00[1]

Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italianendirizzo email della vittima

lunedì 22 novembre 2021
Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italiane

E’ stato rintracciato online, nel famoso forum dell’undergorund hacker RaidForums, dai ricercatori della cybersecurity firm italiana Yoroi: è un database contenente i dati di quasi 4000 tra CEO, responsabili team IT e responsabili comunicazione / marketing e non solo di centinaia di aziende italiane ed europee. Si va da istituzioni pubbliche a provider di servizi fino a società di consulenza, la maggior parte dei quali afferenti al settore bancario e finanziario italiano, ma anche Telco ecc..

Il post su RaidForum nel darkweb
Il post in questione si intitola “Contacts of 3K Executives and employees of Italian & EU fintech companies” e contiene, tra i tanti contatti a livello europeo, quelli di 3887 contatti di italiani: nella foto sotto la pivot ordinata per mansione della vittima

Nel dettaglio, per ogni persona sono elencati:

Nome e cognome;
Mansione;
Numero di telefono;
Contatto email;
Azienda

Quali rischi?
Lo diciamo spesso che i dati sono ormai il petrolio del nuovo millennio: sono appetibili, sono redditizi, tutti ne sono alla ricerca. Questo caso, i contatti di dirigenti e professionisti di centinaia di aziende afferenti a settori strategici nazionali, è una vera e propria miniera d’oro per un attaccante: non solo perchè qualcuno ha pubblicato questi dati rendendoli disponibili gratuitamente per chiunque ne voglia ottenere copia, ma soprattutto perchè dà grandi possibilità di monetizzazione.
Spiegare che tipologia di rischi si corrono con un data leak come quello raccontato sopra ci offre anche la possibilità di spiegare perchè sono errate le reazioni, come spesso ci è capitato di sentire, che minimizzano tali eventi: “sono stati rubati solo dati personali, ma non quelli finanziari”, come se questo rendesse meno grave un episodio simile.

Per approfondire > Aumentano i casi della “truffa del Ceo” in Italia: i consigli degli esperti dello Csirt

Coi dati personali è possibile organizzare svariate tipologie di attacco. I più comuni sono:

furto di identità:
un attaccante che conosce dati personali come nome, cognome, azienda presso cui si è impiegati, compleanni ecc… può facilmente spacciarsi per qualcun altro. Non solo sui social, ma anche in azienda e nella vita privata;

spear phishing:
lo Spear Phishing è una variante dei messaggi di phishing: un cyber-criminale invia una e-mail mirata ad un individuo camuffandola come se fosse proveniente da una fonte attendibile. L’utente riceve una mail meticolosamente personalizzata da una fonte affidabile o ancora da una compagnia con la quale ha familiarità: spesso è addirittura prevista una certa interazione con la vittima. Queste email sono così attentamente pensate che sono perfettamente confondibili con email inviate da amici, colleghi o del tuo capo che richiede l’accesso a informazioni sensibili. I cyber-criminali che usano questa tecnica vivono grazie al fatto che hanno una certa conoscenza sulla vittima, cosa che permette loro di capire che tipo di messaggio può farti abbassare la guardia. Così ad esempio, possono includere nel messaggio la mail personale, dettagli sulla posizione professionale o altri tipi di informazione sottratti da altre fonti, quasi sempre dalle attività sui social network. La finalità di questi messaggi è, come qualsiasi altra frode informatica, quella di accedere al sistema dell’utente o estorcere informazioni sensibili;

attacchi BEC (Business Email Compromise):
il Business Email Compromise è un tipo di attacco di phishing nel quale l’attaccante si presenta come dirigente aziendale e cerca di convincere clienti, dipendenti o fornitori a trasmettergli informazioni sensibili e fondi associati. Gli attacchi BCE sono la forma più mirata possibile di phishing: la preparazione richiede approfondita analisi dei profili social e di tutto ciò che nel web è rintracciabile riguardo i dipendenti presi di mira.
Per approfondire > La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota

Per approfondire > Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi

Sono queste, tutte forme di ingegneria sociale: i dati personali sono usati per portare avanti truffe che non richiedono alcun malware, alcun accesso informatico abusivo… insomma poche difficoltà. Questo perchè tali attacchi non sono mirati contro le macchine, ma hanno al contrario un “bersaglio” preciso da sfruttare, l’anello debole della cyber security ovvero l’essere umano. Non a caso, per ingegneria sociale si intende proprio “l’arte” di truffare le persone convincendo esse stesse a cedere, volontariamente pur senza consapevolezza, soldi, ulteriori dati, accessi e credenziali senza lanciare alcun attacco.

Insomma, i casi di data leak o data breach di dati personali non sono affatto meno gravi, meno pericolosi, meno preoccupanti dei casi in cui trapelano dati finanziari, anche nella vita extra lavorativa: è utile citare, in questo caso, l’indagine della procura di Lecce su un uomo che, spacciandosi per ginecologo, proponeva “visite in webcam” a giovani ragazze delle quali conosceva molti dati e dettagli della vita personale e sanitaria.

01[1]

L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima

giovedì 25 novembre 2021
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima

Il CERT AGiD lancia l’allarme rispetto ad una tipologia di cyber attacco affatto nuova, ma che ha fatto registrare una preoccupante crescita: parliamo del phishing adattivo. Il report completo del CERT è disponibile qui, ne rendiamo per utilità i punti salienti.

Phishing adattivo: che cosa è?
Per iniziare è utile dare una definizione chiara di cosa si intenda per phishing adattivo: si parla di campagne di phishing che hanno la particolarità di adattare il loro contenuto secondo il dominio dell’azienda / organizzazione di appartenenza della vittima.

Che differenza quindi con le classiche campagne di phishing?
Nella classiche campagne di phishing loghi, riferimenti, contatti, personalizzazioni vengono decisi e approntati in precedenza dagli autori: all’avvio, la campagna ha contenuti fissi, che non mutano. La novità è che sempre più spesso sono intercettate campagne di phishing i cui contenuti variano in base al profilo della vittima: i contenuti sono cioè dinamici e variano in base al dominio dell’indirizzo email della vittima stessa.

Phishing adattivo: un esempio pratico

Il CERT fornisce un esempio pratico di campagna di phishing adattivo individuata realmente in diffusione. La pagina di phishing rispondente all’URL https[:]//rtl5.tk/general-page-dru-hash.html#email@dominio.custom varia la propria foggia in base al dominio della vittima. Ecco le variazioni in immagine:

Fonte: https://cert-agid.gov.it/

Come si può vedere dall’URL della pagina, l’indirizzo email della vittima è una componente hash dell’URL. Al momento in cui l’utente compila i dati inserendo username e password, la pagina esegue una chiamata HTTP POST verso l’URL https[:]//rtl5.tk/general-eco.php.

Queste login page fake rendono anche un errore al primo tentativo di inserimento password, così da spingere la vittima ad inserire di nuovo le pass: è una tecnica già collaudata di ingegneria sociale che serve ad ingannare quegli utenti sospettosi che inseriscono al primo tentativo, a fine di test, password volutamente errate.

Il logo necessario all’approntamento della pagina di phishing adattivo viene generato dinamicamente contattando il sito https[:]//logo.clearbit.com in base all’indirizzo email presente nell’hash dell’URL. Il nome dell’organizzazione / azienda della vittima viene invece dedotto dalla stringa tra la @ e il primo punto subito successivo.

Il CERT evidenzia due aspetti peculiari relativi a questa tipologia di attacco:

efficacia della campagna:
visto che alla vittima viene mostrato il logo dell’organizzazione bersaglio aumenta esponenzialmente la possibilità che la vittima sia tratta effettivamente in inganno.
offuscamento del codice Javascript in pagine di phishing:
offuscare codice javascript non è una tecnica nuova, anzi. La novità è l’impiego di questa tecnica in pagine di phishing. Non ne è chiaro il motivo: offuscare codice javascript su una pagina di phishing non dovrebbe portare alcun vantaggio per gli attaccanti. Questo perché resta piuttosto facile analizzare una pagina di phishing tramite, banalmente, i tool del browser. E’ un dato di fatto però, che tale tecnica sia sempre più diffusa.

01[1]

Black Friday e furto carte di credito: il centro nazionale di sicurezza del Regno Unito accende i riflettori su MageCart

venerdì 26 novembre 2021
Black Friday e furto carte di credito: il centro nazionale di sicurezza del Regno Unito accende i riflettori su MageCart

Vicino alle feste, che sia Natale, Pasqua, San Valentino fioccano gli articoli, gli alert, gli annunci riguardo ai rischi che si corrono pagando online: in questo caso però l’alert è “reale” nei termini che è stato individuato un volume tale di attacchi contro gli shop online da aver spinto il National Cyber Security Centre (NCSC) del Regno Unito a pubblicare un alert ad hoc su Magecart.

MageCart: la campagna per il furto di carte di credito
MageCart è una minaccia informatica tutt’altro che nuova. Il problema è che non si riesce ad arginarla, ormai da anni, cosa che l’ha fatta assurgere al podio delle campagne di attacco contro il settore del retail e dello shopping online.

Partiamo dall’inizio: MageCart, ovvero il “Carrello dei Maghi” è il nome di un gruppo di cyber attaccanti che si è specializzato nel furto dei dati relativi alle carte di credito. Per ottenere tali dati questo gruppo attacca preventivamente gli e-commerce e inizia a raccogliere i dati che gli utenti inseriscono volontariamente. Il gruppo non è insolito attaccare piccoli e-commerce, ma ha messo le mani anche in contesti dove c’è abbondante miele: tra le vittime troviamo nomi quali British Airways, Ticketmaster, diverse catene alberghiere multinazionali ecc… Predilige gli attacchi sugli Amazon S3 Buckets non configurati correttamente: quello di Amazon è un servizio molto molto diffuso e utilizzato da aziende di piccole e grandi dimensioni e questo lo rende un obiettivo molto ghiotto.

E’ utile fornire qualche numero per concretizzare il rischio. RiskIQ, società di sicurezza americana, ha studiato e monitorato a lungo queste campagne di attacco: nel 2019 il 17% degli annunci dannosi presenti nel web (malvertising) afferivano a campagne MageCart. L’alert dell’NCSC consegue al fatto che in pochissimi giorni sono stati violati oltre 4000 negozi online inglesi proprio a ridosso del black friday.

Una particolarità: MageCart ha sviluppato un sistema di processi del tutto automatizzati che compromettono gli shop online senza necessità di intervento manuale da parte dei membri del gruppo.

MageCart e il web skimming: la tecnica di attacco

Il gruppo MageCart utilizza una tecnica di attacco nota come web skimming. Iniettano nel sito e-commerce un Javascript dannoso e da quel momento tutti i dettagli di pagamento inseriti dagli utenti nel sito target finiscono in mani agli attaccanti. Molto gettonati sono gli attacchi contro i negozi self-hosting, più raramente invece si infiltrano direttamente dentro le piattaforme in cloud o tramite aziende di terze parti che forniscono pubblicità e analytics agli stessi shop online.
Il risultato? Gli attaccanti restano latenti ma attivi entro i siti per settimane, mesi, in alcuni casi anche anni senza essere scoperti, perchè il Javascript dannoso alla base del furto degli estremi delle carte di credito è praticamente impercettibile, così come sono estremamente difficili da individuare le sue attività.

MageCart si è evoluto: migliorie alla tecnica di attacco
Recentemente Malwarebytes ha annunciato di aver individuato e analizzato una campagna di web skimming afferente a MageCart che prevedeva meccanismi in grado di eludere macchine virtuali e sandbox: un sistema per bypassare i sistemi di sicurezza e riuscire ad eseguirsi esclusivamente su macchine reali. Semplicemente gli attaccanti ricercano nella macchina bersaglio specifici valori che indicano la presenza di software di virtualizzazione usando l’API Javascript WebGL.

Questa verifica gli permette di evitare, inoltre, quelle macchine “trappola” dette honeypot che i ricercatori mettono in rete cercando di attirare gli attaccanti: scopo del gioco è portare gli attaccanti ad eseguire il loro malware in un ambiente controllato (VM o sandbox) per poter procedere così ad analisi del malware. Inutile dire quanto sia vitale per gli attaccanti evitare tali analisi che rischiano di portare allo scoperto limiti e vulnerabilità del javascript alla base della campagna e di portare alla pubblicazione di IoC.

I controlli anti VM di MageCart. Fonte: Malwarebytes

L’alert del National Cyber Security Centre (NCSC) del Regno Unito
L’NCSC oltre all’alert pubblico, ha avvisato direttamente oltre 4000 negozi online che forse non avevano alcuna consapevolezza del fatto di essere stati violati (4151 invece sono state violate nel solo mese di Settembre). Alcuni di questi sono stati addirittura violati senza accedere al sito web perchè il codice dannoso Java è stato iniettato direttamente a livello di router. Per questo l’NCSC ha ribadito con forza, nell’alert, che è fondamentale che i gestori / possessori di questi 4000 e-shop si adeguino per colmare ogni falla e vulnerabilità. La quasi totalità degli e-shop target esegue Magento, popolarissima piattaforma di e-commerce open source, affetta da una vulnerabilità attivamente sfruttata dagli attaccanti.

Mitigazioni possibili per gli utenti: alcune indicazioni di base
Il rischio non è mai azzerabile, ma è minimizzabile. Queste sono le indicazioni di mitigazione per gli utenti che vogliono effettuare shopping online:

disporre di soluzioni antivirus e firewall che impediscano l’esecuzione arbitraria di codice e accessi illegittimi;
aggiornare periodicamente browser e sistemi operativi per ridurre al minimo le vulnerabilità sfruttabili;
valutare adblocker che verifichino / blocchino script, popup e ads;
evitare il pagamento online su store sconosciuti o sospetti o con cattiva fama.

a[1]

Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

martedì 16 novembre 2021
Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

Di Emotet abbiamo parlato decine di volte: è unanimemente considerato il malware più diffuso al mondo nel passato, famoso (ma sarebbe meglio dire famigerato) per la sua botnet tramite la quale distribuiva milioni e milioni di email di spam con allegati dannosi ogni giorno. Questi allegati distribuivano il malware Emotet per infettare il dispositivo e renderlo parte della botnet, così da poter avviare ulteriori campagne di spam e installare altri payload.

Emotet ha vantato nel passato collaborazioni con i malware di punta del cyber crime: parliamo di ransomware come Ryuk, Conti, Egregor ma anche altri malware, soprattutto QakBot (molto diffuso in Italia, anche nelle scorse settimane) e TrickBot.

All’inizio dell’anno “il colpaccio” delle forze dell’ordine e dell’Europol: due persone finiscono in manette mentre la task force assume il controllo dell’infrastruttura della botnet. Di li a poco, la Polizia tedesca utilizza l’infrastruttura stessa per distribuire un modulo di Emotet che disinstalla il malware dai dispositivi infetti: è il 25 Aprile 2021. Quasi 700 server vengono scollegati dall’infrastruttura.

Per approfondire > Finisce un’era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell’ordine smantellano definitivamente la botnet

Bad news: Emotet is back

Ora arriva la brutta notizia e arriva dai ricercatori di Cryptolaemus, un gruppo che per anni ha seguito, monitorato e analizzato le campagne di Emotet, l’avanzamento della sua infrastruttura e l’ampliamento della botnet, nonchè le partnership. Emotet infatti negli ultimi anni si era specializzato come “ariete”: una volta aperta una porta su un dispositivo o una rete, rivendeva questi accessi ad altri gruppi di cyber attaccanti in cambio di una parte dei proventi conseguenti agli attacchi.
Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

E’ proprio grazie ad una delle partnership più solide che Emotet è tornato in campo: i suoi autori stanno infatti ricostruendo la botnet Emotet utilizzando l’infrastruttura di TrickBot. Il ricercatore di Cyrptolaemus Joseph Roosen ha spiegato che non ci sono stracce, ad ora, di attività di spamming dalla botnet Emotet e non sono stati individuati in diffusione documenti dannosi: la mancanza di attività indica che ancora la botnet non è ricostruita e probabilmente sta rubando nuovi account email per avviare la catena di risposte per le future campagne. Quel che è certo è che, invece, il malware TrickBot sta diffondendo sui dispositivi infetti un loader di Emotet.

L’operazione è stata ribattezzata, dai ricercatori, “Operation reacharound”. Le prime analisi sul nuovo loader indicano alcune novità rispetto alle versioni precedenti, segno che il malware è stato rivisto e migliorato. I comandi che il malware porta con sé ora sono 7, anzichè 3-4. Sembrano riferire a diverse opzioni di esecuzione di binari scaricati (e non solo DLL).

Alla luce di questi eventi, le parole del ricercatori di sicurezza ed esperto di ransomware Vitali Kremez, suonano come un allarme:

“Questo è un primo segno di una possibile, imminente attività del malware Emotet in soccorso di operazioni ransomware di livello globale, data la carenza attuale dell’ecosistema dei loader”.

Il timestamp della DLL del loader è chiaro: Sun Nov 14 20:50:34 2021, 14 Novembre. In due giorni sono già 246 i nuovi dispositivi infetti che sono utilizzati come server di comando e controllo.

Misure di mitigazione
Onde evitare di dover correre ai ripari quando le uova si sono già rotte nel paniere e visto che Emotet è stato molto attivo anche in Italia, gli amministratori di rete potrebbero valutare di bloccare gli indirizzi IP attualmente conosciuti associati alla botnet, disponibili qui

a[1]

l malware sLoad torna in diffusione in Italia dopo due mesi: individuata nuova campagna via email PEC

lunedì 15 novembre 2021
Il malware sLoad torna in diffusione in Italia dopo due mesi: individuata nuova campagna via email PEC

L’alert viene dal CERT che, assieme ad alcuni provider e gestori di infrastrutture PEC, ha individuato e analizzato una campagna email volta a veicolare il malware sLoad. Alert di questo tipo, con i relativi indicatori di compromissione, sono possibili grazie al lavoro congiunto che CERT e i provider PEC stanno svolgendo per monitorare, minimizzare e debellare i rischi informatici circolanti nel circuito PEC, del quale è imperativo garantire la massima sicurezza.

La campagna in oggetto è stata distribuita il 14 Novembre, dalle ore 22.50: i destinatari si sono visti recapitare email PEC con un file allegato.

Fonte: https://cert-agid.gov.it/
Questo file è un formato archivio .ZIP contenente, a sua volta, un altro .ZIP contenente un file DPF corrotto, un file immagine .PNG corrotto e un file .WSF (Windows Script File), il loader.

Lo ZIP iniziale è contraddistinto da un nome file molto chiaro, che identifica la campagna in maniera inequivocabile: il pattern è “documenti-contabili-”.

Fonte: https://cert-agid.gov.it/

Gli esperti del CERT fanno notare come questo schema sia sostanzialmente identico a quello della precedente campagna di distribuzione di sLoad: doppio ZIP, un loader scritto in WSF e due file non dannosi in formato PNG e PDF.

E’ l’esecuzione del file “fiscale.wsf” che porta al download del payload di secondo stadio: la risorsa viene scaricata tramite l’uso dell’utility bitsadmin: questa l’istruzione in chiaro

Fonte: https://cert-agid.gov.it/

Il codice del malware risulta pesantemente offuscato ed è salvato nel file “dev.txt”.

sLoad: qualche info tecnica
sLoad è un malware con funzionalità di downloader / dropper di altri malware. Diffuso esclusivamente via campagne di email di spam, può raccogliere informazioni sui sistemi Windows infetti e inviarli al server di comando e controllo, dal quale riceve anche una serie di comandi secondo la tipologia della macchina colpita. Tali comunicazioni usano, sfortunatamente, il servizio Bitsadmin che Windows usa invece legittimamente per gli aggiornamenti del sistema operativo. Tra le informazioni sottratte dai sistemi ci sono anche gli elenchi dei processi in esecuzione, ma anche l’eventuale presenza di client di posta elettronica da “scassinare”. Può inoltre acquisire screenshot, analizzare la cache DNS in cerca di precisi domini e, soprattutto, scarica ed esegue i payload di altri malware (principalmente ransomware e trojan).

00[1]

Risolvibile la più recente versione del ransomware Thanos: qualche info tecnica

giovedì 18 novembre 2021
Risolvibile la più recente versione del ransomware Thanos: qualche info tecnica

E’ stata individuata una falla nell’algoritmo di criptazione della versione più recente del ransomware Thanos: è quindi risolvibile la maggior parte delle criptazioni eseguite con questo ransomware. Abbiamo ricevuto molte segnalazioni e richieste di supporto per questo ransomware, anche da utenti italiani: i dati telemetrici confermano una circolazione globale del ransomware, che però ha spesso colpito in Europa, Italia compresa.

Coloro che hanno bisogno di assistenza possono consultare la pagina dedicata al servizio, contenente tutte le indicazioni necessarie per ricevere supporto > https://www.decryptolocker.it/

Thanos: come riconoscere l’infezione
Il primo problema che spesso si presenta alle vittime di ransomware è quello di riuscire a individuare il tipo di criptazione subite. Thanos ha alcune caratteristiche peculiari, che aiutano ad individuarlo:

> estensioni di criptazione: la maggior parte dei ransomware “aggiunge” al nome file una estensione che lo caratterizza. Le prime versioni di Thanos utilizzavano l’estensione .locked, le più recenti invece una estensione di 6 caratteri casuali.

Esempio di file criptati da Thanos Ransomware
NB: le criptazioni in .locked non sono ancora risolvibili. Quelle con 6 caratteri casuali, ad opera della versione più recente del ransomware, sono invece risolvibili.

> nota di riscatto: la nota di riscatto può variare rispetto ai contatti che i cyber attaccanti inseriscono per essere contattati dalla vittima, ma tendenzialmente rispetta un template unico. Le prime versioni del ransomware copiavano sui dispositivi della vittima la nota di riscatto “HOW_TO_DECYPHER_FILES.txt”

La versione più recente invece si chiama “RESTORE_FILES_INFO.txt”:

Clicca sull’immagine per ingradirla

Qualche info tecnica
Purtroppo il vettore di infezione di Thanos non è chiaro: si sa che l’infezione viene avviata con uno script PowerShell che contiene ulteriori script. Questi script vengono diffusi lateralmente a tutte le macchine collegate in rete. Sotto il flusso di esecuzione dei diversi script

Fonte: seqrite.it

Il Payload finale del ransomware è un .NET criptato di tipo modulare: il ransomware Thanos cioè è dotato di più moduli, ognuno dedicato ad una diversa funzionalità. Senza elencarli tutti, ecco i principali:

Antikill: è un modulo che mette al sicuro i processi collegati al ransomware Thanos. La funzione lamInmortal rende impossibile interrompere quel processo;
Antidebugger: questo modulo serve al ransomware ad “accorgersi” nel caso in cui sia in esecuzione su debugger o ambienti virtuali. In questo caso il modulo interrompe immediatamente l’esecuzione del ransomware. E’ una tecnica per ostacolare quei ricercatori che utilizzano i cosiddetti Honeypot, ovvero macchine virtualizzate per attirare i ransomware e poterli analizzare senza che possano fare danno. E’ una forma di autodifesa degli attaccanti;
Antisniffer: altro modulo di autodifesa del ransomware. Serve ad arrestare una serie di processi usati solitamente per analizzare i ransomware, qualora siano trovati attivi sulla macchina bersaglio;
Encryptions – contiene tutto ciò che è correlato alla routine di criptazione, come le funzioni di criptazione AES-CBC, di decriptazione, di lettura dei dati dai file, di scrittura dei dati su file;
CryptographyHelper – implementa la criptazione RSA;
NetworkSpreading – scarica una applicazione di Power Admin (che consente di eseguire Windows su una macchina remota) e esegue la versione corrente sulla macchina remota;
ProcessCritical – verifica se il processo sia in esecuzione con i privilegi di amministrazione;
RIP – implementa la tecnica RIPplace (vedi qui ulteriori dettagli)
Thanos ha anche una serie di funzioni dedicate agli antivirus: ricerca cioè tutti i processi correlati alle più popolari soluzioni antivirus e le termina, così da disarmare completamente il dispositivo.

Fonte: seqrite.it
In ultimo, Thanos cancella le copie shadow dal sistema usando vssadmin.exe e tutti i file di backup che riesce a trovare, anche fossero su drive differenti: insomma impedisce il rispristino del sistema.

Alcune versioni avevano perfino una funzionalità per sovrascrivere l’MBR, fondamentale per avviare il sistema operativo. In quei casi il SO diviene inavviabile e viene mostrata solo questa schermata:

01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 12 novembre 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 30 Ottobre – 5 Novembre
Nel corso della scorsa settimana in CERT AgID ha analizzato 33 campagne dannose nel cyber spazio italiano: 30 hanno mirato ad obiettivi italiani, 3 sono state campagne generiche ma veicolate anche in Italia. 538 gli indicatori di compromissione messi a disposizione.

5 sono state le famiglie malware individuate in diffusione, con 12 campagne. Ecco il dettaglio:

Dridex è stato diffuso con 4 campagne generiche a tema Pagamenti: il malware è stato diffuso tramite allegati EXCEL .XLS .XLSM con macro dannosa e con archivio .ZIP;
Qakbot è stato diffuso con 3 campagne mirate a tema Resend: il file vettore era un allegato .ZIP:
AgenTesla è stato diffuso con 3 campagne generiche e allegato in formato immagine .ISO e GZ;
RedLine è stato rilevato in diffusione a seguito di attività di monitoraggio di una serie di domini sospetti. Il CERT ha pubblicato su questo malware una apposita news consultabile qui;
Lokibot è stato diffuso con una campagne generiche, una a tema Ordine e una a tema Pagamenti: vettori attacco gli allegati .GZ.
RedLine in breve:
RedLine è un infostealer conosciuto fin dagli inizi del 2020: già diffuso all’estero entro utility o giochi, sbarca per la prima volta in Italia. E’ un MaaS, malware as a service, affittabile via Telegram sotto abbonamento, con un costo che varia dai 150 dollari al mese agli 800 per 3 mesi. E’ molto utilizzato per rubare informazioni da rivendere ma anche, sopratutto, credenziali in vista di attacchi futuri. Molto spesso è utilizzato per rivendere le informazioni rubate agli autori di ransomware.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della settimana 30 Ottobre – 5 Novembre
21 sono state le campagne di phishing analizzate, che hanno coinvolto ben 11 brand:

Webmail generica: sono ben 6 le campagne email individuate volte al furto di credenziali di accesso ad account email. Per la prima volta il phishing bancario non è al primo posto per il numero di campagne;
Poste, Nexi, Intesa Sanpaolo, MPS, Paypal sono i brand sfruttati nelle campagne phishing a tema Banking della settimana;
Sky è ancora stata sfruttata, come la scorsa settimana, in campagne a tema Abbonamento e Streaming volte al furto delle credenziali dei clienti;
DHL è stato sfruttato con una campagna volta al furto dei dati delle carte di credito;
Zimbra invece ha subito una campagna di phishing a tema Avviso di sicurezza mirata ovviamente al furto delle credenziali di accesso agli account email;
Camera dei Deputati è stata sfruttata per una campagna a tema Avviso di sicurezza, anche in questo caso volta al furto di credenziali email: le email erano molto credibili, recanti anche loghi istituzionali ufficiali;
Netflix è stata sfruttata con una campagna a tema Streaming volta al furto delle credenziali delle carte di credito.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, il gradino più alto del podio è occupato dal formato archivio .ZIP, subito dopo si confermano i file formati Excel, quindi i formati .GZ e .ISO

Fonte: https://cert-agid.gov.it/

Canali di diffusione
Riguardo ai canali di diffusione, le email restano e si confermano il canale privilegiato rispetto agli SMS

Fonte: https://cert-agid.gov.it

00[1]

l cybercrime non sempre paga: nessuno compra i dati della SIAE. Gli attaccanti provano a svendere i dati

lunedì 8 novembre 2021
Il cybercrime non sempre paga: nessuno compra i dati della SIAE. Gli attaccanti provano a svendere i dati

Dell’attacco informatico contro la SIAE ne hanno parlato tutti i principali media, anche esteri: descritto inizialmente come un attacco ransomware, è risultato essere invece qualcosa di diverso. Il gruppo dietro l’attacco è, come già noto, Everest che si occupa anche di campagne ransomware ma, nel caso in dettaglio, gli attaccanti si erano limitati ad accedere alla rete e esfiltrare i dati lasciandoli integri sui sistemi informatici SIAE e cercare di monetizzarli.

Per approfondire > Bucati i sistemi informatici della SIAE: i cybercriminali di Everest rubano i dati degli iscritti, dei dipendenti e dei dirigenti – aggiornato

Il primo tentativo di monetizzazione è stata la classica estorsione post data breach: gli attaccanti hanno annunciato il furto dei dati mettendo dei sample a disposizione sul loro sito di leak e avanzando una richiesta di riscatto direttamente all’ente. La prima richiesta era stata di 3 milioni di euro in Bitcoin, ma fu prontamente rispedita al mittente dal direttore generale Gaetano Blandini:

“La Siae non darà seguito alla richiesta di riscatto. Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l’andamento della situazione cercando di mettere in sicurezza i dati degli iscritti della Siae”

Incassata la prima batosta e di fronte alla ferma volontà di SIAE di non pagare (sembra che non abbiano neppure mai cercato di contattare gli attaccanti), il riscatto è stato ulteriormente abbassato a 500.000 euro. Anche in questo caso nulla, la SIAE decide di mantenere il pugno di ferro e non arretra di un millimetro.

Gli attaccanti corrono ai ripari quindi e tentano una forma diversa di estorsione: disponendo di nomi e cognomi, indirizzi di residenza fisica, iban, codici fiscali, date di nascite, passaporti e una miriade di altri dati tentano l’estorsione direttamente contro gli artisti.

“Benvenuto nel dark web, abbiamo tutto le tue informazioni personali e bancarie, se non vuoi che venga tutto reso pubblico paga 10 mila euro in Bitcoin a questo indirizzo”, con deadline per il pagamento fissata al giorno 22 Ottobre: questo il messaggio SMS che centinaia di artisti hanno ricevuto. Il tentativo di estorsione è stato ricevuto e denunciato da artisti del calibro di Al Bano, Samuele Bersani, Rocco Tanica (tastierista degli Elio e le Storie tese) ecc…

Anche qui nulla, un buco nell’acqua: nessuno degli artisti cede e paga e, anzi, la Procura di Roma apre formalmente un fascicolo di indagine per tentata estorsione e accesso abusivo a sistema informatico.

Così il 22 ottobre gli attaccanti, rimasti a bocca asciutta, mettono in vendita una parte dei dati rubati: ne pubblicano 1,95 GB a fronte dei 60GB sottratti e lo mettono in vendita a 500.000 euro.

“Questi sono i dati dei clienti della Società Italiani degli Autori ed Editori, documenti finanziari e altri documenti molto importanti. Un numero enorme di passaporti, patenti di guida, documenti di pagamento, conti bancari, carte di credito e altri dati utente. La società non ha concluso un accordo: il prezzo per tutti i dati è di 500mila dollari”, recita il post con l’annuncio di vendita. Non solo: gli attaccanti continuano a sperare in un intervento diretto delle celebrità italiane per tutelare la propria privacy. Il testo continua infatti:

“La società non è voluta scendere a patti. Il prezzo di tutti i dati è 500.000 dollari. Rappresentanti delle celebrità, contattateci per riscattare i dati. Dopo la vendita i dati saranno cancellati”.

In effetti, questa volta i dati pubblicati sono di alto valore: sono 5.200 file contenenti molti dati personali, ma anche recapiti bancari, numeri di telefono, indirizzi, cambi di residenza fiscale ecc.. ma anche in questo caso non si muove una foglia. Nessuno paga, nessuno cede.

Gli attaccanti provano quindi con un ulteriore sconto a monetizzare l’attacco: si passa a 300.000 dollari di richiesta, scontati dopo pochi giorni a 150.000 dollari.

Fonte: Everest data leak site

Due giorni fa il prezzo è stato definitivamente tolto: “the database is on sale” recita mestamente il sito di leak di Everest. Non sempre, insomma, il cybercrimine paga.

Fonte: Everest data leak site

00[1]

Rapporto Clusit 2021: +12% di attacchi informatici nel mondo. Il cybercrime produce il 6% del PIL mondiale

mercoledì 10 novembre 2021
Rapporto Clusit 2021: +12% di attacchi informatici nel mondo. Il cybercrime produce il 6% del PIL mondiale

E’ stato pubblicato il Rapporto Clusit 2021 e, di nuovo, è l’anno “peggiore di sempre” in termini di cybersecurity. Un dato su tutti può rendere chiaro il livello allarmante raggiunto dal cybercrime, anche sulla scia della pandemia e dell’aumento esponenziale delle superfici di attacco: il cybercrime ha superato il valore del 6% del PIL mondiale ed è divenuto, definitivamente e nei fatti, un’emergenza globale come hanno detto esplicitamente gli esperti che hanno presentato il Rapporto durante il Security Summit.

Lo dice chiaro il Clusit, che presenta così il nuovo Report
“Fino all’anno scorso, avevamo l’abitudine di pubblicare a ottobre un rapporto di metà anno, che riprendeva in gran parte il rapporto principale, pubblicato ogni anno a marzo, con l’aggiornamento dei soli dati relativi agli attacchi del primo semestre dell’anno in corso. A partire da questa edizione, invece, abbiamo deciso di pubblicare un rapporto di metà anno con contenuti e dati completamente inediti rispetto a quello di marzo. E ciò è dovuto allo spettacolare incremento degli attacchi informatici, sia a livello quantitativo che qualitativo (per la gravità del loro impatto), che necessita di una costante attenzione”.

Nel primo semestre del 2021 le cyber minacce sono ancora in aumento, soprattutto quelli dagli effetti e conseguenze gravi: questi segnano un +24% rispetto allo stesso periodo del 2020. Si è passati cioè da 156 attacchi di entità grave al mese nel 2020 ai 170 attacchi gravi al mese nel 2021. Di certo c’è che la situazione è più grave perchè le cifre sono sottostimate.

Cyber attacchi: le finalità di attacco più comuni

+21% invece è l’aumento registrato di attacchi con finalità estorsive: questi ammontano ormai all’88% del totale degli attacchi registrati. +18% gli attacchi a finalità di “Information warfare” per acquisizione di vantaggi economici, militari o strategici nei rapporti tra Stati. Un secco -36,7% invece segna il brusco arresto degli attacchi di spionaggio informatico, che avevano invece fatto registrare un improvviso picco lo scorso anno a causa di un forte volume di attacchi di spionaggio incrociati per il furto di informazioni sui vaccini e sulle cure anti Covid19.

Fonte: Rapporto Clusit 2021 – Edizione di ottobre 2021

Le tecniche di attacco più utilizzate
Riguardo le tipologie di attacco, l’uso dei malware rappresenta il 43% del totale delle tecniche di attacco analizzate, un +10% rispetto lo scorso anno. Le tecniche sconosciute, ovvero quelle non specificate esplicitamente nelle segnalazioni pubbliche, sono cresciute del 13.9% rispetto al secondo semestre 2020. Superano così i classici attacchi sulle vulnerabilità, che segnano comunque un +41% estremamente preoccupante. Phishing e ingegneria sociale leggermente in calo, mentre l’impiego di più tecniche di attacco, “tecniche Multiple” nella tabella, segna un +11%. Diminuiscono del 42,9% gli attacchi DDoS così come quelli realizzati tramite furto d’identità.

Fonte: Rapporto Clusit 2021 – Edizione di ottobre 2021

Distribuzione geografica degli attacchi
Classificando le vittime per area geografica emerge una situazione sostanzialmente invariata per quanto riguarda l’area americana, ma segna un aumento dal 15% al 25% il numero di vittime collocate in Europa.

I settori più colpiti dai cyber attacchi
Suddividendo le vittime per categoria di appartenenza emerge un aumento del 39.2% degli attacchi contro governi, forze di polizia, eserciti. Anche la sanità si conferma nell’occhio del ciclone: +18.8% di attacchi contro strutture sanitarie di vario tipo. I settori col maggior incremento di attacchi sono il settore tecnico, scientifico e professionale (+85.2%), il settore Retail (+61.3%), il settore trasporti e storage (+108,7%) e news e multimedia. Il manifatturiero subisce un aumento del 46,9% degli attacchi.

Fonte: Rapporto Clusit 2021 – Edizione di ottobre 2021

La situazione in Italia
Clusit riporta i dati di analisi di Fastweb che, nel monitorare 6.5 milioni di indirizzi IP pubblici, ha rilevato oltre 36 milioni di eventi di sicurezza.

I ransomware segnano un +350% rispetto allo stesso periodo dello scorso anno e cresce anche il livello di criticità: le conseguenze di questi attacchi cioè sono sempre più gravi. Aumenta il numero di attacchi mirati contro gli endpoint, segno che gli attaccanti si stanno concentrando sui dipendenti in smart working. Gli attacchi contro i dispositivi dei dipendenti da remoto hanno segnato un +40% rispetto allo scorso anno

Fonte: Fastweb

Due note positive: il malware Emotet, molto diffuso in Italia, ha cessato la propria attività dopo l’intervento congiunto di forze dell’ordine e aziende private del mondo della cyber sicurezza. Oltre a ciò, si è ridotta del 19% rispetto al 2019 l’esposizione di alcune tipologie di applicativi esposti su internet (SMB, RDP, Telnet ecc..). Pare che la maggior consapevolezza delle aziende rispetto ai rischi informatici abbia spinto a dotarsi di soluzioni come firewall o VPN per garantire la business continuity.

01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 5 novembre 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 23-29 Ottobre
La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose attive nel cyber spazio italiano: 28 sono state campagne mirate contro utenti italiani, 7 invece campagne generiche ma veicolate anche in Italia. 438 gli indicatori di compromissione pubblicati.

Le campagne malware analizzate hanno diffuso 5 diverse famiglie ransomware, per un totale di 10 campagne email malware. Ecco le famiglie:

Dridex è stato diffuso con 3 diverse campagne a tema Pagamenti: le email veicolavano file .XLS e .XLSM con macro dannosa;
Ursnif è stato diffuso con 3 diverse campagne, mirate contro utenti italiani: le email veicolavano allegati .XLS con macro dannosa;
AgentTesla è stato diffuso con 2 campagne generiche a tema Ordine e Documenti: le email veicolavano allegati .EXE e .XLL compromessi;
Qakbot è stato diffuso con una campagna mirata contro utenti italiani a tema Resend: le email veicolavano allegati archivio .ZIP;
Formbook è stato diffuso con più campagne contemporanee mirate contro utenti italiani: queste erano a tema Pagamenti e veicolavano file in formato .LZH e .DOC.
Dridex in breve:
è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E’ pensato per il furto dati e dellE credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware.

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 23-29 Ottobre
Le campagne di phishing individuate e analizzate sono state 25 e hanno coinvolto 11 brand:

Intesa Sanpaolo, Poste, IPS, BNL, RelaxBanking, Nexi sono stati i brand più colpiti nelle campagne di phishing a tema bancario;
è stata analizzata una campagna generica organizzata al fine di rubare accessi a servizi email generici;
Zimbra e Roundcube sono stati sfruttati con campagne a tema Avvisi di Sicurezza: ovviamente le campagne miravano al furto delle credenziali di accesso alle rispettive email;
Samsung è stata sfruttata nella più classica truffa email a tema vincita: all’utente veniva richiesto il pagamento di un piccolo importo per ricevere un SAMSUNG Galaxy Z Fold3 5G. Per poter procedere al ritiro del premio, all’utente era richiesto di compilare un form compilato il quale si viene reindirizzati a shop fake dove si possono “acquistare” iPhone di vari modelli. Tutti i dati inseriti nel form erano direttamente inviati agli attaccanti;
Microsoft è stato sfruttato in una campagna a tema sicurezza per il furto delle credenziali di Outlook;

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore utilizzati per la distribuzione dei malware, il gradino più alto del podio è occupato dal formato XLS di Excel: segue il formato EXE e, di nuovo, il formato Excel XLSM. I file Office si confermano i più utilizzati come vettori di attacco.

Fonte: https://cert-agid.gov.it/

Il CERT rende noto anche che la maggior parte delle campagne individuate sono state veicolate tramite canali email, ma sono state intercettate anche campagne via SMS

Fonte: https://cert-agid.gov.it/

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy