proxy_not_shell

Pubblicato l’exploit per sfruttare ProxyNotShell di Microsoft Server Exchange

Pubblicato l’exploit per sfruttare ProxyNotShell di Microsoft Server Exchange
da Ilaria Mugnai | Nov 21, 2022 | Sicurezza Informatica

E' stato pubblicato l'exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.
E’ stato pubblicato l’exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.

ProxyNotShell: breve sintesi

Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:

CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all’attaccante.
Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l’exploit di questa ha successo, l’attaccante può attivare la vulnerabilità CVE-2022-41082. Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise.

Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella “Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server” di Microsoft.

Microsoft ha patchato già queste vulnerabilità

Se in un primo momento Microsoft aveva dato solo consigli tecnici per minimizzare il rischio derivante da queste due 0-day, con il November 2022 Patch Tuesday. Segnalate tramite il programma Zero Day Initiative Program di Microsoft, queste due vulnerabilità sono state risolte in Microsoft Exchange Server 2013, 2019 e 2019. Maggiori informazioni nell’aggiornamento di sicurezza KB5019758.

Pubblicato il codice di Exploit: correre ai ripari e patchare subito Exchange

Poco dopo una settimana dal rilascio dei fix di ProxyNotShell un ricercatore di sicurezza anonimo, Janggggg, ha pubblicato il codice di explopit proof-of-concept per queste due vulnerabilità.

You guys must be waiting for this,
So this is the working PoC script of the Exchange 0day exploited ITWhttps://t.co/XGx0fYJygm

— Janggggg (@testanull) November 17, 2022
L’exploit è stato testato e può effettivamente funzionare sui sistemi che eseguono Microsoft Exchange Server 2016 e 2019. Il codice va invece lievemente modificato per colpire Exchange Server 2013.

Ora, se il ricercatore ha pubblicato del codice a fini di ricerca – sicurezza, questo exploit è però già usato in attacchi reali per eseguire backdoor sui server bersaglio. La società di cyber sicurezza GreyNoise ha fornito ulteriori dettagli:

l’elenco degli indirizzi IP per la scansione dei server vulnerabili associati a questo exploit;
dati telemetrici sull’attività di exploit.
Il team di Microsoft ha dato la conferma definitiva del fatto che ProxyNotShell è sfruttato attivamente (almeno da Settembre 2022) e consiglia di installare gli ultimi aggiornamenti per Exchange Server il prima possibile.

01 (2)

Kelvin Security: il gruppo di cyber criminali specializzati in data breach colpisce di nuovo in Italia

Kelvin Security, il gruppo di cyber criminali specializzati in data breach ha colpito di nuovo in Italia, pubblicando i dati rubati da un'azienda italiana. Chi sono e come agiscono.

Kelvin Security: gli attacchi più recenti
Per approcciarsi alla storia di questo gruppo di attaccanti è utile prendere spunto da un episodio reale, accaduto pochi giorni fa, e da prendere come contesto. Qualche giorno fa in BreachForums (forum dell'underground hacking specializzato nella rivendita di dati rubati) è comparso un nuovo post dell'utente KevinSecurity: nel post gli attaccanti mettono in vendita i dati di Norigine Italia, un'azienda farmaceutica con sede a Milano.

Fonte: RedHotCyber

Nel post viene annunciato che il gruppo è riuscito a esfiltrare 3,15 GB di dati dal sistema: in questi 3 GB sarebbero presenti documenti di varia tipologia, natura e formati (PDF, DOCX, XLS ecc...). Viene inoltre fornito un link tramite il quale è possibile contattare il gruppo e accordarsi sul prezzo del dataset. Lo stesso post è presente nel canale Telegram del gruppo.

Non finisce qua: tempo fa hanno colpito un fornitore di Vodafone Italia. Nel solito post di rivendicazione - marketing, annunciavano di avere in disposizione 310 GB di dati, contenenti circa 300.000 file relativi a Vodafone Italia.

Per approfondire > Vodafone Italia data breach: i dati in vendita

Altre vittime di Kelvin Security sono stati E-City Group, RP Company, Filomento Wi-FI ecc... ma anche il Ministero delle infrastrutture, colpito nell'Agosto di quest'anno.

Fonte: Telegram

A scanso di equivoci comunque è utile sottolineare che Kelvin Security è un gruppo che colpisce anche in Italia, ma non ha fatto del nostro paese l'unico campo di battaglia: uno dei breach più clamorosi messi a segno dal gruppo ha riguardato infatti l'azienda tedesca BMW. Avvenuto nel 2020, quel data breach permise agli attaccanti di mettere in vendita i dati di oltre 384.000 clienti del gigante tedesco.

Kelvin Security: cosa sappiamo
Kelvin Security è un gruppo di black hacker: opera nell'illegalità a fine di profitto. Sono specializzati nell'esfiltrazione di dati aziendali (ma anche da enti pubblici) per rivenderli poi nel dark web o direttamente tramite il proprio canale Telegram. Si suppone che il gruppo si sia formato nel 2020: quantomeno è nel 2020 che si trovano le prime tracce dell'attività di questo gruppo.

Il loro business principale è la vendita di dati rubati, ma non solo: rivendono anche accessi, interi database rubati e PoC per sfruttare vulnerabilità. Ad esempio, quest'anno hanno messo in vendita gli accessi (sia per condurre exploit sia semplici credenziali di login rubate) alla rete del Ministero dei trasporti. Accessi che, secondo loro, avrebbero dato all'acquirente l'accesso ad oltre 36000 documenti riservati.

La rivendita di exploit e credenziali di login li rende "Broker di accesso", come vengono chiamati in gergo tecnico quei cyber attaccanti che forniscono l'accesso iniziale a reti bersaglio.

Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Sono frequentatori abituali di Breach Forum, successore del defunto Raid Forums. Nato nei primi mesi di quest'anno, Breach Forum è diventata una delle principali community di black hacking più frequentata per la rivendita e lo scambio di dati rubati.

luxottica_data_breach

Data breach: in vendita i dati dei clienti di Luxottica

Data breach: in vendita su Breach Forum i dati di 300 milioni di clienti di Luxottica. L'azienda, nel 2021, era già stata colpita da un ransomware. Siamo di fronte ad un nuovo attacco?

Luxottica: i dati in vendita su Breach Forum
Di nuovo, come ormai succede da tempo, i dati di un'azienda italiana finiscono in vendita su Breach Forum, community di black hacker specializzata in rivendita di dati rubati. Stando a quanto riportato dalla redazione di Red Hot Cyber, l'utente che ha pubblicato il post su Breach Forum ha affermato che i dati sono stati sottratti nel 2021.

Fonte: Red Hot Cyber

Vi si trovano informazioni come:

nome;
secondo nome;
cognome;
indirizzo fisico;
data di nascita;
altre info personali.
Il post riporta anche un indirizzo Telegram per contattare il venditore dei file e un archivio AnonFiles che ospita un sample dei dati in vendita. Incredibilmente, l'autore del post afferma che i dati non sarebbero rubati, ma "legalmente acquisiti".

Fonte: Red Hot Cyber

Red Hot Cyber ha analizzato il sample dei dati
La redazione di red Hot Cyber ha provveduto ad analizzare l'archivio messo a disposizione dall'autore del post. Contiene due file in formato CSV, uno del peso di quasi 1 GB e uno di 72 MB.

Gli esperti sottolineano come i dati siano principalmente di origine statunitense (ricordiamo che Luxottica è un'azienda italiana ma con dimensioni multinazionali) e non risultano voci relative a cittadini italiani. Certo, considerando che l'archivio completo in vendita contiene i dati di 300 milioni di clienti Luxottica, è molto probabile che, almeno quello, contenga dati di italiani.

Fonte: Red Hot Cyber

Una curiosità: il post e l'archivio risultano "verificati". Su Breach Forum infatti i gestori verificano l'affidabilità sia del venditore che degli archivi dei dati.

Fonte: Red Hot Cyber

Per questa vendita, sarà garante direttamente l'amministratore di Breach Forum, l'utente “pompompurin“.

Luxottica nel mirino dei cyber criminali: l'attacco del 2021
Premessa: è difficile ad ora stabilire la fonte esatta di questi dati. E' difficile cioè stabilire se questi dati siano stati rubati in conseguenza dell'attacco ransomware subito nel 2021 o se derivino invece da un accesso abusivo successivo ai sistemi.

Nel 2021 infatti, il gruppo ransomware Nefilim riuscì, sfruttando una vulnerabilità presente in Citrix ADC e Citrix Gateway, ad accedere alla rete aziendale. I dati furono pubblicati circa un mese dopo l'attacco

Per approfondire > Luxottica ancora sotto ricatto: il team del ransomware Nefilim pubblica alcuni dati rubati

01 (1)

Attacchi ransomware: quando vanno informati gli interessati?

Attacchi ransomware: gestire correttamente il data breach per evitare sanzioni dal garante e perdita di fiducia degli interessati.

Attacchi ransomware: che cosa sono?
Il ransomware è un software dannoso. Il nome deriva da ransom (riscatto)+ware: letteralmente il software del riscatto. Infatti un ransomware, se riesce ad accedere nei sistemi, può svolgere due azioni dannose:

bloccare l'accesso al sistema
criptare i file
In entrambi i casi il proprietario del sistema perde l'accesso e il controllo dei dati. Da qui la richiesta di riscatto: gli attaccanti chiedono soldi in cambio dello sblocco del sistema o del ripristino dei file criptati.

Attacchi ransomware e la doppia estorsione
La novità degli ultimi anni è il fatto che gli attaccanti hanno iniziato a far precedere la fase di criptazione dei file da una fase antecedente detta la fase di esfiltrazione dei dati. In questa fase l'attaccante individua e raccoglie i dati dal sistema, quindi li copia in un sistema terzo sotto il suo controllo. Procede quindi a criptare i file rimanenti. A questo punto il proprietario dei dati non solo non può più accedere ai dati presenti nel sistema, ma sa anche che i dati in chiaro (leggibili quindi) sono stati copiati e sono in disponibilità dell'attaccante. Il riscatto quindi raddoppia: una somma per riportare in chiaro i file, una somma per non vedere pubblicati dati sensibili.

Dipende anche da questa evoluzione nelle tattiche di attacco il fatto che, ormai, tutti gli attacchi ransomware sono da considerarsi anche databreach. Con un attacco ransomware andato a segno infatti, il titolare del trattamento perde l'accesso e il controllo dei dati (che perdono integrità e riservatezza).

Attacchi ransomware e GDPR
Arriviamo ora al centro della questione: in caso di attacco ransomware, cosa occorre fare nel rispetto delle previsioni del GDPR?

art. 33 del GDPR:
l'azienda deve essere in grado di notificare il data breach entro le 72 dalla scoperta. La notifica della violazione deve:
descrivere la natura del data breach;
contenere i dati di contatto del DPO;
rendere chiari i possibili rischi derivanti dal data breach;
elencare le misure adottate o che il titolare adotterà per mitigare / impedire ulteriori violazioni.
art. 34 del GDPR:
l'aziende deve verificare, nei limiti del possibile, i "confini" della violazione dei dati e valutare quando e come informare gli interessati. Informare gli interessati non risponde soltanto all'obbligo di trasparenza, ma è anche una indicazione pratica. Vanno informati per consentire loro di minimizzare le conseguenze del data breach.
Per approfondire > Ransomware e data breach: pubblicati i dati rubati a Ferrari e GSE

Quando non serve comunicare il breach: le specifiche dell'art 34 GDPR
L'art. 34 del GDPR specifica i casi in cui, invece, non è necessario comunicare l'attacco all'interessato. Questi casi sono 3:

il titolare del trattamento ha messo in atto le misure tecnico-organizzative adeguate. L'attenzione di questo paragrafo si concentra in particolare "sulle misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura";
il titolare ha in seguito adottato misure utili a scongiurare il rischio di lesione dei diritti e delle libertà degli interessati;
nel caso in cui comunicare a tutti gli interessati il data breach "richiederebbe sforzi sproporzionati". In questo caso è sufficiente una comunicazione pubblica.

Attacchi ransomware: quando e come comunicare il data breach?
Per chiudere questa veloce panoramica è necessaria la lettura di un altra parte del GDPR: in dettaglio del considerando 86. Questo considerando fornisce ulteriori e specifiche indicazioni rispetto al dovere di comunicare le violazioni dei dati personali. A partire da un fatto: il titolare del trattamento deve notificare il breach senza indebito ritardo, soprattutto se

"questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie".

Queste comunicazioni dovrebbero essere effettuate:

"non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti".

Data breach e comunicazioni: le linee guida EDPB
Come accaduto anche per altre parti del GDPR, l'EDPB ha integrato le previsioni del GDPR interpretando una serie di articolo del Regolamento: ne ha ricavato le linee guida 01/2021, con le quali sono fatti esempi concreti di notifica di data breach. Ecco alcuni esempi:

attacco ransomware colpisce dati criptati a riposo: non vi sono categorie di dati particolarmente sensibili coinvolti. Il backup è adeguato, i dati non sono stati esfiltrati (l'ultimo punto è assai difficile da stabilire N.d.r).
non serve la notifica al Garante né alcuna comunicazione agli interessati. I dati possono essere ripristinati velocemente.
attacco ransomware senza esfiltrazione di dati, senza adeguato backup e senza criptazione dei dati a riposo
la notifica al Garante è necessaria, ma non serve comunicare il breach agli interessati. Conta il tempo necessario al ripristino dei dati. Gli interessati vanno invece avvisati se il loro contributo è necessario per ripristinare i dati criptati.
attacco ransomware con backup e senza esfiltrazione contro una struttura ospedaliera
la notifica al Garante è necessaria perché i dati violati sono di particolare sensibilità (dati medico sanitari). E' necessaria anche la comunicazione agli interessati, soprattutto se il ripristino dei dati non può avvenire celermente determinando un ritardo nel trattamento dei pazienti.

amadeybot_lockbit

LockBit stringe una nuova alleanza: il malware Amadey Bot per distribuire il ransomware

C'è una novità per quanto riguarda il Ransomware As a Service LockBit: alcuni affiliati hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware

Il malware Amadey Bot viaggia via email
I ricercatori di sicurezza lanciano l'allarme: affiliati del ransomware LockBit hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware. Gli affiliati distribuiscono il malware tramite email di phishing personalizzate per le aziende target. Ad ora le campagne sono state di due tipi: false offerte di lavoro destinate ai dipendenti delle aziende target e presunte notifiche per violazione del copyright.

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Amadey Bot è un malware piuttosto vecchio che presenta tre gruppi principali di funzionalità:

riconoscimento del sistema bersaglio;
esfiltrazione dei dati;
loader di payload.
I ricercatori hanno però notato come, dall'inizio del 2022, l'attività collegata a questo malware sia andata sempre più intensificandosi. Poi nel Luglio di quest'anno è stata intercettata in diffusione una nuova versione. Nella campagna di Luglio, Amadey ha funto da dropper di diversi malware per il furto dati, soprattutto RedLine. Poi la virata: le campagne recenti distribuiscono il payload di LockBit 3.0.

La catena di infezione
I ricercatori di AhnLab hanno analizzato le due campagne email con le quali viene distribuito Amadey al fine di utilizzarlo come primo accesso nella rete target per distribuire LockBit.

Il primo caso è da "manuale del phishing": l'email, una falsa offerta di lavoro destinata ai dipendenti dell'azienda bersaglio, allega un file Word contenente una macro VBA. La macro, se eseguita, crea un file LNK e lo salva in "C:\Users\Public\skem.lnk". Questo file è il downloader di Amadey.

Fonte: AhnLab

Il secondo caso è simile, ma l'allegato email è direttamente un eseguibile chiamato "resume.exe" che però sfoggia l'icona di un documento Word per indurre l'utente a pensare che si tratti di un file Office.

Indipendentemente dal percorso di infezione seguito, il malware utilizza lo stesso indirizzo di comando e controllo a riconferma che l'operatore che sta distribuendo e gestendo Amadey è lo stesso.

Amadey: info tecniche
Anzitutto qualche info sulla nuova versione. Non presenta grosse novità ma ha avuto un aggiornamento delle funzionalità di elusione delle individuazioni anti virus e di offuscamento: l'intrusione e il download del payload sono adesso molto più "silenziose". Il funzionamento, per il resto, non è cambiato.

Al primo lancio, il malware copia se stesso nella cartella TEMP e crea una task pianificata così ottiene la persistenza tra i riavvii di sistema. Il server C&C invia quindi i comandi per il download e l'esecuzione di LockBit, in formato PowerShell altamente offuscato o in formato EXE.

Il PowerShell offuscato di LockBit. Fonte: Fonte: AhnLab

I payload utilizzati in queste due campagne sono scaricati nella cartella TEMP e sono:

%TEMP%\1000018041\dd.ps1
%TEMP%\1000019041\cc.ps1
%TEMP%\1000020001\LBB.exe
Da questo momento LockBit inizierà a criptare i file.

Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.

Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.

Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.

Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.

Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.

Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.

Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

vmwarecve

Vulnerabilità critica in WMware: pubblicati alcuni exploit

Sono stati pubblicati alcuni exploit per una vulnerabilità di esecuzione di codice da remoto pre autenticato che consentirebbero di eseguire codice arbitrario da remoto con privilegi di root su dispositivi Cloud Foundation e NSX Manager non patchati.

La vulnerabilità CVE-2021-3914: qualche info tecnica
La vulnerabilità in questione è la CVE-2021-39144, che si trova nella libreria open source XStream, utilizzata in due prodotti WMware. Ha un punteggio di 9,8 su 10, livello critico: per VMware è così rischiosa che il vendor ha deciso di pubblicare le patch perfino per una serie di prodotti end-of-life.

Attori non autenticati potrebbero sfruttarla da remoto, con un attacco tutto sommato piuttosto semplice che non richiede l'interazione dell'utente.

VMware è intervenuta già sul problema, pubblicando un alert di sicurezza relativo alla CVE-2021-39144: qui l'alert. La vulnerabilità è già stata risolta, per gli utenti sarà sufficiente l'aggiornamento di XStream alla versione 1.4.19. Contestualmente VMware consiglia anche di patchare una seconda falla, la CVE-2022-31678 che innescare DoS o esporre informazioni in seguito ad attacchi XXE (XML External Entity).

Pubblicati gli exploit per la CVE-2021-39144
Il giorno stesso in cui VMware ha pubblicato l'avviso di sicurezza, sono usciti alcuni Exploit. Uno è stato pubblicato dal ricercatore Sina Kheirkhah che ha spiegato che

"un attaccante può inviare un inviare un payload XStream appositamente predisposto, con un proxy dinamico e attivare l'esecuzione di codice remoto nel contesto di root".

Fonte: Bleeping Computer
Il giorno dopo VMware ha anche aggiornato il suo alert, confermando che il codice di exploit pubblicato può sfruttare la CVE-2022-39144 con successo.

emotet_italia

Emotet torna a colpire in Italia

Emotet torna a colpire in Italia: la notizia proviene dal CERT, che ha individuato una nuova campagna di distribuzione del malware. Emotet non si vedeva nel nostro paese da 4 mesi.

La nuova campagna di distribuzione di Emotet
Il CERT ha individuato e analizzato una campagna di diffusione di Emotet in Italia. Il malware torna attivo nel nostro paese dopo 4 mesi di assenza: l'ultima campagna individuata contro utenti italiani risaliva infatti al 15 Luglio 22.

La nuova campagna, circolata via email, veicola un allegato in formato ZIP protetto da password e contenente un classico file XLS con macro dannosa.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it
La catena di infezione, spiega il CERT, non è cambiata: vi sono 4 dropurl usate dalla macro. Queste, parzialmente leggibili direttamente dal file XLS, conducono al download della libreria DLL a 64BIT di Emotet. Questa DLL viene quindi eseguita con il comando regsvr32

I server di comando e controllo collegati a questa infezione sono 58: quasi tutti gli IP sono già stati usati in precedenti campagne e afferiscono alla parte della botnet Emotet denominata Epoch4. Nessuno di questi è localizzato in Italia.

Fonte: https://cert-agid.gov.it

Gli indicatori di compromissione sono disponibili qui

Emotet e l'archivio autoestraente
Di Emotet abbiamo parlato pochi giorni fa, quando un'interessante analisi dei ricercatori di Trustwave ha scoperto una nuova campagna Emotet (che non ha riguardato l'Italia) nella quale l'archivio protetto da password è autoestraente.

Per approfondire > Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo

In dettaglio gli attaccanti hanno aggiunto un file batch che fornisce automaticamente la password per estrarre l'archivio. La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.

Mitigare il rischio: le misure per affrontare Emotet
Emotet è un avversario molto temibile, ma esistono delle contromisure utili a minimizzare il rischio: di queste alcune sono tecniche (riguardano hardware e software), altre invece riguardano l'anello debole della catena di cyber security ovvero il personale aziendale.

formare il personale per sensibilizzarlo sui casi di phishing insegnando a riconoscere le email sospette;
sensibilizzare il personale rispetto ai rischi connessi all'apertura di allegati email, soprattutto file Office contenenti macro.
Gli amministratori di sistema, fermo restando particolari esigenze aziendali, dovrebbero

bloccare allegati email solitamente collegati a malware (con particolare attenzione a DLL e EXE);
bloccare allegati email che non possono essere scansionati da soluzioni antivirus (come gli archivi ZIP o gli archivi di vario formato protetti da password);
impostare regole restrittive sul firewall in locale;
quando possibile, disabilitare PowerShell 2.0 oppure limitarne l'esecuzione sulle macchine impostando criteri di esecuzione di PowerShell per consentire l'esecuzione solo di script firmati;
impedire l'esecuzione delle macro nei file Office, oppure limitarne l'esecuzione ad utenti esperti che ne hanno comprovata necessità. In alternativa, un valido sistema è impedire l'esecuzione di macro non firmate;
seguire il criterio del "privilegio minimo" per utente;
limitare e verificare l'accesso alle risorse: mai lasciare che tutti gli utenti possano accedere liberamente alle risorse aziendali, anche a quelle non necessarie allo svolgimento delle mansioni;
implementare sistemi di autentificazione e conformità dei messaggi: utilizzare i record SPF, DMARC e DKIM per verificare i mittenti;
segmentare le reti, segmentare le funzioni. Valutare l'attuazione del modello zero-trust;
ecc..

Le misure di mitigazione complete sono consultabili in questo report > EMOTET Descrizione e misure di contrasto - CSIRT Italia

01

Sanzioni Garante Privacy: multata azienda per il protocollo HTTP

martedì 25 ottobre 2022
di Dott. Alessandro Mammoli

Sanzioni Garante Privacy: sanzionata un'azienda per non aver eliminato, dal proprio sito web, il protocollo non sicuro HTTP.

Il reclamo: il sito web non è criptato!
Un utente dell'azienda in oggetto ha segnalato, tramite reclamo al Garante, l'assenza, sul sito web aziendale, del sistema di criptazione con certificato SSL. In dettaglio, sul sito web è presente un'area utente dove transitano dati personali (contatti, fatture ecc…) alla quale si accede tramite protocollo di rete non sicuro (HTTP). Fatto che, per il reclamante, espone a rischio i dati personali e sensibili degli utenti e li espone al furto di identità.

Il reclamante ha dimostrato al Garante privacy di aver segnalato per ben due volte la problematica, via PEC, all'azienda di gestione del servizio idrico locale senza ricevere alcuna risposta.

Ricordiamo che l'uso del protocollo HTTP, sanzionato ormai da qualche anno da parte dei principali browser che segnalano come pericolosi quei siti che ancora lo utilizzano, comporta il transito di dati in chiaro. Dati in chiaro, quindi, intercettabili e intellegibili da un eventuale terzo non autorizzato.

Il Garante avvia l'istruttoria e l'azienda presenta memorie difensive
A seguito della ricezione del reclamo, il Garante ha avviato l'istruttoria, comunicata all'azienda come da prassi. L'azienda, interrogata sul contenuto del reclamo, ha presentato una memoria difensiva nella quale afferma che:

il sito web è dotato di un'area privata personale che concede l'accesso diretto all'utente;
non sono state rilevate né segnalate violazioni dei dati personali tali da "comportare effettive lesioni all’integrità, alla riservatezza e alla disponibilità dei dati personali trattati attraverso il sito”;
il sito è stato adeguato, " essendo oramai [stata] completata la migrazione sotto protocollo "HTTPS". L'adeguameno è avvenuto prima della comunicazione del Garante a riprova, secondo l'azienda, della propria volontà di adeguarsi agli standard di sicurezza;
nel sito web non vi sono dati relativi a transazionui economiche, dato che non è prevista alcuna forma di pagamento online.

L'esito dell'attività Istruttoria: il Garante privacy opta per la sanzione
Il Garante ha rilevato come, tramite il canale comunicativo non sicuro HTTP, siano transitati dati sensibili come:

credenziali di autenticazione;
anagrafiche con nomi cognomi;
codici fiscali / partite IVA;
indirizzi di posta elettronica;
contatti telefonici;
dati di fatturazione.
Non solo: nel provvedimento completo si legge

"La soluzione adottata dall’Azienda violava importanti principi sanciti dal Regolamento come quello di “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate."

Questi obblighi di sicurezza, rileva il Garante, si applicano anche ai sistemi pre esistenti alla data di entrata in vigore del Regolamento, vigente dal 25 Maggio 2018.

Per approfondire > Il GDPR come possibile barriera al furto di identità

Il Garante ha ritenuto congrua e dissuassiva una sanzione dell'ammontare di 15.000 euro, tenuto di conto

dell'alto numero di utenti coinvolti (13.000 circa);
delle mancate risposte dell'Azienda alle due PEC inviate dal reclamante;
dell'assenza di violazioni analoghe, da parte dell'azienda;
dell'atteggiamento collaborativo dell'azienda nel corso dell'istruttoria.
Il provvedimento completo è disponibile qui

Per saperne di più > Il 97% dei siti web in Europa non rispetta i requisiti del GDPR

urnsif2

Il malware Ursnif cambia strategia: dal furto di account bancari a accesso iniziale nelle reti (per i ransomware?)

venerdì 21 ottobre 2022
Il malware Ursnif cambia strategia: dal furto di account bancari a accesso iniziale nelle reti (per i ransomware?)

E' stata individuata una nuova versione del malware Ursnif che presenta soltanto funzionalità da backdoor: non c'è traccia delle funzionalità, caratteristiche di Ursnif, da trojan bancario. Un cambiamento molto indicativo per questo malware diffuso a livello mondiale e, molto spesso, anche in Italia: potrebbe infatti significare che Ursnif sta mutando funzioni. Non punta più a rubare gli account bancari ma si specializza nell'aprire punto di accesso iniziale su reti bersaglio. E' pronto il debutto nelle operazioni ransomware?

La nuova variante di Ursnif LDR4
La nuova variante, nome in codice LDR4, è stata individuata a Giugno e si sospetta che sia stata diffusa dagli stessi autori che hanno mantenuto la versione RM3 negli anni passati.

Le varianti Ursnif circolate negli ultimi anni. Fonte: Mandiant

La nuova campagna di diffusione di Ursnif
Doverosa premessa è che, per quanto Ursnif venga spesso diffuso in Italia, questa versione ancora non è stata individuata. Ma come si sa, prevenire è meglio che curare.

La campagna con la quale, attualmente, questa variante viene diffusa contiene una proposta di lavoro fake, con un un link ad un sito web che simula quello di aziende legittime ed esistenti. Una tecnica molto utilizzata, questa delle offerte di lavoro fake, preparata solitamente dalla raccolta di dati aziendali e di profili personali da Linkedin e social simili.

Ai visitatori del sito web fale viene richiesto di risolvere un captcha, fatto il quale avviene in automatico il download di un documento Excel con una macro che, se abilitata, scarica il payload del malware da una risorsa remota

Fonte: BleepingComputer

La variante LDR4 si presenta come una libreria DLL (loader.dll) e presenta una firma con certificati validi. Tutto ciò aiuta ad eludere i controlli degli strumenti di sicurezza e rilevamento nel sistema. Secondo l'analisi eseguita dai ricercatori di Mandiant, da questa versione sono state rimosse tutte le funzionalità legate al furto di account bancari e anche il codice è stato ripulito e semplificato.

La backdoor della nuova versione
Una volta eseguito, Ursnif inizia la raccolta dei dati relativi ai servizi di sistema, saccheggiando il registro di Windows. Genera quindi un utente e un ID del sistema. Quindi si connette al server di comando e controllo usando una chiave RSA disponibile nel file di configurazione. Tenta quindi di recuperare la lista dei comandi da eseguire sull'host bersaglio.

Le richieste POST inviate da Ursnif al server di comando e controllo. Fonte: Mandiant

I comandi supportati dalla variante LDR4 sono:

caricare un modulo DLL nel processo corrente;
recuperare lo status della reverse shell cmd.exe;
avviare la reverse shell cmd.exe;
terminare la reverse shell cmd.exe;
riavviare la reverse shell cmd.exe;
eseguire comandi arbitrari
terminarsi
Il sistema di shell di comando integrato che usa un indirizzo IP remoto per stabilire una reverse shell non è affatto una novità. Quel che è nuovo è il fatto che questo sia integrato direttamente nel binario del malware invece di essere aggiunto come modulo addizionale, come successo nelle precedenti varianti.

Anche il sistema di plugin è stato eliminato, dato che la possibilità di questa variante di caricare un modulo DLL nel processo corrente garantisce a questa variante di estendere le proprie funzionalità secondo necessità. Un esempio di questo è riportato direttamente dai ricercatori di Mandiant: la libreria "vnc64_1.dll" fornisce al malware un modulo VNC che consente di eseguire attacchi "pratici" sui sistemi compromessi.

Ursnif si prepara per i ransomware?
Insomma, l'ultima versione di Ursnif fa pensare che il codice del malware sia stato ripulito e ridotto per condurre un'attività più specifica, ovvero quella di strumento di compromissione iniziale, molto probabilmente per aprire la strada ad altri malware.

Sul punto Mandiant ha fatto sapere di aver individuato, in community nell'underground hacking, un attore di minacce in cerca di partner per la distribuzione di ransomware e Urnsif.

emotet_botnet

Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo

cmartedì 25 ottobre 2022
Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo

Botnet Emotet: rilevata una nuova attività collegata alla botnet Emotet. Nella nuova campagna sono usati file PDF ed Excel come esca, mentre l'archivio RAR (protetto da password) contenente il malware si sblocca da sé

La nuova campagna di Emotet
L'alert viene dai ricercatori Trustwave-SpiderLabs: la botnet Emotet è legata ad una nuova ondata di campagne di phishing che sfruttano archivi protetti da password per diffondere due malware sui sistemi infetti. I due malware sono CoinMiner e QuasaRat. La particolarità è che l'archivio, protetto da password, si auto sblocca senza necessità che sia l'utente ad inserire codici per estrarlo ed eseguirne il contenuto.

Come? Semplicemente, gli attaccanti hanno aggiunto un file batch che fornisce automaticamente le password. Si riduce il ruolo che deve "giocare" l'utente nel corso dell'infezione. Il problema non è secondario, come si è visto di recente, quando il CERT ha segnalato che una campagna di diffusione di sLoad contro il circuito PEC non ha funzionato perché gli attaccanti si sono dimenticati di allegare al corpo email la password per estrarre l'archivio.

La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.

Per saperne di più > La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

Emotet: dettagli di diffusione
Stando a quanto ricostruito dai ricercatori, la campagna inizia con una email contenente un archivio in formato SFX, camuffato però da file Excel o da file PDF. Il tema esca dominante in questa campagna è quello delle fatture. In realtà l'email allega tre diversi elementi: l'archivio auto-estraente SFX protetto da password, il file batch e un file esca PDF (più raramente un'immagine PNG).

Fonte: https://www.trustwave.com

Lo script batch, come indicato, ha il compito di "apportare" la password dell'archivio protetto e il percorso di destinazione dove dovrà essere estratto il payload del malware. Il payload viene estratto in %AppData%. Il file batch ha anche un comando per visualizzare i documenti esca: altro tentativo di confondere l'utente.

Fonte: https://www.trustwave.com

Insieme a questi processi, viene anche richiamato un prompt dei comandi: l'immagine o il PDF esca tentano di nasconderlo alla vista.

Fonte: https://www.trustwave.com

In casi più recenti, l'archivio SFX non ha file esca e il percorso di destinazione delle componenti conduce alla cartella %temp%.

Info tecniche sul payload e i malware distribuiti
L'archivio contiene il payload eseguibile, estratto ed eseguito in %AppData%. Tutti gli eseguibili legati a questa campagna sono compilati in :NET e offuscati con ConfuserEX, un tool gratuito open source per applicazioni .NET. Qui il destino delle vittime si divide in due strade, visto che il payload distribuisce o CoinMiner o QuasarRat.

CoinMiner è un malware modulare che funge, come suggerisce il nome, da miner di criptovaluta. Usa cioè le risorse del sistema infetto per minare criptovalute. Ha però anche modulo per il furto di infromazioni e dati dai sistemi e moduli infostealer mirate al furto delle credenziali salvate nei browser, ma anche nei profili Outlook.

In questa campagna, una volta eseguito, CoinMiner copia sé stesso nella cartella %AppData% e scarica uno scirpt VBS nella cartella di startup per ottenere la persistenza. CoinMiner usa WMI per raccogliere informazioni di sistema, dagli hardware ai software antivirus installati. Una tecnica, questa, molto impiegata per evitare le sandboxes ed evitare l'analisi.

Quasar RAT è un tool open source disponibile gratuitamente su GitHub. Tecnicamente è un remote access trojan (RAT). Quasar RAT è molto utilizzato dai cyber attaccanti, principalmente perché ha funzionalità estremamente efficaci.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy