3007222

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 settimana di Luglio

venerdì 29 luglio 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 settimana di Luglio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Luglio
La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l'Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l'assenza di campagne di distribuzione di Emotet.

Brata è stato diffuso con due campagne a tema Banking circolate via SMS. Il messaggio contiene un link che porta al download dell'APK dannoso;
Lokibot è stato in diffusione con due campagne, una a tema Pagamenti e una a tema Preventivo. Le email vettore contengono allegati IMG, contenenti VBS e UUE;
Formbook è stato diffuso con due campagne, una generica e una mirata contro utenti italiani, a tema Contratti e Pagamenti. Gli allegati vettore sono in formato XZ e 7Z;
Guloader è stato diffuso con due campagne a tema Preventivo. Le email contengono allegati GZ. Su Guloader il CERT ha pubblicato uno specifico report, disponibile qui;
SVCReady è stato diffuso con due campagne email, con allegati in formato DOC, a tema Covid19 e Delivery;
Ursnif è stato diffuso con una campagna a tema Agenzia delle Entrate: le email allegavano file XLSM;
AgentTesla è stato diffuso con una campagna generica, ma veicolata anche in Italia, a tema Pagamenti. Le email contengono allegati 7Z;
Snake è stato diffuso con una campagna generica, veicolata anche in Italia, con allegati ZIP;
SmsRat è stato diffuso con una campagna via SMS a tema banking. Il messaggio riporta un link al download di un APK dannoso camuffato da app di sicurezza.
Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Per approfondire > Anatomia di SVCReady il nuovo malware di nuovo in diffusione in Italia

Fonte: https://cert-agid.gov.it

Il CERT sottolinea come non vi sia stata traccia di campagne di diffusione di Emotet: nella foto sotto l'andamento delle campagne Emotet negli ultimi 30 giorni

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 3° settimana di Luglio
Le campagne di phishing individuate sono state 15 e hanno coinvolto ben 10 brand. La maggior parte di queste campagne sono state finalizzate al furto delle credenziali di accesso e agli estremi dei conti correnti. Ma sono state registrate anche campagne a tema Unsubscribe finalizzate al furto di account email attivi. Tra i brand più colpiti Intesa San Paolo, Poste, Office 365, INPS ecc...

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Per la prima volta da molto tempo, i formati file archivio non ottengono "la medaglia d'oro": il file vettore più utilizzato è il formato per Android APK, a riconferma del sempre maggiore interesse degli attaccanti per gli smartphone Android degli italiani. Al secondo e terzo posto, 7Z e GZ confermano però che gli archivi restano formati file molto apprezzati per nascondere malware.

3007221

Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?

martedì 26 luglio 2022
Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?

Nella giornata di ieri, tutti i media italiani e non solo hanno riportato la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.

Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022.

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

L'analisi dei dati pubblicati dagli attaccanti solleva molti dubbi
Tra i primi a visionare i file pubblicati dagli attaccanti a riprova dell'attacco ci sono gli esperti di Red Hot Cyber che, già nel pomeriggio di ieri, hanno messo le mani avanti e sollevato alcuni dubbi rispetto a quanto dichiarato dagli attaccanti.

I file pubblicati infatti non sembrerebbero appartenere all'Agenzia delle Entrate. Ad esempio tra i dati personali trapelati, ce ne sono alcuni di persone non italiane: su 4 documenti di identità pubblicati, 3 sono di cittadini stranieri.

Uno dei documenti pubblicati sul leak site di LockBit. Fonte: Red Hot Cyber

Una delle cartelle che raccoglie una parte dei dati rubati si chiama GESIS e pare riconducivile ad una azienda che lavora per la Pubbblica amministrazione.

Fonte: Red Hot Cyber

Agenzia delle Entrate e Sogei pubblicano celermente un comunicato: nessun attacco
Qui si registra una prima novità rispetto all'atteggiamento delle PA italiane nei confronti di data breach e attacchi ransomware: invece di chiudersi in un impenetrabile silenzio, l'Agenzia delle Entrate ha immediatamente allertato SOGEI (società pubblica partecipata dal Ministre dell'Economia e delle Finanze e che gestisce le infrastrutture della PA) chiedendo delucidazioni.

Sogei pubblica a sua volta un comunicato dopo aver eseguito alcune verifiche. E smentisce l'attacco. Peccato che nel comunicato si legga "agli accertamenti tecnici svolti, Sogei esclude pertanto che si possa esser verificato un attacco informatico AL SITO (sic) dell'Agenzia delle Entrate".

Che non vi siano tracce né della richiesta di riscatto né della presenza di file criptati sui sistemi dell'Agenzia delle Entrate è stato confermato, però, anche da fonti interne all'Agenzia.

La rivendicazione dell'attacco è stata fatta per errore, quindi? Possibile, non sarebbe la prima volta che qualche gestore di Lockbit associa un attacco al soggetto sbagliato, come ricordato da Red Hot Cyber.

Lockbit e Agenzia delle Entrate: la situazione non è chiara
Insomma, la situazione non è affatto chiara. La risposta sibillina che gli attaccanti hanno inviato agli esperti di Red Hot Cyber nella serata di ieri non chiarisce nulla. Alla domanda:

"Sembra che l'Agenzia delle entrate non abbia individuato alcuna compromissione dei sistemi. Non Non ci sono tracce di criptazione e nota di riscatto. Siete sicuri di aver violato Agenziaentrate.gov.it? Potete per favore verificare se si tratti di un'altra azienda?"

gli attaccanti hanno semplicemente risposto "è stato un affiliato".

Insomma, la banda di Lockbit è famosa per essere estremamente credibile: è lecito pensare che la rivendicazione sul site leak riferisca davvero ad un attacco portato con successo e si può escludere che il gruppo stia mentendo. Siamo nel campo delle possibilità, fino ad ulteriori indagini o novità, ma è lecito pensare semplicemente che gli attaccanti abbiano confuso l'Agenzia delle Entrate con qualche altra vittima oppure che la vittima sia un partner terzo dell'Agenzia delle Entrate o della PA.

La natura e il tipo di dati rubati però non sembra strettamente attinente a dati che dovrebbe trattare l'Agenzia delle Entrate: ecco perché alcuni rumors segnalano che i dati pubblicati appartengano all'antiriciclaggio, a ribadire che sarebbe stata attaccata e "bucata" solo una parte dell'infrastruttura e che l'infezione sia stata solo perimetrale. Non resta che attendere ulteriori sviluppi

260720223

Perimetro di cyber security nazionale: completato il quadro normativo con l'ultimo decreto

martedì 19 luglio 2022
Perimetro di cyber security nazionale: completato il quadro normativo con l'ultimo decreto

Perimetro di cyber security nazionale: con l'ultimo decreto è stato completato il Perimetro di Sicurezza Nazionale Cibernetica a difesa delle infrastrutture critiche italiane.

Perimetro di cyber security nazionale: l'integrazione europea
All'origine dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

L'implementazione italiana della Direttiva NIS passa dalla legge n.133 del 2019 e prevedeva 4 decreti diversi per l'istituzione del Perimetro di cyber security nazionale, che altro non è che lo scudo difensivo dell'Italia dai cyber attacchi che potrebbero minacciare aziende e la PA nazionale.

Sicurezza Nazionale Cibernetica: ecco il quarto (e ultimo) DPCM
Il DPCM 18 maggio 2022 è stato pubblicato in Gazzetta Ufficiale. E' l'ultimo tassello che completa l'impianto normativo che era necessario per allestire e rendere operativo il Perimetro di cyber security nazionale. In particolare, il DPCM 18 Maggio 2022 stabilisce termini, procedure e requisiti per l'accreditamento a supporto del Centro di Valutazione e Certificazione nazionale (CVCN) di lavoratori accreditati di prova (detti LAP). In concreto, questo DPCM concretizza i requisiti necessari per individuare quei laboratori che avranno il compito di verificare la sicurezza dei sistemi e delle tecnologie impiegate in aziende private e pubbliche amministrazioni ritenute critiche per lo Stato e la sicurezza nazionale in generale.

L'Agenzia per la cyber sicurezza nazionale ha pubblicato a riguardo una nota, specificando che questo DPCM era l'ultimo tassello necessario per

“per raggiungere gli obiettivi contenuti nella Strategia nazionale di cyber sicurezza, volto a innalzare il livello di sicurezza della supply-chain di infrastrutture da cui dipende l’erogazione dei servizi essenziali dello Stato”.

Per saperne di più > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano
Per saperne di più > Perimetro di sicurezza nazionale cibernetica: nuovo passo avanti
DPCM 18 Maggio: quali novità?
Per la precisione, con decreto 18 Maggio 2022 si adotta il nuovo regolamento che completa il quaro normativo del perimetro di sicurezza nazionale cibernetica e si articola in V Capi:

Capo I: specifica i compiti del Centro di Valutazione e Certificazione nazionale (CVCN);
Capo II: elenca i requisiti e le procedure di accreditamento dei laboratori di prova;
Capo II: dettaglia l'accreditamento dei Centri di Valutazione;
Capo IV: definisce raccordi e collaborazioni del CVCN con i laboratori di prova e i centri di valutazione;
Capo V: dettaglia la procedura di notifica degli incidenti.
Il Centro di Valutazione e Certificazione nazionale è attivo e operativo dal 1 Luglio 2022 e adesso potrà accreditare laboratori esterni sia pubblici che privati. Lo scopo è la costituzione della rete di supporto del CVCN e dei centri di valutazione (CV) del Ministero della Difesa e del Ministero dell'Interno per le "attività di valutazione tecnologica su specifiche categorie di asset ICT impiegati entro il perimetro cyber".

Insomma una stretta collaborazione tra industria, accademia, laboratori altamente specializzati per potenziare la capacità di valutazione dell'Italia e raggiungere l'autonomia tecnologica.

DPCM 18 Maggio: quali obiettivi?
Questo DPCM contiene i presupposti per concretizzare le seguenti misure:

rafforzare il sistema di verifica tecnologica nazionale a supporto della sicurezza della supply chain nel caso di quei particolari asset rientranti nel Perimetro (asset critici). Vi sono anche le specifiche necessarie all'adozione degli schermi di certificazione europea in fatto di cyber security;
migliorare la capacità dei centri di valutazione dei Ministeri dell'Interno e della Difesa accreditati dall'ACN, quali soggetti per la valutazione della conformità;
sviluppare gli schemi di certificazione nel campo della cyber security valutandone l'adeguatezza in termini di sicurezza nazionale. Promuovere l'adozione di questi schemi, in collaborazione col settore privato, da parte dei fornitori di servizi e aziende italiane. L'adozione di questi schemi è indicato come "vantaggio competitivo sul mercato";
introdurre specifiche norme a tutela della supply-chain per le infrastrutture ICT rilevanti sotto il profilo della sicurezza nazionale;
promuovere iniziative utili a rafforzare l'autonomia industriale e tecnologica dell'Italia soprattutto rispetto a quei prodotti e processi informatici di rilevanza strategica. promozione di iniziative utili alla tutela degli interessi nazionali anche valutando lo sviluppo di algoritmi proprietari e nuove capacità crittografiche.

260720222

Lockbit 3.0 colpisce ancora in Italia: il ransomware "buca" la Rovagnati

mercoledì 20 luglio 2022
Lockbit 3.0 colpisce ancora in Italia: il ransomware "buca" la Rovagnati

Il ransomware Lockbit 3.0 colpisce la nota azienda alimentare Rovagnati. La rivendicazione dell'attacco è sul leak site del ransomware: 15 giorni alla pubblicazione dei dati.

Lockbit colpisce di nuovo in Italia
Il ransomware Lockbit non è affatto una novità in Italia: fin dalla su prima versione è stato diffuso contro aziende e pubbliche amministrazioni italiane. Qualche settimana fa il gruppo ransomware ha comunicato il passaggio alla versione 3.0 di LockBit e, pochissimi giorni dopo, già si è registrata la pima vittima della nuova versione ovvero la multinazionale di base italiana FAAC, specializzata in produzione di cancelli automatizzati.

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

Ora c'è un'altra vittima eccellente, almeno stando a quando dichiarato dagli attaccanti: parliamo del gigante italiano dei salumi Rovagnati.

Rovagnati hacked: la rivendicazione nel dark web
Ad ora non ci sono dichiarazioni ufficiali da parte dell'azienda: sulla vicenda c'è solo la rivendicazione dell'attacco da parte di Lockbit 2.0. La rivendicazione è comparsa il 19 Luglio sul site leak di Lockbit 3.0 e contiene già alcuni dei file rubati, a riprova del fatto che il data breach c'è davvero stato.

Fonte: Lockbit 3.0 leak site

Il gruppo, nella rivendicazione, indica in 15 giorni (a partire dal 19 Luglio) il tempo concesso alla Rovagnati per pagare il riscatto prima che i dati vengano pubblicati online. Ad ora, la scadenza è fissata per il 3 Agosto.
Secondo le novità introdotte con la terza versione di LockBit, gli attaccanti mettono a disposizione dell'azienda anche le ulteriori forme di pagamento recentemente introdotte:

circa 3 milioni di dollari è quanto viene richiesto per cancellare i dati rubati;
1000 dollari è invece il costo da sostenere per allungare il countdown di un giorno
I file riportati nel site leak sono solo 10 e sono di vario tipo: vi si trovano schede prodotto e documenti interni, ma anche documenti di identità in corso di valenza del personale. Vi sono anche alcune dichiarazioni aziendali riservate.

Fonte: Red Hot Cyber

Fonte: Red Hot Cyber

La doppia estorsione è in corso
LockBit 2.0 per adesso utilizza ancora la tecnica della doppia estorsione: un riscatto per riportare in chiaro i file criptati e un riscatto per non rendere pubblici / mettere in vendita nel dark web i dati rubati dalla rete aziendale prima della criptazione.

Per le aziende vittime di ransomware, ormai, disporre di un backup integro e aggiornato per ripristinare la rete e recuperrare i dati non è più sufficiente: il danno reputazionale, ma anche economico, della pubblicazione dei dati sottratti è infatti alto. Tanto più alto quando più l'azienda è nota e conosciuta.

Non ci sono state, per adesso, dichiarazioni da parte dell'azienda

20052022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - ultima settimana di Giugno

venerdì 8 luglio 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - ultima settimana di Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware dell'ultima settimana di Giugno
La scorsa settimana il CERT-AGID ha individuato e analizzato 32 campagne dannose mirate contro obiettivi italiani. Le famiglie malware in diffusione sono state 7:

Emotet sul podio, si conferma il malware più diffuso in Italia. La scorsa settimana sono state rilevate 8 campagne di diffusione a tema Resend. Le email contenevano allegati ZIP protetti da password contenenti, a loro volta, file XLS;
Brata è stato diffuso con 4 campagne a tema Banking, veicolate via SMS. I messaggi contenevano il link al download di un file APK. Questi file sono solitamente denominati "BancaSicura.apk";
Formbook è stato diffuso con 2 campagne a tema Ordine. Le email veicolavano allegati archivio ZIP con, all'interno, un file XLSX;
Ursnif è stato diffuso con una campagna a tema Pagamenti. Le email allegavano archivi ZIP contenenti file ISO. Dall'ISO, a sua volta, era estratto un file XLS;
Qakbot è stato diffuso con una campagna a temaResend. le email veicolavano allegati ZIP contenenti file LNK;
SmsRat torna in diffusione in Italia con una campagna a tema Banking. Gli SMS contenevano il link al download di un file denominato BancaSicuraSMS.apk;
sLoad è stato individuato in diffusione con una nuova campagna contro il circuito PEC, nella quale viene utilizzata una nuova tecnica di elusione dei controlli sull'estensione dei file.
Per approfondire > sLoad e PEC: il malware usa una nuova tecnica per eludere i controlli sulle estensioni file

Fonte: https://cert-agid.gov.it/

Le campagne di phishing dell'ultima settimana di Giugno
Le campagne di phishing analizzate sono state 14 e hanno coinvolto 5 brand. Gli ambiti più colpiti si confermano quello bancario e quello degli account webmail. I brand più sfruttati sono stati Poste Italiane e Intesa San Paolo. Poi Aruba e Wirex.

Tra i temi più sfruttati svetta il tema Banking, poi Resend quindi Riattivazione Account.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore
Tra i file vettore più utilizzati la scorsa settimana, spicca il formato archivio ZIP, molto apprezzato dagli attaccanti perché rende più complessa l'analisi dei file nascosti al suo interno. Segue poi il formato Excel XLS e, al terzo posto, il formato APK: si riconferma l'attenzione degli attaccanti verso i sistemi Android.

Fonte: https://cert-agid.gov.it

otto7

Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

lunedì 4 luglio 2022
Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

LockBit evolve ancora e debutta con la versione 3.0 facendo già la prima vittima italiana. Con la stop alle operazioni di Conti, LockBit si prende lo scettro del mondo ransomware.

Da LockBit 2.0 a 3.0: il primo programma di Bug Bounty del cybercrime
Ci siamo: lo avevano annunciato ed è successo davvero. Conti non ha neppure fatto in tempo ad annunciare il "pensionamento" che LockBit si presenta con una nuova versione, ancora più temibile. Ma le modifiche non sono solo tecniche: è migliorata l'intera infrastruttura di gestione "commerciale" del RaaS, che ha addirittura inaugurato un programma di bug bounty.

Prima di calarci quindi nei dettagli tecnici, ci soffermiamo sul "modello di business" scelto da LockBit. Nei fatti, dobbiamo prendere atto di questa importante trasformazione del mondo del cyber crime, che non riguarda soltanto i ransomware, ma in generale tutti i modelli di malware / ransomware in affitto. Il cyber crime fa profitti da capogiro e, di conseguenza, si organizza esattamente secondo i modelli di business delle grandi aziende.

Nel caso di LockBit 3.0 c'è una novità assoluta, il lancio del programma di Bug Bounty. In pratica gli sviluppatori del ransomware hanno lanciato un programma di ricerca sulle vulnerabilità del proprio software. Come una Microsoft qualsiasi, propongono una ricompensa in denaro a chiunque individui punti deboli, errori di sviluppo, vulnerabilità nei software in uso. E' una pratica estremamente comune e diffusa nel mondo delle software house, ma è la prima volta che viene richiesto a terzi di correggere un software pensato per danneggiare e estorcere denaro.

"Invitiamo tutti i ricercatori di sicurezza, gli hacker etici e non etici del pianeta a partecipare al nostro programma di Bug Bounty. L'ammontare delle ricompense varia dai 1000 al milione di dollari".

Il programma di Bug Bounty per adesso si concentra sulle vulnerabilità del sito web, della rete Tor, del Locker che è lo strumento di criptazione e sulla sicurezza della chat privata usata per le trattative con le vittime. Non solo: generosa ricompensa è prevista sia per chi propone nuove idee ma soprattutto per chi riesce ad ottenere informazioni sull'identificazione reale delle persone dietro LockBit. Insomma, ricompensano quelli così bravi da riuscire a fare "Doxing" su di loro, purché rivelino come hanno fatto a recuperare quelle informazioni.

La pagina del leak site LockBit 3.0 che presenta il programma di Bug Bounty

Da LockBit 2.0 a 3.0: info tecniche
Una prima novità è il nuovo leak site, il sito web dove il gruppo pubblica le richieste di riscatto, i countdown e i dati rubati alle vittime. Il leak site di LockBit 2.0 è ancora raggiungibile e contiene dati e informazioni su tutte le precedenti vittime. Il nuovo sito della versione 3.0 invece arriva con nuovi indirizzi e nuovi mirror.

Il nuovo leak site di LockBit 3.0

Va detto che LockBit 3.0 era stato annunciato da tempo. Anzi, in dettaglio dal 12 Marzo, giorno nel quale un utente pubblica, su un noto forum dell'undeground hacking, un post nel quale espone, corredati di dettagli, una serie di bug e vulnerabilità presenti in LockBit 2.0, sfruttando i quali sarebbe addirittura possibile recuperare la criptazione dai database MSSQL.

Fonte: cybersecurity360.it

Gli risponde un affiliato di LockBit confermando che

"il bug segnalato è stato risolto nella versione 3.0 di LockBit".

LockBit 3.0: ecco la prima vittima italiana
Il debutto di LockBit 3.0 in Italia c'è già stato qualche giorno fa e a farne le spese è stata la FAAC, la famosa multinazionale di base italiana che produce cancelli automatizzati. La rivendicazione è già comparsa sul nuovo leak site: ci sono alcuni sample, il countdown e i costi: 554.000 dollari per cancellare i dati rubati, 5000 dollari per estendere di un giorno il countdown.

Gli attaccanti annunciano di avere a disposizione 25 GB di file rubati confidenziali. Sotto la directory pubblicata sul leak site di LockBit 3.0 che presenta i file rubati dalla rete aziendale di FAAC

Fonte: RedHotCyber

2404

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Giugno

giovedì 30 giugno 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana di Giugno
La scorsa settimana il CERT-AGID ha individuato e analizzato 29 campagne dannose mirate contro obiettivi italiani. Una sola è stata generica, ma ha interessato anche il cyber spazio italiano. Le famiglie malware in diffusione sono state soltanto 6:

Emotet di nuovo la fa da padrone, distribuito con 7 campagne a tema Resend. Le email recavano allegati archivio in formato ZIP protetti da password. L'archivio contiene file XLS. Nessuno utilizzo di file LNK, fa notare il CERT: la novità della settimana è il template in uso in Italia, come reso pubblico sul canale Telegram;
AgenTesla è stato diffuso con tre diverse campagne a tema Pagamenti, Documenti e Ordine. Le email veicolavano allegati ISO e IMG;
Formbook è stato diffuso con tre campagne, a tema Ordine e Pagamenti. Le email veicolavano allegati in formato DOC, XLSX e XZ;
Lokibot è stato diffuso con l'unica campagna generica analizzata dal CERT. A tema Pagamenti, l'email veicolava allegati dannosi ZIP;
Brata di nuovo in diffusione, ormai è una presenza fissa. E' stato veicolato via SMS a tema Banking: il corpo messaggio riporta un link che conduce al download dell'APK dannoso;
Mailbot: il CERT riferisce di aver pubblicato gli indicatori di compromissione relativi ai malware individuati da F5. Ne abbiamo reso notizia qui
Per approfondire > Brata, il RAT per Android diffuso in Italia, si evolve in minaccia persistente. Ora intercetta gli SMS e le OTP

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 4° settimana di Giugno
Le campagne di phishing individuate e analizzate sono state 14 e hanno riguardato 8 brand. Tra i temi più in voga, il podio è piuttosto scontato: Banking, Resend e Pagamenti. Il tema bancario è stato usato principalmente per veicolare Brata, il tema Resend è stato ampiamente sfruttato da Emotet mentre il tema Pagamenti è stato scelto da Formbook, AgenTtesla e Lokibot.

Fonte: https://cert-agid.gov.it

Tra i brand coinvolti il podio spetta, purtroppo, ad Aruba, Intesa San Paolo e Poste. Va segnalata anche una campagna di phishing "webmail generic" finalizzata al furto delle credenziali di accesso alle webmail.

Fonte: https://cert-agid.gov.it/

Tipologia di file di attacco e vettore

Il file vettore più utilizzato è stato il formato Excel XLS, seguito subito dopo dal classico formato archivio ZIP. Quindi APK, ISO, XLSX.. poche novità, in tema formato file vettore, questa settimana.

0507222

Anatomia di MailBot, il nuovo malware per Android già sbarcato in Italia

martedì 28 giugno 2022
Anatomia di MailBot, il nuovo malware per Android già sbarcato in Italia

Il CERT-AGID ha individuato e analizzato una campagna di diffusione di un nuovo malware per Android. Colpisce solo utenti italiani e spagnoli

MailBot,il nuovo malware per Android, in breve
E' stato individuato dal CERT-AGID, in uso in campagne di attacco contro utenti italiani, un nuovo malware pensato per colpire i sistemi Android. MailBot, come è stato soprannominato, ha funzionalità per il furto delle credenziali, dei cookie, per bypassare l'autenticazione multifattore (2FA, MFA) e la verifica in due passaggi: mira a credenziali finanziarie, dati personali e wallet di criptovaluta. E' anche capace di controllare da remoto i dispositivi infetti grazie ad un'implementazione server VNC.

Distribuzione di MailBot
Per quanto fino ad adesso osservato Mailbot viene diffuso tramite siti web fraduolenti. Le campagne SMS che lo distribuiscono, per adesso rinviano infatti a siti web truffaldini: i ricercatori di F5 ad esempio ne hanno individuati due, Mining X e TheCryptoApp. Questi siti web inducevano gli utenti a scaricare una "app per il mining di criptovalute" che invece nascondeva il malware.

TheCryptoApp, ad esempio, è un'app legittima presente nel Google Play Store e vanta oltre un milione di download. In questo caso specifico, spiegano i ricercatori F5, il link indirizza l'utente al download dell'APK dannoso solo se utilizza un dispositivo Android, altrimenti viene visualizzata la pagina dell'app legittima nel Play Store.

Le variabili Javascript usate per modificare l'URL di download. Fonte: F5

MailBot però si "traveste" anche da altre app, non solo app per il mining: alcuni sample si camuffano da Chrome e MySocialSecurity e sicuramente la lista si allungherà.

L'abuso dell'API di Accesibilità
MailBot presenta una funzionalità che gli consente di bypassare alcune forme difensive come quella delle permissioni presenti sui sistemi Android. Per farlo, MailBot cerca di sfruttare l'API di Accessibilità: pensata per utenti con difficoltà e bisogni aggiuntivi, consente alle app mobile di eseguire azioni senza l'autorizzazione dell'utente. Ad esempio leggere un testo dallo schermo o premere pulsanti ecc...

Se l'uso legittmo consente una fruizione più semplice ad alcuni tipi di utenti, l'uso illegittimo sui dispositivi Android permette sia di manipolare il dispositivo e le sue impostazioni, sia di rubare dati sensibili. L'API accessibilità permette MailBot, ad esempio, di ottenere la persistenza sul sistema e la possibilità di impedire all'utente la sua disinstallazione.

E' tramite l'API di accessibilità che MailBot può intercettare i codici prodotti da Google Authenticator per l'autenticazione MFA. Al tentativo di accesso da un dispositivo sconosciuto infatti, viene mostrato un prompt che richiede all'utente di autorizzare o negare l'accesso. L'API di Accessibilità consente a MailBot di autorizzare questi accessi illegittimi senza che l'utente ne sia a conoscenza. Gli OTP sono inviati quindi al server di comando e controllo che li inserisce automaticamente quando richiesto.

MailBot elenca le app installate sul dispositivo e fornisce all'utente una schermata di login fake "credibile"
Al momento in cui MailBot registra il dispositivo al server C&C, invia una lista delle app installate sul dispositivo. Questa lista indica al server C&C quali overlay / injection fornire. Il server risponde con una lista di app e i link injection associati

La risposta del server C&C con i link injection / overlay. Fonte: F5

Ogni injection contiene un overlay HTML che serve a mostrare all'utente una schermata di login simile a quelle originali. Nel caso sotto ecco la schermata fake di accesso a Unicredit

Fonte: F5

Il furto dei cookie
Per capitalizzare al massimo l'attacco, MailBot ruba tutte le informazioni che potrebbero avere un valore. Per farlo saccheggia anche i cookie e le credenziali che trova salvate sul dispositivo. Ecco una lista, parziale, delle app Google monitorate e saccheggiate da MailBot:

com.android.vending
com.google.android.apps.maps
com.google.android.gm
com.google.android.youtube
com.google.android.apps.photos
com.google.android.apps.docs
com.google.android.apps.youtube.music
com.google.android.music

Nella foto sotto, la porzione di codice di MailBot per individuare le app Google in apertura

Fonte: F5
Da queste provvederà ad intercettare password ed email ma anche a inviare la lista dei cookie al server C&C.

L'ingegneria sociale non passa mai di moda
MailBot è un malware insidioso perchè nessun antivirus può bloccare un'app alla quale l'utente stesso ha concesso estese permissioni. E' il classico caso, questo, dove la prima linea di difesa è l'utente stesso. Rovesciando la visione dal punto di vista degli attaccanti, MailBot è il classico malware che più che dotarsi di complessi exploit, sfrutta l'anello più debole della catena della sicurezza informatica: l'utente poco consapevole e attento. L'ingegneria sociale resta, a tutt'oggi, una delle principali tecniche di cyber attacco.

050722

RedLine stealer: il malware "rubapassword" ha fatto incetta di dati personali degli italiani

mercoledì 29 giugno 2022
RedLine stealer: il malware "rubapassword" ha fatto incetta di dati personali degli italiani

RedLine Stealer circola in Italia da due anni: specializzato in furto dati, ha fatto dell'Italia il suo campo di battaglia preferito. E i dati di migliaia di italiani sono pubblicati nel dark web.

RedLine stealer: biografia in breve
Continuando la nostra rassegna sui malware più diffusi in Italia, oggi è la volta di RedLine Stealer, anche perchè abbiamo ricevuto una segnalazione che ci ha fatto pervenire svariati file CSV pieni zeppi di sessioni di accesso e registrazione a siti web come quello dell'Agenzia delle Entrate, del Mise, le prenotazioni per la Carta di Identità Elettronica, di alcuni Comuni italiani e così via.

Andando con ordine, iniziamo con le presentazioni. RedLine Stealer è un malware finalizzato al furto dati personali, finanziari e delle macchine che infetta. In diffusione da Febbraio 2020 è responsabile di ingenti perdite finanziarie e di informazioni a discapito di aziende e molteplici enti pubblici.

Il primo post pubblicato da RedLine sui forum di hacking.

Ha capacità di furto dati anche dai browser, dai sistemi di messaggistica instantanea e dai software di sharing. In dettaglio RedLine Stealer mira alle credenziali di accesso ai servizi privati e aziendali, alle informazioni sulle carte di credito, ai cookie di sessione attivi e ai dati relativi ai wallet di criptovalute.
In ultimo, RedLine spesso funge da precursore per successivi attacchi ransomware sulle reti colpite.

RedLine è solito rivendere nel dark web tutti i dati che ruba. E' organizzato secondo il modello MaaS - Malware as a Service, nel quale una rete di affiliati affitta il malware (al costo di circa 200 dollari), lo distribuisce e divide con i profitti coi gestori del servizio.

I sample di dati italiani rubati nel mese di Giugno
Per rendere concrete le parole, ecco un esempio dei dati che abbiamo ricevuto e raccolti da RedLine infostealer. Questi screen provengono da file contenenti i dati di sessione e registrazione di utenti italiani ad una lunga serie di servizi, sopratutto pubblici e governativi.

I dati, tutti risalenti al mese di Giugno 2022, sono nel dark web. Provengono dal sito della difesa, dell'Enel, Infocert, Citta Metropolitana di Roma, Agenzia delle Entrate, Anpal, comune di Catania, Agenda Cie e Ministero dell'Interno, PagoPa ecc...

RedLine Stealer: info tecniche
RedLiner è ghiotto di credenziali salvate sui browser: la funzione di auto login presente in praticamente tutti i browser è la sua fortuna. Lo scorso anno gli analisti di AhnLab hanno pubblicato un interessante report nel quale hanno illustrato come gli attaccanti siano riusciti ad irrompere in una rete aziendale dopo aver rubato, con RedLine, le credenziali VPN di un impiegato remoto.

In dettaglio il malware mira al file "Login Data" che si tova in tutti i browser basati su Chromium: tutti i dati rubati sono quindi salvati un database SQLite, dove sono salvati username e password

Fonte: AhnLab

I dati sui browser basati su Chromium solitamente sono salvati in forma criptata, non sono in chiaro per capirsi, ma possono essere decrittati purchè sia lo stesso utente a farlo. RedLine è in grado di decriptare questi dati perchè si esegue come l'utente infetto.

Non solo: i browser basati su Chromium sono soliti aggiungere una entry anche nel caso in cui l'utente rifiuti di salvare le credenziali per un determinato sito web o servizio. In questo caso, indica quel particolare sito web come "blacklisted". Anche questa è una informazione utile per RedLine, non a caso il malware la colleziona: non consente di raccogliere le credenziali, ma indica che l'utente ha un account su quel sito web. Diventa una informazione utile per lanciare ulteriori attacchi di ingegneria sociale o phishing con i quali ingannare l'utente e indurlo comunque a rivelare le credenziali.

Redline stealer: come si diffonde?
RedLine viene diffuso con le classiche campagne di malspam, compromettendo email aziendali, falsi upgrade e annunci (indicizzati) contenenti allegati o link dannosi. I formati vettore più utilizzati sono i formatri archivi, i file della suite Office e file seguibili. Più raramente utiulizza i file PDF o javascript.

Per fare un esempio concreto, nel 2021 il CERT ha pubblicato un alert relativo ad una pagina fake che simulava il sito originale del popolare password manager "Last Pass".

Questa la pagina fake

Fonte: https://cert-agid.gov.it

Il click sul bottone Download rimandava ad un file chiamato LastPass.iso. Questo file ISO ha un solo scopo: scaricare da una posizione differente dalla propria un file chiamato "traff.exe". Il primo file si trovava su un dominio austriaco, il secondo file su un dominio olandese.

Traff.exe non è l'eseguibile definitivo: l'infezione prevede un terzo stadio, nel quale poi viene scaricato e installato il malware vero e proprio.
Come faccio a sapere se il mio account è stato violato da RedLine?
Il servizio Have I Been Pwned contiene un database aggiornatissimo relativo a tutti i data breach i cui "proventi", ovvero i dati rubati, finiscono in vendita nel dark web. I suoi gestori dallo scorso anno aggiungono al database dei breach anche i dati raccolti con RedLine.

Se il tuo account è stato violato con RedLine, molto probabilmente questo servizio saprà confermatelo.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy