00[1]

Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

giovedì 16 dicembre 2021
Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

I CSIRT vengono da lontano: iniziamo dal 1988
Nel 1998, un laureato fresco di studi ad Harward decide di lanciare sull'Internet del tempo il suo codice dannoso: è un worm, che lo studente Robert Morris lancia su una rete che al tempo contava 60.000 computer connessi tra enti governativi, militari ed universitari. In meno di 24 ore cadono vittime del worm oltre 6000 macchine e Morris raggiunge il suo obiettivo: dimostrare la totale inadeguatezza delle misure poste a protezione della rete.

Morris, per fortuna, non è un cybercriminale e, di fronte al dilagare del suo worm, abbozza il primo tentativo mai registrato di Incident response: invia infatti in forma anonima le istruzioni necessarie non solo per rimuovere il suo worm, ma anche per impedire che possa di nuovo infettare le macchine bersaglio. Peccato che la rete sia in totale paralisi per il suo attacco e le informazioni non arrivino in tempo. Il worm continua a fare danni e diventano palesi l'assenza totale di coordinamento tra i vari "nodi" della rete nonché i problemi comunicativi.

L'agenzia USA DARPA, che finanzia progetti di ricerca di sicurezza nazionale, colpita profondamente dalle azioni di Morris, istituisce il primo centro di incident response per la risposta coordinata ai cyber attacchi. E' il primo CERT - Computer Emergency Response Team Coordination Center della storia, che poi si evolverà negli CSIRT- Computer Security Incident Response Team.

CERT e CSIRT sono poi stati istituzionalizzati in tutto il mondo.

La Direttiva NIS plasma il volto della cyber security europea
Approvata nel 2016, la Direttiva Europea 1148/2016, detta Direttiva NIS mira a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

In Italia è stato recepito con ben 4 decreti, volti a costituire e dare corpo al piano di cyber security nazionale.

Per approfondire > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

Computer Security Incident Response Team – CSIRT italiano
Viene istituzionalizzato addirittura nel 2011: il DPCM 8 Agosto 2011 contiene le disposizioni su come si organizza e funziona il Computer Security Incident Response Team – CSIRT italiano.

Compiti dello CSIRT italiano sono:

ricevere le segnalazioni di incidente per fungere da punto di contatto tra le attività di prevenzione e preparazione precedente ad eventuali situazioni di crisi derivanti da cyber incidenti. Attiva di conseguenza il Nucleo per la Sicurezza Cibernetica, che ha il compito di attivare tutte le procedure di allerta necessarie. Le operazioni sono svolte sotto la supervisione del DIS - Dipartimento per la sicurezza delle informazioni;
ricevuta la segnalazione, è compito dello CSIRT quello di fornire al segnalante tutte le informazioni che possono essere utili a gestire e mitigare con efficacia l'incidente;
informare gli altri Stati membri UE coinvolti dall'incidente al fine di tutelare la sicurezza degli Operatori di Servizi Essenziali (OSE) e dei Fornitori di Servizi Digitali (FSD). Tutto nel massimo rispetto e tutela della riservatezza delle informazioni fornite;
definire procedure per la prevenzione e la gestione di cyber incidenti;
garantire la collaborazione con l'intera rete di CSIRT, individuando ed applicando forme di cooperazione operativa, informativa e per la condivisione di standard e best pratices.
Insomma, l'organizzazione opera a 3 livelli:

quello nazionale, per migliorare la capacità di cyber difesa dello stato;
quello extranazionale, attraverso la rete europea CSIRT;
a livello di infrastrutture critiche e servizi essenziali.
Molto importante la funzione preventiva dello CSIRT: specialità di questo team sono il monitoraggio e l'analisi dei cyber incidenti nonché la gestione delle vulnerabilità. LO CSIRT fornisce quindi report, bollettini, alert in riferimento alle nuove minacce che potrebbero impattare sulle infrastrutture strategiche italiane.

Infine lo CSIRT si occupa di programmi di formazione, risk analysis e cyber awarness: tutte quelle attività che servono a rafforzare la resilienza ai cyber incidenti tramite l'accesscimento della cyber consapevolezza.

I due CERT italiani: CERT-N e CERT-PA
I due organismi, sempre più strettamente in collaborazione, svolgono congiuntamente il ruolo e le funzioni dello CSIRT. Sono appunto due:

Il CERT-N, Computer Emergency Response Team-N: è il CERT nazionale, istituito presso il MISE, si occupa del settore privato ed ha anche il compito di garantire la cooperazione a livello europeo;
CERT-PA, esclusivo per la Pubblica Amministrazione ed istituito presso l'Agenzia per l'Italia Digitale (AGID). Qui il sito istituzionale https://cert-agid.gov.it/
Va detto che questo modello, discendente appunto dalla direttiva NIS, è stato recepito quasi in tutti i paesi europei, che hanno appunto provveduto ad istituire CERT nazionali affiancati anche da CERT privati secondo le previsioni della direttiva NIS.

Al vertice della piramide della cyber security UE troviamo l'ENISA, l'European Union Agency for Cybersecurity

Per approfondire > Cybersecurity: l'UE si riorganizza per far fronte al cybercrime e creare il mercato unico della sicurezza

La mappa dei CERT europei. Fonte: ENISA

Per far fronte ai cyber attacchi sempre più diffusi, servono strutture dislocate sul territorio
Questa la convinzione dell'Agenzia per l'Italia Digitale che, nel 2019 ha pubblicato le “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i Cert regionali”. Il documento specifica che i CERT regionali, o CERT di prossimità, dovranno fornire i propri servizi a una categoria di utenti selezionati per appartenenza geografica (prossimità in senso territoriale) o per appartenenza settoriale in base funzionale (sanità, trasporti ecc...).

Alla base c'è la volontà di strutturare una capacità di risposta agli incidenti informatici crescenti che sia capillare e più efficiente e rapida possibile. Il problema da risolvere con l'istituzione di questi CERT di prossimità è quello della platea a cui si rivolgono i servizi del CERT. Per dare qualche numero: la platea di utenti "protetti" dal CERT-PA è passata dalle 70 amministrazioni del 2015 alle 22.000 di oggi, senza però che sia corrisposto a questa crescita un analogo e sufficiente aumento delle risorse assegnate.

Non serve neppure dettagliare troppo, crediamo, la necessità di questi CERT di prossimità: i recenti cyberattacchi contro grandi aziende (San Carlo, Clementoni, Alia Servizi Ambientali), contro i sistemi sanitari regionali (Lazio, USSL Padova), contro i comuni (si pensi al Comune di Torino e ai comuni riuniti sotto l'Unione Reno Galliera.) sono più eloquenti di mille parole.

01[1]

Log4Shell: prima installazione ransomware sfruttando la vulnerabilità di Java Log4j (risolvibile!)

mercoledì 15 dicembre 2021
Log4Shell: prima installazione ransomware sfruttando la vulnerabilità di Java Log4j (risolvibile!)

La CVE-2021-44228 in breve
La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria.

In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.15.0.

Nota Bene: la vulnerabilità è stata risolta nella versione Log4j 2.16.0, scaricabile qui. Consigliamo l'update prima possibile!

Per approfondire > Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

Il primo exploit di Log4Shell per installare ransomware
I ricercatori di sicurezza hanno riportato ieri martedì 14 Dicembre la notizia della prima famiglia ransomware che sta attivamente sfruttando l'exploit della CVE-2021-44228 per installare ransomware.

Nel caso in oggetto, l'exploit scarica una classe Java da hxxp://3.145.115[.]94/Main.class: questa classe viene caricata ed eseguita nell'applicazione L0g4j. Una volta caricata, questa scarica un binario .NET dallo stesso server per installare il nuovo ransomware, chiamato Khonsari.

Il nome Khonsari deriva dall'estensione che il ransomware stesso appone alla fine del nome del file e ricorre anche nella nota di riscatto

Lo stesso server è usato già da tempo per distribuire a livello mondiale un Remote Access Trojan chiamato Orcus.

Il Ransomware Khonsari in breve
Khonsari è una famiglia ransomware piuttosto nuova. Non si hanno molte informazioni: Michael Gillespie, intervistato da Bleeping Computer, ha fatto sapere che Khonsari esegue una routine di criptazione valida e sicura, il che significa che non è possibile recuperare gratuitamente i file riportandoli in chiaro. Rientra nei RaaS (ransomware as a service), anche se rispetto ad altri risulta molto meno sofisticato e professionale.

La stranezza è che le richieste di riscatto fino ad adesso scaricate sulle macchine bersaglio non contengono alcun riferimento per contattare gli attaccanti. Il che apre un dubbio: se l'attaccante non è contattabile per pagare il riscatto o almeno avviare una contrattazione, non si prevede la possibilità di recuperare i file. Questo porterebbe questo malware fuori dalla categoria dei ransomware, notoriamente i malware del riscatto, e lo incasella piuttosto entro i wiper malware pensati per cancellare senza possibilità di recupero i dati presenti su una macchina o su un'intera rete. C'è però anche chi sostiene che in realtà questi attacchi siano esperimenti non tanto mirati a monetizzare le attività criminali, quanto a sperimentare le reali possibilità di questo nuovo vettore di attacco che è Log4Shell.

Poco importa comunque, anzi, è una buona notizia che questo ransomware / wiper sia meno devastante di altri "colleghi" della categoria ma resta il punto: i cyber criminali vogliono e stanno già usando Log4Shell per distribuire non solo miner di criptovalute, botnet, tool come Cobal Strike ecc.. ma anche per distribuire ransomware. E' quindi solo questione di tempo prima che qualche "top ransomware" inizi a sfruttare attivamente questa falla, approfittando della storica lentezza con la quale le aziende procedono al patching di vulnerabilità gravi.

Aggiornamenti sull'andamento dei tentativi di exploit
Questa mattina l'esperto di cyber security e CSO presso Cassa Depositi e Prestiti Nicola Vanin ha pubblicato un aggiornamento interessante, che quantifica il volume di attacchi.

Si Parla di 840.000 attacchi contro Log4Shell in 72 ore. Circa 100 al minuto

Nota bene:
La versione 2.15.0 di Log4J, contenente la patch per la vulnerabilità 0day CVE-2021-44228, ha una propria vulnerabilità. Per questa falla, tracciata come CVE-2021-45046, sono già stati individuati 2 exploit. Ecco perchè le aziende che avevano già aggiornato Log4J alla 2.15.0 hanno continuato a subire attacchi.

Per questo Apache Foundation ha già reso disponibile la v. 2.16.0, che patcha la CVE-2021-45046.

01[1]

Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

martedì 14 dicembre 2021
Log4Shell: l'exploit 0-day della libreria Java Log4j che sarà l'incubo delle aziende (ma è mitigabile!)

N.B: consigliamo la lettura dell'aggiornamento in fondo all'articolo

Ci siamo presi del tempo prima di scrivere qualcosa rispetto a questa gravissima vulnerabilità che affligge Log4j, sviluppato dalla Apache Foundation e che è utilizzato sia per le app che per i servizi cloud nelle aziende di tutto il mondo. E' stato necessario del tempo perché si placassero chiacchiericcio, isteria e panico, che hanno determinato una buona fetta di disinformazione. Il panico non è mai utile, soprattutto nella cybersecurity dove avere le idee chiare è condizione necessaria (anche se non sufficiente) ad approntare efficaci mitigazioni ed evitare il peggio.

Qui non ci prendiamo l'onere di trattare l'argomento con completezza ma il fatto che questa vulnerabilità 0-day, registrata come CVE-2021-44228, abbia ottenuto un punteggio di 10/10 sulla scala CVSSv3 ribadisce la sua criticità e pericolosità: descrivere i punti salienti e fornire ulteriori materiali di approfondimento (ben verificandone le fonti) è quindi dovuto e necessario. D'altronde è un dato di fatto: Java è ovunque, quindi anche questa vulnerabilità è ovunque. E già circolano exploit e si registra un picco di attacchi verso la libreria Log4j. Ma andiamo con ordine

La CVE-2021-44228: dettagli tecnici
La CVE-2021-44228, ribattezzata Log4Shell, è una vulnerabilità che consente l'esecuzione di codice da remoto nella libreria Java Log4j. Log4J è una libreria basata su Java che è utilizzata come tool di logging per strumenti ed applicazioni varie.

Log4Shell è una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j. E' quasi onnipresente nei servizi utilizzati dalle aziende, ma affligge anche applicazioni usate da home user: paradossalmente uno dei primi a pubblicare la patch per questa vulnerabilità è stato il popolarissimo gioco Minecraft. Per i servizi aziendali è presente dai software alle app web nei prodotti Apple, Amazon, CloudFlare, Twitter, Steam, Tencent, Baidu ecc... Altri progetti open source come Redis, ElastichSearch, Elastic Logstash ecc.. utilizzano in parte questa libreria.

In caso un attaccante riesca a sfruttare con successo questa vulnerabilità può assumere il controllo totale dei sistemi che usano Log4j 2.0-beta9 fino alla versione 2.15.0.

Tra i primi a riportare questa vulnerabilità troviamo il team di sicurezza di Alibaba Cloud, che il 24 Novembre 2021, specificava come questa la CVE-2021-44228 impatti le configurazioni di default di moltissimi framework Apache, compresi Apache Stutrs2, Apache Solr, Apache Druid, Apache Flink e altri...
Il primo proof-of-concept di exploit è stato pubblicato su GitHub il 9 Dicembre, ma i cyber criminali avevano già avviato massive scansioni in Internet alla ricerca di sistemi vulnerabili: d'altronde il fatto che sfruttare questa vulnerabilità non richieda nessuna autenticazione la rende appetibile anche per attaccanti con scarse competenze informatiche. Insomma, un facile accesso ai sistemi, diffuso in tutto il mondo, utilizzabile per distribuire malware, rubare dati, compromettere server e intere infrastrutture: una manna dal cielo per il cyber crime.

Per approfondire leggi l'analisi dello CSIRT > Sfruttamento della CVE-2021-44228 riguardante Apache Log4j (BL01/211212/CSIRT-ITA)

Come funziona Log4Shell
La vulnerabilità costringe applicazioni e server basati su Java che utilizzano la libreria Log4j a registrare una specifica riga i codice nei propri sistemi: quando un'applicazione o un server elaborano i registri, questa stringa può far scaricare ed eseguire uno script dannoso sul sistema vulnerabile dal dominio controllato dall'attaccante. Per l'attaccante è sufficiente un endpoint con qualsiasi protocollo (HTTP, TCP...) che gli consenta di inviare la stringa di exploit.

Per approfondire leggi l'analisi dei ricercatori di Lunasec > Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package

Gli attaccanti stanno setacciando il web in cerca di macchine vulnerabili
Inutile dire che appena si è diffusa la notizia (e il proof-of concept su GitHub) i cyber criminali si sono scatenati sul web. La vulnerabilità è già attivamente sfruttata da qualche settimana. La redazione di Bleeping Computer ha già reso disponibile un elenco dei malware che vengono distribuiti sfruttando Log4Shell:

Miner di criptovalute:
è stata la prima tipologia di malware osservata in distribuzione tramite questa vulnerabilità. L'attaccante più attivo è quello che si nasconde dietro la backdoor Kingsing e la relativa botnet di cryptomining: sfrutta Log4Shell con una serie di payload in base64 utili per scaricare ed eseguire script shell. Questo script shell per prima cosa rimuove dalla macchina infetta qualsiasi malware concorrente, quindi scarica e installa il malware Kingsing: da quel momento la macchina inizia a minare criptovalue.

Botnet on fire: Mirai e Muhstik:
La stessa vulnerabilità è già massivamente sfruttata per installare i malware Mirai e Muhstik: questi malware reclutano dispositivi IoT e server nelle rispettive botnet, quindi li utilizzano sia per lanciare attacchi DDoS su vasta scala sia per distribuire miner di criptovalute.

CobaltStike ci mette lo zampino:
il Threat Intelligence Center di Microsoft ha fatto sapere che Log4Shell è utilizzata per distribuire anche Cobal Strike. Cobalt Strike è un tool di penetration testing legittimo molto utilizzato: solitamente i penetration tester scaricano agent di Cobal Strike, detti beacons, sui dispositivi compromessi per poter eseguire comandi sulla rete o per sorveglianza da remoto. E' ormai però notorio l'uso illegittimo di questo strumento, molto utilizzato per i breach nelle reti e nel corso di attacco ransomware. Anzi, si potrebbe dire che Cobal Strike è ormai il preludio di un attacco ransomware.

Esfiltrazione e furto dati:
Log4Shell non viene impiegata solo per distribuire malware: è molto utile anche per esfiltrare e rubare dati dai server vulnerabili.
Diffusione della minaccia: secondo CheckPoint il 5,51% degli exploit ha già colpito in Italia
CheckPoint ha pubblicato qualche giorno fa un primo interessante report sui tentativi di sfruttamento di questa vulnerabilità. Premesso che i dati si basano soltanto sui sistemi protetti dai loro servizi (quindi stiamo parlando di una parte dei dati reali), emergono a poco meno di una settimana fa già 86.000 exploit di questa vulnerabilità. Il 5.51% dei tentativi rilevati è avvenuto in Italia

Fonte CheckPoint

Ora tiriamo un sospiro di sollievo: ecco le mitigazioni
Partiamo dal punto più importante: l' Apache Software Foundation è corsa velocemente ai ripari e ha rilasciato un aggiornamento di sicurezza, che risolve la CVE-2021-44228.

L'aggiornamento è disponibile qui

Per chi non potesse eseguire l'aggiornamento della propria applicazione Apache, molti siti di settore riportano la soluzioni pubblicata da un ricercatore di sicurezza indipendente, p0rz9: non possiamo garantire l'efficacia di questa misura di mitigazione ma la riportiamo per completezza d'informazione.

Secondo p0rz9 la CVE-2021-44228 può essere sfruttata solo se il parametro log4j2.formatMsgNoLookups è impostato su false.

per chi esegue la versione 2.15.0 di Log4j non ci sono azioni da compiere: in questa versione questo parametro è impostato su true di default, proprio per prevenire attacchi. Gli utenti che eseguono la versione 2.15.0 di Log4j ma hanno impostato questo parametro su false sono invece vulnerabili ed è consigliabile invertire la rotta;
chi esegue la versione precedente di Log4j, quindi non ha eseguito l'update, ma ha il flag impostato su true può bloccare gli attacchi.
Bleeping sottolinea come sia possibile mitigare la vulnerabilità anche rimuovendo la classe JndiLookup dal classpath.

Ulteriori indicazioni di mitigazione per i sistemi Windows sono disponibili qui

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation by Microsoft
Microsoft’s Response to CVE-2021-44228 Apache Log4j 2
Qui l'alert di Cloudflare
Inside the Log4j2 vulnerability (CVE-2021-44228)

Aggiornamento del 17/12
La versione 2.15.0 di Log4J, contenente la patch per la vulnerabilità 0day CVE-2021-44228, ha una propria vulnerabilità. Per questa falla, tracciata come CVE-2021-45046, sono già stati individuati 2 exploit. Ecco perchè le aziende che avevano già aggiornato Log4J alla 2.15.0 hanno continuato a subire attacchi.

Per questo Apache Foundation ha già reso disponibile la v. 2.16.0, che patcha la CVE-2021-45046.

Happy snowman in winter secenery

Buone Feste!!!

Gentili Clienti,

gli uffici saranno chiusi dal 24 dicembre al 9 gennaio compresi,

riapriamo Lunedì 10 Gennaio 2022

in caso ESTREMA necessita/urgenza potete contattarci nei seguenti modi:

mail: info@yottaweb.net

WhatsApp: 0153700320

sms: 3928164969

Buone Feste

Saverio S.

01[1]

Cybersecurity: eppur si muove! Gli investimenti delle aziende italiane sono aumentati del 134%

lunedì 6 dicembre 2021
Cybersecurity: eppur si muove! Gli investimenti delle aziende italiane sono aumentati del 134%

Certo, la pandemia ha giocato un ruolo importante nella faccenda: il picco di attacchi informatici che si è visto scatenarsi in questi ultimi due anni era futuribile, ma forse neppure noi addetti al settore potevamo prevedere un volume tale di attacchi. Futuribile però perchè, con l'aumentare del ricorso allo smart working e al tele lavoro, i dipendenti da remoto hanno concorso all'aumento della superficie di attacco: aggiungiamoci i tanti che hanno lavorato da casa con pc e tablet proprio, mischiando vita privata e vita lavorativa, magari con macchine osbolete o eseguenti software vulnerabili e il gioco è fatto.

Non solo smart working comunque: in generale il cyber crime ha affilato le armi, si è fatto sempre più pericoloso per tipologia di attacchi, efficacia degli stessi al punto da aver prodotto un volume di "affari" pari al 6% del PIL mondiale.

Per approfondire > Rapporto Clusit 2021: +12% di attacchi informatici nel mondo. Il cybercrime produce il 6% del PIL mondiale

Uno scenario che non ha fatto sconti a nessuno, Italia compresa: i dati della Polizia Postale parlano chiaro, con un +246% di attacchi informatici nel 2020. E il 2021 non sta andando meglio: dati del Viminale parlano di una media di 800 cyber attacchi al giorno solo nella prima metà di quest'anno.

Lo stato della cybersecurity nelle aziende italiane
La nota positiva è che, finalmente, si sta diffondendo, volenti o nolenti, la consapevolezza del problema: almeno così confermano i numeri dell'indagine che Twt ha svolto sul punto, assieme all'istituto di ricerca Eumetra MR. Le aziende italiane hanno iniziato ad investire seriamente in cyber security.

Qualche numero:
investimenti in cyber security > +134%
aziende italiane che usano servizi di cybersecurity > 87%
aziende italiane che hanno iniziato ad usare servizi di cybersecurity nell'ultimo anno > 61%
L'ultimo dato, il 61% di aziende che hanno iniziato ad usare servizi di cybersecurity, rende l'idea della corsa ai ripari, perchè solo il 26% delle aziende utilizza tali servizi da più di un anno.

Resta ancora un'azienda su dieci che non utilizza servizi di cybersecurity, ma vorrebbe investire denaro per la sicurezza informatica nel prossimo anno.

Questi dati riferiscono sia ad aziende di grandi dimensioni (oltre 250 dipendenti), sia ad aziende medie (tra i 50 e i 250) dipendenti.

Le aziende italiane sono sempre più consapevoli
Un altro dato interessante emerso dallo studio di TWT è che le aziende italiane in realtà conoscono piuttosto bene il rischio cybercrime.

Il 90% delle imprese intervistate ha dimostrato un livello di conoscenza medio-alto del tema cybersecurity, meno del 10% dichiara apertamente una scarsa conoscenza del tema. Addirittura quasi la metà degli intervistati ha dichiarato di prevedere il cambio password mensile degli account utilizzati in azienda: il dato sale al 52% se si resta nell'ambito delle aziende medio-grandi. Gli altri dichiarano di provvedere al cambio password ogni 3/6 mesi, ma ancora c'è chi non si è neppure posto il problema di cambiarle periodicamente.

Solo il 40% delle aziende intervistate dichiara di organizzare o aver organizzato almeno una volta un corso di cybersecurity e sensibilizzazione informatica per i propri dipendenti: un problema non da poco visto che l'utente resta l'anello debole nella catena della cybersecurity.

Ma quali servizi?
Lo studio cerca di carpire anche ulteriori dettagli: quali servizi utilizzano le aziende italiane? Come?

Anzitutto, il primo dato interessante è che 2/3 delle aziende intervistate utilizza figure esterne per l'adozione e la gestione di servizi di cybersecurity: soltanto il 31% delle aziende dispone di figure interne ad hoc. Chi utilizza servizi e consulenti esterni ha però dimostrato grande confusione rispetto alla ripartizione delle responsabilità in caso di attacco informatico.

Tra i servizi di cybersecurity maggiormente in voga troviamo:

soluzioni di protezione dei pc durante la navigazione: antivirus, firewll, antimalware > 91%
sistemi per la protezione degli accessi ai PC e ai documenti aziendali: password, autenticazione a più fattori > 88%;
molto poco impiegati i sistemi di monitoraggio dello stato dei dispostivi e della rete > 19%. Un dato molto basso se accostato invece al 65% di aziende che dicono di conoscere e avere consapevolezza dell'importanza di tali strumenti ma, nei fatti, non ne hanno ancora adottati.
Il grande gap con altri Stati europei si registra però in tema di impiego dei sistemi di sicurezza dotati di intelligenza artificiale: solo il 2% delle aziende intervistate ne fanno uso. E questo 2% si concentra tra le grandi aziende.

Tutto sommato sono dati positivi, che lasciano ben sperare per un prossimo futuro.

Fonte: https://www.lastampa.it/economia/2021/11/29/news/cyber_security_gli_investimenti_delle_aziende_italiane_sono_cresciuti_del_134_-828490/

01[1]

Minacce alla sicurezza informatica: la top 6 del 2021

07 dicembre 2021
Minacce alla sicurezza informatica: la top 6 del 2021

Se ti è capitato recentemente di leggere le news, avrai sicuramente sentito parlare degli incidenti di cyber security che hanno colpito aziende di tutte le dimensioni in ogni angolo del mondo. Anche se spesso non fa notizia, anche le piccole e medie imprese sono state duramente colpite, ad esempio da attacchi di phishing o ransomware. E la situazione è nettamente peggiorata nell'ultimo anno.

Secondo un report recente, almeno il 25% delle aziende è stata vittima di un attacco informatico e ha scelto di pagare il riscatto. I cyber criminali sembrano molto incoraggiati dal loro successo e si sono fatti sempre più ambiziosi. L'esempio massimo nel corso del 2021 è stato l'attacco ransomware di rEvil contro il software Kaseya: gli attaccanti sono riusciti a colpire così 1 milione di clienti e a incassare il riscatto pagato da oltre 1000 aziende.

E' come se nessuno fosse al sicuro: anche scuole e ospedali sono presi di mira regolarmente. Il Report delle minacce di Seqrite, 3 trimestre 2021 riporta come siano state individuati almeno 4,6 milioni di cyber attacchi contro il settore dei servizi professionali, seguiti dal settore manifatturiero, quello educativo e perfino quello istutuzionale e governativo.

D'altronde la sempre maggiore dipendenza da Internet nell'era della digitalizzazione comporta maggiori vulnerabilità, maggiori rischi e minacce 0-day. Le piccole imprese hanno molto spesso difese e tecnologie di sicurezza meno solide, meno consapevolezza dei rischi, meno tempo e anche meno risorse per la cybersceurity. Questo le rende un bersaglio privilegiato per i cyber criminali rispetto ad altre organizzazioni più imponenti e meglio attrezzate.

Per questi motivi pensiamo che, per le piccole e medie imprese, la consapevolezza dei rischi sia comunque un passo importante, un valido aiuto per sapersi orientare e scegliere, con un budget limitato, le soluzioni più efficaci ed efficienti per mettersi al riparo dalle principali cyberminacce.

Vediamo allora la Top6 delle cyber minacce di questo 2021, perchè ci possano orientare al meglio e trovarci pronti l'anno prossimo.

> Attacchi di phishing
Il phishing è uno schema di attacco che porta l'utente con l'inganno ad aprire messaggi dannosi, sopratutto via email. Nello schema, le email inviate sembrano legittime alla vittima e cercano di spingerla a scaricare allegati o fare click su link dannosi: spesso queste email recano loghi o nomi di aziende conosciute. I link contenuti in queste email portano spesso a pagine fake dove viene richiesto l'inserimento di dati o credenziali, che finiscono immediatamente nelle mani degli attaccanti. Talvolta recano documenti contenenti macro che, se attivate, scaricano malware sui dispostivi delle vittime.

Le aziende sono colpite da una tipologia di phishing specifico, detto Spear Phishing: è uno schema di attacco nel quale le email di phishing non sono inviate massivamente, ma ad una figura specifica dentro un'azienda, principalmente per rubare credenziali o anche per indurre le vittime ad effettuare transazioni di denaro.

Il phishing è la tipologia di attacco che le aziende subiscono maggiormente e nel quale l'errore di un solo dipendente può esporre le aziende a gravi pericoli.

Prevenire il phishing si può
Il punto che rende così pericolosi gli attacchi di phishing è che sono molto difficili da contrastare. Fanno uso di tecniche di ingegneria sociale per ingannare le vittime, colpendo non i sistemi informatici ma l'anello debole della catena della cybersecurity: gli esseri umani.

Disporre di un solido gateway di scurezza email può impedire alle email di phishing di raggiungere le caselle di posta dei dipendenti. E' inoltre molto utile formare i dipendenti, renderli consapevoli dei rischi ed educarli a saper riconoscere le tecniche di ingegneria sociale più utilizzate. Fornire dei protocolli di sicurezza da attivare in caso di email di incerta o dubbia provenienza è altrettanto utile.

> Attacchi Malware
I malware sono software dannosi che colpiscono i dispositivi rallentandoli in modo significativo oppure impedendo loro di funzionare, ma possono anche limitarsi a rubare dati e informazioni sensibili. Ne esitono di varie tipologie: trojan, spyware, worm, ransomware, adware ecc...

Gli autori di malware cercano di colpire i sistemi informatici tramite link infetti, file dannosi o altri materiali provenienti da fonti sconosciute, ads pop up ma anche inducendo le vittime a scaricare allegati email da mittenti sconosciuti. Una volta che un malware è rilasciato nel sistema, gli attaccanti ottengono l'accesso alla rete aziendale, alle password, ai dati bancari, ai file personali e molto altro...

Questi attacchi sono particolarmente dannosi per le piccole aziende perchè possono paralizzare i dispositivi. E' molto probabile che le piccole imprese abbiano dipendenti che utilizzano i dispositivi personali sul posto di lavoro, una scelta organizzativa che riduce costi e fa risparmiare tempo. Tuttavia, questa scelta aumenta anche la possibilità di subire attacchi malware, perchè i dispositivi personali corrono maggior rischio di download dannosi.

Come prevenire gli attacchi malware
Le aziende possono prevenire gli attacchi malware adottando solide difese tecnologiche in place. Le soluzioni di Protezione degli Endpoint proteggono i dispositivi dai download dei malware e forniscono agli amministratori un pannello di controllo centralizzato per garantire che tutti gli endpoint eseguano software aggiornati. La sicurezza web è altrettanto importante, perchè è una funzionalità che impedisce automaticamente agli utenti di visitare siti rischiosi ed eseguire donwload altrettanto pericolosi.

> Attacchi ransomware
Il ransomware è una specifica tipologia di malware che cripta i dati presenti su una rete o un computer bersaglio. Una volta che un attacco ransomware è avviato, gli utenti non potranno più avere accesso ai propri file, spesso neppure ai propri sistemi. Perchè gli utenti possano rientrare in possesso di file e sistemi, gli attaccanti richiedono un riscatto in criptovalute. Il costo di un attacco ransomware può andare da poche centinaia di euro a milioni di euro.

I ransomware sono molto spesso diffusi tramite allegati dannosi contenuti in email di phishing. Un attaccante può prendere di mira un solo dipendente, ma anche una intera organizzazione.

Come prevenire e mitigare un attacco ransomware
Per prevenire questi attacchi le aziende devono disporre di solide Protezioni Endpoint attive su tutti i dispositivi usati in azienda. Questa accortezza può impedire ad un ransomware di criptare i dati. Soluzioni di Sicurezza Endpoint come Seqrite consentono alle aziende di individuare molto precocemente un attacco ransomware e mitigarne gli effetti.

E' altrettanto importante che le aziende adottino soluzioni di backup in cloud o comunque di recupero e ripristino dei dati, così da poterli ripristinare velocemente in caso subiscano criptazioni: non sarà quindi necessario pagare un ingente riscatto agli attaccanti per ottenere il tool di decriptazione e anche la perdita di produttività sarà limitata.

> Data Breach
Si parla di data breach quando sono rubati dai sistemi dati sensibili come nomi e cognomi, indirizzi fisici ed email, credenziali, numeri di carte di credito ecc... I data breach possono verificarsi in conseguenza ad un attacco contro la rete, nel quale i cyber attaccanti individuano una falla nei sistemi di sicurezza aziendale e la usano per accedere ai sistemi. Molto spesso sono usate tecniche di ingegneria sociale: perchè faticare a trovare una falla nei sistemi quando si può ingannare un dipendente e convincerlo ad far accedere gli attaccanti alla rete?

Come prevenire un Data Breach
Le piccole aziende hanno accesso a molti account che detengono grandi quantità di dati. E' necessario quindi che si assicurino di avere diffuso una forte consapevolezza e cultura di sicurezza al proprio interno, ma è anche importante mettere in atto un'adeguata gestione della sicurezza e un'attenta attività di patching delle vulnerabilità. E' necessario anche gestire correttamente gli account, facendo accedere le persone soltanto ai dati necessari allo svolgimento delle proprie mansioni, ma sono utili anche strumenti di criptazione del disco: criptare i dati renderà impossibile agli attaccanti potervi accedere e leggerne i contenuti.

> Insider Threats
Certe volte la minaccia può annidarsi dentro l'azienda: in questo caso è un membro del personale a consentire l'attacco, sia per dolo che per negligenza. Questo tipo di rischio è sempre più diffuso e crescente perchè aumentano sempre più gli account ai quali accedono i dipendenti: a rischio sono l'azienda stessa, i colleghi ma anche i clienti. Questo tipo di attacchi può provocare gravi danni finanziari ad un'azienda.

Prevenire attacchi Insider Threats
Bloccare minacce interne dipende dalla capacità che hanno i dipendenti di individuare tempestivamente utenti che hanno compromesso o stanno tentando di compromettere i dati aziendali. E' fondamentale aiutarli in questo predisponendo sistemi di verifica e log degli accessi, per individuare tempestivamente accessi non autorizzati. Altre soluzioni utili sono l'implementazione dell'autenticazione a più fattori e strumenti di rilevazione dell'installazione di nuove app su dispositivi bloccati. Utile anche verificare l'esistenza di nuovi utenti con accessi privilegiati e nuovi dispositivi inaspettati collegati alla rete aziendale locale.

> Cloud Jacking, il furto di account cloud
Il Cloud Jacking si verifica quando una parte non autorizzata ruba l'account cloud aziendale. Una volta avuto accesso al cloud aziendale, gli attaccanti possono riconfigurare il codice per manipolare dati sensibili, intercettare i dipendenti e le comunicazioni aziendali, espandere la propria portata fino ad assumere il controllo dell'intero cloud. In questo caso i danni possono anche essere irreparabili e produrre dissesti finanziari devastanti.

Attacchi di Cloud Jacking possono essere portati in varie maniere, compresi schemi di pshihing, furto password o attacchi di ingegneria sociale.

Come prevenire attacchi di Clodu Jacking
Questa tipologia di attacco è recente ma in crescita continua, di pari passo col diffondersi dell'uso delle tecnologie in cloud. Le aziende devono necessariamente limitare gli accessi alle informazioni sensibili ad una manciata di persone e incoraggiare l'uso di Virtual Private Network. Non solo: criptare la connessione, abilitare l'autenticazione a più fattori e utilizzare strumenti di analisi della rete di comprovata efficienza aiutano a massimizzare la sicurezza informatica.

ulss[1]

ULSS Padova, Comune di Torino, Alia Servizi ambientali Toscana, Clementoni: continua il cyber bombardamento contro aziende, enti e istituzioni italiane

venerdì 10 dicembre 2021
ULSS Padova, Comune di Torino, Alia Servizi ambientali Toscana, Clementoni: continua il cyber bombardamento contro aziende, enti e istituzioni italiane

Non c'è tregua: aziende, enti e istituzioni italiane continuano ad essere sotto un fitto cyber bombardamento. Certo, attacchi contro Comuni e Aziende sanitarie fanno molto notizia, ma quel che fa meno notizia sono gli attacchi contro piccole e medio grandi aziende italiane. Il sito Double Extortion, il cui gestore monitora i siti di leak dei principali ransomware attualmente attivi, riporta molti attacchi in Italia, molti più di quelli che hanno fatto notizia:

Fonte: https://doubleextortion.com

Le novità di queste ultime settimane sono l'attacco con estorsione ad Alia Servizi ambientali Toscana, la pubblicazione del primo sample di dati sottratti al Comune di Torino, l'attacco contro Clementoni e l'ULSS di Padova.

1. Alia servizi Ambientali: 400.000 euro di riscatto

Alia Servizi Ambientali è l'azienda che gestisce raccolta e smistamento dei rifiuti in 60 Comuni della Toscana: 1.5 milioni di persone servite, 1800 dipendenti, 250 milioni di euro di ricavi. Il 6 Dicembre l'azienda pubblica una nota nella quale spiega che:
"I nostri server sono stati oggetto di un attacco informatico di natura dolosa. Si registra l'impossibilità di accedere al portale, ai relativi servizi digitali e a tutti i sistemi informatici. [...] I servizi essenziali, le attività dì raccolta e spazzamento sono stati al momento garantiti. Dalla giornata di domani 7 dicembre potranno verificarsi criticità, principalmente sul ritiro ingombranti e servizi Covid. Sono state attivate tutte le opportune procedure e le comunicazioni alle autorità competenti".

Fin dalle prime ore si vocifera dell'esistenza di una nota di riscatto: riscatto confermato, ammontante a 400.000 euro da corrispondere in Bitcoin e fatto pervenire via email all'azienda.

L'Amministratore delegato di Alia, Alberto Vivace ha fatto sapere di aver segnalato l'evento alla Polizia Postale, ma non si parla di segnalazione al Garante: non ci sono notizie rispetto alla sorte subita dai dati detenuti da Alia, sicuramente sono a rischio i dati personali di più di un milione di utenti. Ad ora non sono state pubblicate rivendicazioni dell'attacco e sample di dati rubati su nessuno dei principali siti di leak dei principali ransomware, ma qualora le trattative dovessero saltare, sicuramente sentiremo di nuovo parlare di Alia. Intanto non è chiaro neppure il ransomware che ha colpito.

2. Il ransomware Conti scatenato: colpisce la Clementoni, ricatta il Comune di Torino
Il grande mattatore degli attacchi contro l'Italia si conferma di nuovo il ransomware Conti. Dell'attacco contro il Comune di Torino già abbiamo parlato qui, la novità è che gli attaccanti hanno iniziato a pubblicare i dati del Comune sul proprio sito di leak.

Fonte: sito di leak di Conti

I dati pubblicati sono pochissimi, 10 MB circa: probabilmente la pubblicazione è finalizzata più ad aumentare la pressione sul Comune e costringerlo al pagamento del riscatto che ad una vendita reale di dati. Ciò non toglie che questi pochi MB contengono dati sensibili come nome e cognome, indirizzi di residenza e altri dati di cittadini del torinese.

Qualche giorno prima sempre sul sito di leak di Conti è stato rivendicato l'attacco e il furto di circa 111 GB di dati dalla rete azxiendale di Clementoni, la famosa azienda italiana produttrice di giochi per bambini.

"Ciao, abbiamo scaricato 111GB di dati personali dalla vostra rete, contattateci tramite il link contenuto nella nota di riscatto" si legge.

Fonte: sito di leak di Conti

La notizia dell'attacco già era trapelata nella giornata di Domenica 5 Dicembre: in quei giorni si sapeva dell'interruzione di alcuni servizi e una serie di malfunzionamenti che avevano afflitto la produttività aziendale. Il 6 Dicembre la cyber gang Conti pubblica la rivendicazione dell'attacco, così diviene chiara la matrice e la tipologia di attacco subito.

Per approfondire > Cyber attacchi in Italia: anatomia del ransomware Conti

3.ULSS di Padova Hacked!
L'ULSS6 di Padova, il 3 Dicembre, pubblica un comunicato stampa nel quale avverte di aver subito un attacco informatico:

"L'Ulss 6 Euganea informa che nella notte si è verificato un attacco hacker, che ha comportato il blocco della maggior parte dei server, compromettendone la fruibilità."

Fonte: https://www.facebook.com/UlssEuganea6/photos/a.691595034347885/2027438287430213

Qualche ora dopo, viene confermato l'accesso abusivo da parte di ignoti attaccanti ai server aziendali. Finiscono sospesi Cup, nuove registrazioni dei pazienti, l'intero sistema dei laboratori di analisi, i punti prelievi e perfino il sistema di vaccinazione anticovid: è infatti impossibile avere accesso alle banche dati e utilizzare le piattaforme sanitarie.

I tecnici IT sono per riusciti a mitigare il danno predisponendo una nuova infrastruttura server parallela e isolata dalla principale, sulla quale hanno provveduto a riattivare gli applicativi necessari. Gli Hub vaccinali e i punti tampone hanno ripreso così a funzionare, anche se si registra che alcuni padiglioni sono dovuti tornare all'uso di carta e penna. Impossibile per i medici di base prenotare i tamponi, sospeso il sistema di tracciamento Anti Covid mentre le farmacie non avevano più accesso ai dati riguardanti i farmaci da consegnare.

Il 6 Dicembre gli attaccanti hanno finalmente "un volto": si tratta della cyber gang dietro al ransomware Hive. La rivendicazione dell'attacco infatti viene pubblicata sul loro sito, HiveLeaks

Fonte: sito di leak di Hive
Il ransomware Hive in breve
Hive è un ransomware recente: le sue operazioni sono iniziate a Giugno del 2021. Mira solo aziende ed enti pubblici: il breach iniziale avviene tramite la più classica delle campagne di phishing, con la quale viene distribuito il malware.

Ottenuto l'accesso alla rete, Hive è dotato di strumenti che consenton0 agli attaccanti lo spostamento laterale lungo le reti: i file trovati lungo la strada sono esfiltrati prima della criptazione. Il ransomware viene distribuito nella rete non appena gli attaccanti ottengono l'accesso admin sui Windows domain controller. Hive è specializzato nella cancellazione di qualsiasi backup ed è dotato di molteplici strumenti il cui scopo è quello di impedire il ripristino delle reti.

E' tra i pochi ransomware a disporre anche di una variante usata per criptare sistemi Linux e server FreeBSD.

Happy snowman in winter secenery

Buone Feste!!!

Gentili Clienti,

gli uffici saranno chiusi dal 24 dicembre al 9 gennaio compresi,

riapriamo Lunedì 10 Gennaio 2022

in caso ESTREMA necessita/urgenza potete contattarci nei seguenti modi:

mail: info@yottaweb.net

WhatsApp: 0153700320

sms: 3928164969

Buone Feste

Saverio S.

01[1]

Il Comune di Torino lotta da giorni contro un attacco ransomware: l'accesso alla rete tramite un PC dei Vigili Urbani

giovedì 2 dicembre 2021
Il Comune di Torino lotta da giorni contro un attacco ransomware: l'accesso alla rete tramite un PC dei Vigili Urbani

Il Comune di Torino è sotto attacco da giorni: il calvario è iniziato Lunedì 15 Novembre, di buona mattina quando i dipendenti sono rientrati al lavoro dopo il fine settimana e si sono accorti di severi malfunzionamenti alle proprie postazioni. Problemi tali da impedire loro di svolgere le proprie mansioni.

Alle 10.30 dello stesso giorno nella Home Page di Città di Torino, il Comune informa della sospensione dell'attività dell'anagrafe e di altri uffici per "malfunzionamento" al sistema informatico. Chi si aspetta un semplice problema tecnico viene smentito poco dopo:

"La Città di Torino comunica che, a causa di un probabile attacco hacker al proprio sistema informativo, è stata sospesa questa mattina l'attività di alcuni servizi, tra cui quelli anagrafici."

Iniziano quindi a trapelare le prime voci che parlano di "attacco ransomware", forse ad opera della banda di Conti: il sito di leak del ransomware Conti però non riporta, come di consueto, alcuna rivendicazione dell'attacco né pubblica sample dei dati esfiltrati dalla rete.

Per approfondire > Cyber attacchi in Italia: anatomia del ransomware Conti

Il comparto IT del comune mette offline 7500 postazioni e server per controllare e impedire la diffusione del ransomware all'intera infrastruttura IT. Alcuni dipendenti confermano di aver visualizzato una nota di riscatto al momento dell'accensione della postazione lavorativa. Qualche grattacapo anche per la Polizia Municipale, che registra il down dei una serie di servizi di sportello. Viene anche sospeso qualsiasi accesso remoto all'infrastruttura aziendale.

Tutto sembra però svolgersi per il meglio: la sera del giorno stesso il Comune comunica che il giorno dopo gli uffici sarebbero tornati alla piena attività, grazie al ripristino del sistema informatico comunale.

Effettivamente il 16 Novembre gli uffici comunali riaprono e sono operativi e si mettono all'opera per recuperare il tempo perso: l'ufficio Anagrafe deve recuperare circa 1000 appuntamenti saltati a causa del down dell'infrastruttura.

Qualche giorno, dopo l'assessore Comunale alla Sicurezza Gianna Pentenero cita apertamente il ransomware Conti, specificando che la diffusione del malware è iniziata nella notte tra il 12 e il 13 Novembre. Come di consueto in Italia, viene negato qualsiasi furto di dati (senza alcuna prova ovviamente) anche se si ammette che alcuni dati sono stati effettivamente criptati. Per il Comune le macchine colpite sono solo 250.

Sorpresa: gli attaccanti sono ancora nella rete!
Giusto pensare a ripristinare le infrastrutture e tornare celermente operativi, ma si dovrebbe anche considerare che tutte queste operazioni sarebbero da svolgersi dopo un buon grado di certezza rispetto al fatto che gli attaccanti non siano ancora presenti nella rete o non possano nuovamente sfruttare la stessa porta di accesso. Infatti, il Comune di Torino è di nuovo in crisi per attacco informatico: l'anagrafe è di nuovo in down. E' Venerdì 29 Novembre.

Finalmente arrivano le prime risposte: la porta di ingresso nella rete è stata una postazione dei Vigili Urbani: da lì poi gli attaccanti avrebbero iniziato la diffusione laterale lungo tutta la rete, costringendo il team IT del Comune a mettere offline le 7500 macchine. Probabilmente gli attaccanti sono entrati nei sistemi di Remote Deskotp Service utilizzati dai dipendenti in smart working.

Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

L'intervento è celere e l'infezione viene limitata: resta una intera rete da ripristinare. L'assessora Gianna Pentenero parla di 500 giorni lavorativi. Si, due anni. La buona notizia però è che sono risultate criptate solo alcune cartelle condivise sulla rete interna e quattro postazioni (contenenti banche dati) della sede di Soris. Non ci sentiamo invece in condizione si poter confermare che non vi sia stato alcun data breach. Il sito web istituzionale risulta "non sicuro" al momento della scrittura dell'articolo, ma è online.

01+28129+28129[1]

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

venerdì 3 dicembre 2021
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 20 - 26 Novembre
La scorsa settimana il CERT ha individuato e analizzato 44 campagne dannose: 38 di queste sono state mirate contro obiettivi italiani, mentre 6 erano generiche e veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 8, diffuse con 14 diverse campagne. Ecco il dettaglio:

Formbook è stato diffuso con 4 campagne diverse. I temi sono stati Ordine e Pagamenti: le email veicolavano allegati Office in formato .DOC e .XLSX;
Dridex è stato diffuso con 4 diverse campagne, due mirate contro utenti italiani e due generiche a tema Pagamenti e Premi: le email veicolavano allegati in formato .XLB e .XLS;
Urnsif è stato veicolato con una campagna a tema Energia: l'email recava una finta bolletta in formato .XLS;
Lokibot è stato diffuso con una campagna a tema ordine: le email contenevano allegati in formato archivio .ZIP;
Emotet torna dopo dieci mesi di inattività. Rinato dalle proprie ceneri, torna in diffusione anche in Italia, con una campagna a tema Documenti: le email recavano allegati .ZIP;
sLoad si conferma in diffusione mirata in Italia. La nuova campagna di diffusione, a tema Documenti e con allegati .ZIP, circolava via circuito PEC: è stata contrastata grazie alla collaborazione tra il CERT e gestori di servizi PEC;
Qakbot è stato diffuso con una campagna a tema Resend: le email contenevano un link ad un file archivio .ZIP;
AgentTesla è stato diffuso con una campagna a tema pagamenti: le email contenevano allegati in formato .IMG.
Per approfondire > Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Per approfondire > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

Per approfondire > Utenti italiani sotto attacco: due campagne di email di spam distribuiscono il malware Agent Tesla

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della settimana 06 - 12 Novembre
Le campagne di phishing analizzate sono state invece 30: 15 i brand coinvolti.

Poste, BPER, MPS, Paypal, Intesa Sanpaolo, Mediolanum, Nexi, Compass sono stati i brand più sfruttati nelle campagne di phishing: un vero bombardamento a tappeto contro il settore Banking;
Webmail Generic: continua l'ondata di attacchi finalizzato al furto delle credenziali di accesso ai servizi email. Qualcuno sta "accumulando" account compromessi, fatto che induce a pensare a future campagne dannose veicolate tramite questi account;
Aruba ha visto il proprio brand sfruttato in due campagne, una a tema Pagamenti e una a tema Aggiornamenti. La finalità è il furto di credenziali;
Outlook ha visto una campagna a tema Informazioni mirata al furto delel credenziali di Outlook Web App;
Microsoft è stata sfruttata in una campagna a tema Documenti mirata al furto delle credenziali dei servizi Microsoft;
si registra una campagna mirata, a finalità di truffa economica, verso i clienti di Prima Assicurazioni;
DHL ha visto il proprio brand sfruttato nella classica campagna a tem delivery mirata al furto degli estremi delle carte di credito;
SKY infine ha visto il proprio brand coinvolto in una campagna a tema Abbonamento, anche in questo caso finalizzata alla sottrazione delle credenziali.

Fonte: https://cert-agid.gov.it/

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore preferiti dagli attaccanti, il podio è saldamente in mano ai formati archivio: .ZIP il più utilizzato, .DOC invece guadagna la "medaglia d'argento". Molto utilizzati anche i formati Excel .XLS e XLSX con macro dannosa.

Fonte: https://cert-agid.gov.it/

Canali di diffusione
Riguardo ai canali di diffusione, le email (PEC comprese) restano e si confermano il canale privilegiato rispetto agli SMS

Fo

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy