito .onion di Facebook mostrava lo stesso errore dei DNS.

Alcune verifiche da parte dei ricercatori, in assenza di comunicazioni ufficiali da parte di Facebook e delle sue controllate, hanno verificato come i server DNS di Facebook, Instagram e Whatsapp non stessero rispondendo, evidenza che suggeriva o una problematica sui server o una errata configurazione dei DNS.
Bleeping Computer ha reso pubblica una immagine che ritrae, per l'appunto, una di queste verifiche: la risposta è piuttosto eloquente.

Fonte: bleepingcomputer.com
La situazione è tornata, lentamente, alla normalità verso le 23.30 ora italiana.

La prima dichiarazione ufficiale, dal punto di vista delle cause tecniche, è arrivata nella mattina di Martedì 5 ottobre: "i nostri team di ingegneri hanno riscontrato che le modifiche alla configurazione sui router della dorsale che coordinano il traffico di rete tra i nostri data center hanno causato problemi che hanno interrotto la comunicazione” ha dichiarato Santosh Janardhan, VP for Engineering and Infrastructure a Facebook. "Ciò ha causato l'interruzione del traffico di rete e ha avuto un effetto a cascata sulle modalità con cui comunicano i nostri data center, causando l'interruzione dei servizi" ha concluso. Santosh Janardhan ha inoltre rassicurato gli utenti: "non ci sono prove che i dati degli utenti siano stati compromessi nell'arco di questo downtime" ha fatto sapere. Insomma non c'è stato l'attacco hacker del secolo, ma "solo" un errore di configurazione avvenuto però, su una delle infrastrutture più grandi del mondo.

Dichiarazione che ha confermato i sospetti della comunità dei ricercatori che, durante il blocco delle app, avevano già supposto che i problemi riguardassero il Domain name System il Border gateway protocol (BGP) di Facebook, cioè due fattori fondamentali dell'infrastruttura Internet per instradare correttamente i dati: se il primo assegna i vari nomi ai nodi della rete, il secondo contiene le informazioni necessarie per raggiungere un indirizzo IP. Cloudflare ha spiegato che l'errore di Facebook, avvenuto in seguito ad una serie di aggiornamenti, è stato che queste modifiche hanno "dichiarato" al BGP, in pratica, che quei percorsi verso Facebook non esistevano più. Insomma, come cercare una casa in una via che non esiste sulla mappa.

I problemi non hanno riguardato solo i servizi di Facebook e delle sue controllate, ma anche gli uffici e le infrastrutture interne, fatto che ha reso ancora più complesso per i tecnici ottenere diagnosi veloce e risolvere il problema. Il New York Times ha riferito alcuni racconti dei dipendenti Facebook, Instagram e Whatsapp, nei quali si denunciava l'impossibilità di accedere al sistema email aziendale, ai tool e ai server stessi. Qualcuno, addirittura, non riusciva ad entrare in ufficio a causa del down completo del sistema di verifica degli accessi tramite badge.

In ogni caso, ad ora, è tornato tutto alla normalità: i malfunzionamenti al sistema DNS hanno impedito di risolvere il problema da remoto, così Facebook ha inviato in loco un team di tecnici e ingegneri che ha corretto manualmente la configurazione errata.

Interruzioni di verifica di questo tipo non sono frequenti, ma capitano: il più recente quello occorso ad Akamai, ma anche a Fastly ecc... il problema è che, quando capitano, producono danni di immagine ed economici di proporzioni epiche.

00[1]

Il Ransomware Conti colpisce la Maggioli: disservizi nei sistemi tributari e sanzionatori di centinaia di Comuni

Giovedì 7 ottobre 2021
Il Ransomware Conti colpisce la Maggioli: disservizi nei sistemi tributari e sanzionatori di centinaia di Comuni

Maggioli è un gruppo di rilevanza internazionale con sedi, oltre che in Italia, in Spagna, Grecia, Belgio e in Sud America: 25.000 installazioni software circa, un parco clienti di 150.000. La corporation offre servizi di vario tipo, molto usati nelle pubbliche amministrazioni, ma anche per aziende e professionisti. La notte del 25 Settembre, a partire dalle 3.00, i sistemi della Maggioli sono stati colpiti da attacco ransomware. L'azienda ha preso consapevolezza di aver subito un attacco soltanto 11 ore dopo l'accaduto, registrando numerosissime anomalie e disservizi sui sistemi.

Stando a quanto per ora è stato possibile ricostruire, l'attacco ransomware è stato portato dal gruppo del ransomware Conti, che però avrebbe mirato, pare, un'unità precisa del gruppo, ovvero la Maggioli Tributi. Tra i servizi sicuramente compromessi il "Concilia Service", usato dalle Polizie Municipali e non solo per le sanzioni amministrative conseguenti a violazione del Codice della Strada o altre norme amministrative e "MT tributi", molto usato nelle Ragionerie.

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

L'azienda ha comunicato l'evento ai clienti il 30 Settembre, segnalando l'indisponibilità temporanea dei dati e indicando che "le informazioni ivi contenute, potrebbero comprendere anche dati personali quali, anagrafiche di contribuenti, domicili fisici e/o elettronici, istanze di contribuenti, situazioni debitorie/creditorie, dati catastali/possessi immobiliari, dati di veicoli, conti correnti e datori di lavoro".

La comunicazione ufficiale, completa e non parziale sull'incidente, risale al 1° Ottobre. "L'attacco

informatico" si legge "è stato effettuato utilizzando un ransomware di ultima generazione, realizzato appositamente dai cyber criminali per l’infrastruttura della Società, rendendo temporaneamente indisponibili alcuni server aziendali. Il Gruppo ha immediatamente eseguito un intervento che ha permesso di contenere l'accaduto e di proseguire con l'attività." Si legge inoltre che sono stati avvisati tempestivamente sia la Polizia Postale che il Garante per la Protezione dei Dati personali, in accordo agli obblighi di legge conseguenti al GDPR.

I contenuti di questa nota sono interessanti da più punti di vista: in prima battuta, questa perchè questa nota suggerisce l'idea, tutta da verificare, che gli attaccanti abbiano utilizzato una versione "personalizzata" del ransomware Conti: il che vorrebbe dire, fosse vero, che gli attaccanti hanno prima studiato e analizzato l'infrastruttura e poi confezionato una variante del malware "su misura" per fare più danni possibili su quella precisa e determinata infrastruttura. Ma altro dato interessante è il fatto che la nota specifica che tutti i dati presenti nell'infrastruttura aziendale sono salvi perchè è esistente una copia di backup non corrotta dal ransomware: le misure di disaster recovery e continuità operativa (business continuity) hanno permesso di attivare molto velocemente le operazioni di rispristino dei sistemi.
Sono risultati sotto attacco i server presenti nei data center di Santarcangelo, Orzinuovi, Forlì, Thiene e L’Aquila, tutti eseguenti sistemi operativi Windows Server e VMware VSphere: la violazione di ben 5 diversi server rende difficile stabilire, ovviamente, il numero degli interessati, a ribadire comunque la portata e il peso dell'attacco.

Dati recuperati, problema risolto?
Nella vecchia concezione della minaccia ransomware, disporre di un backup e di protocolli di disaster recovery era più che sufficiente: il problema infatti si limitava al poter rientrare o meno in possesso dei dati in chiaro. Ormai, però, il mondo ransomware è profondamente cambiato, con l'introduzione della doppia e perfino terza estorsione.

Se cioè, lo schema classico prevedeva la criptazione dei sistemi e una richiesta di riscatto per concedere alla vittima il tool di decriptazione, negli ultimi anni sono stati aggiunti ulteriori livelli di ricatto:

una seconda nota di riscatto viene ormai inviata molto spesso: chiede un certo quantitativo di denaro per non rendere pubblici i dati rubati. Infatti praticamente tutti gli attacchi ransomware sono ormai preceduti da una fase in cui i dati sono prima di tutto esfiltrati, ovvero sottratti e inviati ai server C&C degli attaccanti, e solo in secondo step criptati. Qualora una vittima risulti restia ad avviare le contrattazioni con gli attaccanti o a pagare il riscatto per il decryptor, gli attaccanti iniziano a pubblicare, a piccole dosi, i dati rubati su appositi siti di leak;
un terzo livello di riscatto viene richiesto, anche se molto più raramente, quando una vittima particolarmente restia a pagare viene minacciata e poi subisce un attacco DDoS che danneggia ulteriormente sistemi e servizi.
Per approfondire > Ransomware: una infezione, tripla estorsione. L'attacco DDoS usato come ulteriore livello di ricatto
Questo schema di doppia o tripla estorsione è ormai quello comunemente diffuso nel mondo dei ransomware, quindi un'azienda che subisce un attacco di questo tipo non può mai escludere il data breach, ovvero che quei dati siano stati rubati ed esposti. Questo il motivo per il quale le linee guida dell'EDPB n°1/2021 specificano che ogni attacco ransomware va ritenuto anche un data breach, anzi in dettaglio, una violazione della riservatezza dei dati, a meno che non sia attivo un sistema di criptazione dei dati la cui chiave di criptazione privata non sia risultata violata durante l'attacco stesso.

La patata bollente, adesso, passa in mano ai DPO degli enti locali e aziende coinvolti che dovranno verificare, caso per caso, la gravità del data breach. Da parte sua, Maggioli ha comunicato di aver proceduto al totale ripristino dell'operatività.

01+28129+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

enerdì 1 ottobre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 18 – 24 Settembre 2021
Nel corso di questa settimana il CERT ha individuato e analizzato 25 campagne dannose, di cui 18 mirate contro obiettivi italiani e 7 generiche ma veicolate anche in Italia. 454 sono stati gli indicatori di compromissione individuati.

Le famiglie malware individuate in diffusione sono state 8, per un totale di 10 campagne malware. Ecco i malware:

Hancitor è stato in diffusione con 3 campagne, tutte a tema Documenti. Ogni email conteneva un link per il download di un file .DOC con macro. Hancitor si piazza sul podio dei malware più diffusi in Italia nel mese di Settembre. Ad ora è veicolato per poter utilizzare sui dispositivi infetti il tool di penetration test CobaltStrike;
Lokibot è stato in diffusione con una campagna a tema Ordine. Il payload del malware è stato diffuso via email con allegato in formato .ZIP;
AgentTesla è stato in diffusione mirata contro utenti italiani: la campagna era a tema Pagamenti e ha visto l'uso di allegati in formato archivio .ZIP;
BazarLoader è stato diffuso con una campagna mirata a tema Informazioni: anche in questo caso le email veicolavano un allegato .ZIP;
Raccoon è stato diffuso, dopo mesi di assenza, con una campagna generica a tema Documenti: l'allegato erano file .XLL;
Remcos è stato diffuso con campagne a tema Preventivo e allegati .XZ;
Formbook è stato diffuso con campagna a tema Banking veicolata con allegati XZ;
Ursnif è stato diffuso con la classica campagna che emulava comunicazioni del corriere BRT: gli allegati erano in formato XLS con macro dannosa.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 18 – 24 Settembre 2021
15 sono state invece le campagne di phishing, coinvolgendo 9 brand. Il settore bancario, ovviamente, è stato quello più colpito.

IntesaSanpaolo, Poste, Unicredit e Fideuram sono stati i brand più sfruttati per le campagne di banking phishing;
BRT è stato sfruttato con due campagne italiane a tema Delivery;
Email: sono state individuate due campagne generiche mirate al furto di credenziali di account di posta elettronica. Per il furto dati sono stati sfruttati i servizi Google;
Aruba è stata sfruttata con una campagna a tema Riattivazione inviata massivamente a clienti Aruba: scopo era il furto degli estremi della carta di credito tramite un finto form di pagamento del rinnovo del servizio;
Adobe invece è stata sfruttata con una campagna mirata contro le PA per sottrarre le credenziali di accesso al servizio;
Sky è stata sfruttata per una campagna veicolata tramite domini creati appositamente: scopo, la sottrazione degli estremi della carta di credito tramite un form fake per il pagamento del servizio.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware , troviamo pari merito due classici, ovvero il formato DOC e il formato e il formato ZIP: forte rallentamento della diffusione di formati Excel con macro.

Fonte: https://cert-agid.gov.it/

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy