hive-seizure-notice-op

Ransomware Hive down: sequestrata l’infrastruttura

Ransomware Hive: una task force internazionale irrompe nei sistemi degli attaccanti e mette in down l’infrastruttura. Recuperate le chiavi di criptazione.

Ransomware Hive down: giù il sito di pagamento e il site leak
Ieri, una task force internazionale di forze dell’ordine ha sequestrato il sito di pagamento su Tor e il site leak del gruppo, mettendo in down il ransomware Hive. L’operazione è stata possibile grazie al fatto che, lo scorso Luglio, l’FBI è riuscita ad infiltrarsi nell’infrastruttura del gruppo.

Se ne ha notizia grazie al fatto che il Dipartimento di Stato USA e l’Europol hanno annunciato pubblicamente che l’operazione internazionale congiunta ha permesso di infiltrare segretamente l’infrastruttura e iniziare un monitoraggio delle attività del gruppo ransomware. Monitoraggio che ha avuto oltre sei mesi di durata. Senza che il gruppo ne fosse consapevole quindi, le forze dell’ordine sono state al corrente di ogni attacco di Hive. Cosi hanno proceduto ad allertare i target e ad ottenere le chiavi di decriptazione delle vittime. Le stime parlano di oltre 130 milioni di dollari di riscatto sventate.

“A partire dal Luglio 2022, l’FBI ha infiltrato le reti di Hive, ottentuto le chiavi di decriptazione, offerte poi alle vittime sparse nel mondo, impendendo così alle vittime di pagare almeno 130 milioni di dollari di riscatti”

ha annunciato il Dipartimento di Stato USA.

Server dedicati e server virtuali: l’infrastruttura del ransomware Hive down
Stando a quanto condiviso pubblicamente, l’FBI ha avuto accesso a due server dedicati e un VPS in uso al gruppo e forniti da un provider californiano. La polizia olandese invece, con una operazione coordinata, ha ottenuto accesso anche a due server dedicati ai backup. Questi server sono stati localizzati in Olanda.

Questi accessi hanno consentito di accedere:

al leak site principale e al sito per le negoziazioni;
accedere al pannello web usati da operatori e affiliati.
Così le forze dell’ordine hanno messo mano a circa 300 chiavi di decriptazione di altrettante vittime sotto attacco e altre 1000 invece a vittime di attacchi precedenti. Non solo: l’FBI infatti ha potuto esaminare il database trovato su uno dei server infiltrati. Qui ha trovato le comunicazioni di Hive, i valori hash del file del malware, informazioni su oltre 250 affiliati del ransomware e ulteriori informazioni sulle vittime.

Il leak site sotto sequestro
Ad ora, gli utenti che si collegano al leak site su Tor vedono comparire un avviso di sequestro. L’avviso mostra molte bandiere: Norvegia, Francia, Lituania, Portogallo, Romania, Spagna, Svezia, Regno Unito ecc… E’ l’elenco delle forze dell’ordine che hanno partecipato alla task force internazionale.

La particolarità è che l’avviso pubblicato è una GIF che mostra lo stesso annuncio in russo e in inglese.

L'alert visibile sul leak site di Hive Ransomware
Hive ransomware in breve
Hive è un ransomware relativamente nuovo: le sue operazioni sono iniziate nel Giugno 2021 e si è fatto conoscere come ransomware prettamente “aziendale” che si diffonde principalmente tramite campagne di phishing recanti il payload di un malware per l’accesso remoto. E’ stato visto però anche sfruttare le vulnerabilità sui dispositivi esposti in Internet e utilizzare credenziali di accesso acquistate da altri gruppi di attaccanti.

Una volta ottenuto l’accesso alla rete, gli attaccanti tentano di diffondersi nella rete tramite movimenti laterali iniziando fin da subito l’esfiltrazione a fini estorsivi di tutti i dati sui quali riescono a mettere le mani. Ottenuto l’accesso amministratore sul domain controller di Windows, distribuiscono il ransomware a tutti i dispositivi che risultano collegati alla rete.

Una delle specialità di Hive è quella di cercare e cancellare qualsiasi backup riescano a intercettare e sono riusciti in alcuni casi a impedire il ripristino dei dati ad aziende che si erano dotati preventivamente di strumenti di backup. Tra le altre cose, Hive ha una variante capace di diffondersi e criptare sistemi Linux: in dettaglio questa versione cripta i server Linux e FreeBSD, comunemente usati per ospitare virtual machine.

Vittime illustri di Hive sono state MediaMarket (conosciuto come MediaWorld in Italia), la Tata Power, la New York Racing Association. In Italia invece è balzato agli onori della cronaca per aver bucato le reti di RFI – Rete Ferroviaria italiana e dell’USLSS 6 di Padova.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

libero_mail_down

Libero Mail down: che sta accadendo? – Aggiornato –

Libero mail down: il tema rimbalza di media in media, di social in social. Clienti inferociti ma l’azienda nega l’attacco hacker e dà la colpa a terzi. Cosa si sa per adesso

Libero Mail e Virgilio down
Attualmente #liberodown e #liberomail sono topic trend su Twitter. Non stupisce, ci sono migliaia di utenti italiani tagliati fuori dalle proprie caselle di posta elettronica. Le webmail di Libero e Virgilio sono in down da almeno due giorni. Per un “problema tecnico” ha per adesso spiegato l’azienda su Twitter

Ieri l’azienda ha pubblicato anche un secondo aggiornamento

“In 25 anni di servizio fedele agli utenti italiani, non ci è mai successo di restare off-line per così tanto tempo. Stiamo leggendo tutti i vostri messaggi, sappiamo che contate su di noi per comunicare, per questo stiamo correndo per ritornare online insieme quanto prima. (2/3)”

Libero Mail e Virgilio down: che cosa è successo?
Insomma, stiamo parlando di un disservizio che si prolunga da giorni, del quale non sono chiare le cause. Diego Rizzi – CTO di ItaliaOnline che gestisce i servizi mail di Libero – ha dichiarato:

“Stiamo lavorando incessantemente da ormai diverse ore per risolvere un problema infrastrutturale inaspettato e imprevisto e che non è dipeso da sistemi sviluppati da Italiaonline. Possiamo rassicurare, come già scritto sui nostri portali e touchpoint digitali, che i nostri utenti sono stati in questa situazione di emergenza, e continueranno ad essere sempre, la nostra priorità. L’attuale situazione non è dipendente da attacchi cyber esterni”.

Questa la comunicazione mostrata agli utenti che tentano di accedere al proprio account email

Comunicazione che non ha placato le polemiche, difficili da smorzare sia per la durata del disservizio sia perché l’azienda viene accusata da più parti di scarsa trasparenza.

Pubblicato un file con 500.000 indirizzi email e password in chiaro
Ci siamo attivati per provare a verificare, anche sfruttando fonti OSINT, eventuali rivendicazioni relative ad un attacco. Magari la classica richiesta di riscatto di qualche ransomware gang. Ad ora, almeno spulciando i principali leak site, non risultano tracce di attacchi subiti da ItaliaOnline.

L’esperto Piero di Maria ha pubblicato uno screenshot del canale Telegram di un gruppo di attaccanti specializzato in data breach.

Fonte: Paolo Dal Checcho
Nel canale è disponibile gratuitamente al download un file di testo in formato TXT dal nome “500K_UHQ_COMBOLIST_GOOD_FOR_ITALY_(libero.it)[1]”. Contiene, per la precisione, oltre 624 indirizzi email @libero.it con tanto di password in chiaro

Un’analisi della lista non chiarisce i dubbi rispetto alla possibilità che il down non dipenda da motivi tecnici ma da un attacco hacker. La lista, infatti, contiene solo indirizzi email Libero Mail ma, ad un primo controllo, gran parte di questi erano già trapelati online in precedenti breach.

Interessante invece è una rilevazione, di un paio di settimane fa, di un bean di Cobal Strike rilevato su un IP localizzato a Siziano, il paese nella provincia di Pavia dove ha sede il datacenter di Stack Infrastructure che ospita, a quanto si può ricostruire dalla stampa, i dati di ItaliaOnline.

La rilevazione risale a due settimane fa. Come risaputo, Cobal Strike è molto usato dai gruppi ransomware come primo accesso alle reti bersaglio.

Renderemo aggiornamenti quando e se disponibili

Aggiornamento del 25/01/23 ore 16.40
Italiaonline ha pubblicato un nuovo aggiornamento sulla vicenda. Anzitutto sono esplicitate delle tempistiche: il provider prevede il ritorno alla piena operatività di Libero Mail e Virgilio entro 24-48 ore. L’azienda spiega che

“nelle scorse settimane, al fine di offrire un servizio sempre migliore e sempre più aggiornato, abbiamo introdotto un’innovativa tecnologia di storage a supporto delle nostre caselle mail, fornita da un vendor esterno, un produttore di tecnologie di storage utilizzato da alcune delle più grandi società al mondo. Purtroppo, un bug del sistema operativo ne ha compromesso il corretto funzionamento e, di conseguenza, quello delle caselle di posta presenti su di esso. Il vendor sta lavorando incessantemente per la risoluzione del problema, creando un fix per la soluzione della problematica, con il supporto di tutti i nostri team interni. Trattandosi però di un bug a livello di sistema operativo, la soluzione sta richiedendo i tempi tecnici di sviluppo, con l’obiettivo primario di tutelare l’integrità dei dati”.

Fonte: Libero.it on Linkedin
Aggiornamento del 27/01/23
Ci sono due buone notizie, utili da riportare. La prima è che la combolist con quasi 500.000 indirizzi email Libero.it violati sembra provenire da breach precedenti e forse neppure subiti da Libero. Come fatto notare dal ricercatore Dario Fadda, questi dati sono stati sottratti a servizi differenti. Come Twitter. E non facciamo un esempio a caso: Twitter ha informato gli utenti presenti in questo file, invitandoli al cambio password.

L’altra buona notizia è che i servizi Libero e Virgilio sono in ripresa. I servizi stanno tornando progressivamente disponibili.

lockbit_royalmail

Il ransomware Lockbit mette KO Royal Mail

Ransomware Lockbit: un affiliato colpisce Royal Mail. KO il servizio postale più grande del Regno Unito.

Il ransomware LockBit colpisce Royal Mail
Royal Mail, il servizio postale più importante del Regno Unito, è stato colpito da un affiliati del RaaS Lockbit. Royal Mail ha dovuto quindi sospendere tutti i servizi di spedizione internazionali a causa di una “grave interruzione del servizio” dovuta ad un “cyber incidente”, come si legge nella nota pubblicata sull’accaduto. I servizi di spedizione interni ai confini del Regno Unito non si sono interrotti, mentre l’azienda ha dovuto avvisare i clienti rispetto ai ritardi nelle consegne oltremare, impossibili fino alla ripristino dei sistemi.

Royal Mail non ha fornito ulteriori spiegazioni sull’accaduto ma alcune informazioni sono trapelate. Il Telegraph è stato il primo a rivelare che l’attacco subito da Royal Mail ha a che fare con il ransomware Lockbit e la sua rete di affiliati

La prova? La redazione ha ottenuto da una fonte anonima interna la nota di riscatto che il ransomware ha lasciato nelle cartelle criptate e perfino stampato tramite le stampanti connesse alla rete bersaglio.

Fonte: the Telegraph
La nota di riscatto parla di LockBit Black Ransomware
Nelle parti oscurate sono leggibili indirizzi Tor afferenti a tutt’oggi all’operazione RaaS Lockbit. L’intestazione della nota di riscatto prla di “LockBit Black Ransomware”: questa è la denominazione del più recente encryptor adottato dall’operazione ransomware e distribuito ai propri affiliati. L’aggiunta di Black si deve al fatto che il codice del nuovo encryptor integra parti di codice e funzionalità provenienti dal codice dell’operazione ransomware BlackMatter, recentemente “messa in pensione” dai suoi gestori.

La nota contiene anche un Decryption ID che la vittima deve necessariamente utilizzare per fare login nella chat che gli attaccanti usano per le comunicazioni e le trattative. Tuttavia più fonti confermano che il Decryption ID non funziona. Non è chiaro se la stanza privata e il relativo ID siano stati cancellati direttamente dagli attaccanti una volta che la nota è trapelata sulla stampa. Non sarebbe la prima volta e c’è già un caso simile avvenuto in Italia, per l’appunto.

Il ransomware Hive ha colpito RFI, i gestori della rete ferroviaria italiana, ma le credenziali per accedere alla chat con gli attaccanti erano finite su Twitch e qualcuno, non certo un portavoce di RFI, aveva iniziato a dialogare con gli attaccanti. Attaccanti che, una volta resisi conto che gli accessi erano trapelati, avevano chiuso la stanza e proceduto ad aprire una nuova chat riservata ai portavoce di RFI.

Il builder di LockBit 3.0 è trapelato online
Va detto che a Settembre su Twitter è stato pubblicato il builder del ransomware. Questo ha permesso ad altri attaccanti, non collegati all’operazione RaaS Lockbit, di utilizzare l’encryptor di Lockbit. Il dubbio quindi su chi si celi realmente dietro l’attacco è legittimo. Il “volto pubblico” di Lockbit infatti, che si fa chiamare LockBitSupp, ha negato qualsiasi coinvolgimento di LockBit o altri affiliati nella criptazione delle reti di Royal Mail. Se quanto affermato è vero, un gruppo diverso dai gestori di LockBit sta usando LockBit per colpire le aziende.

E’ stato LockBitSupp in persona però a risolvere il mistero, giusto due giorni fa. L’attacco è stato effettivamente condotto da un affiliato del ransomware LockiBit. Quindi ha ribadito che i dati saranno cancellati e il decryptor inviato a Royal Mail solo dopo che il servizio postale UK avrà pagato il riscatto.

Fonte: Bleeping Computer
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

mailchimp_data_breach

MailChimp: nuovo data breach dopo l’hacking ad un dipendente

MailChimp, nota piattaforma di invio newsletter e automazione marketing, ha scoperto un nuovo data breach. Un attaccante ha avuto accesso al supporto clienti interno.

MailChimp data breach: cosa sappiamo per adesso
MailChimp ha scoperto un nuovo databreach dopo che un attaccante ha avuto accesso al sistema di supporto dei clienti e ad un tool interno alla rete aziendale per la gestione degli account. Questo accesso non legittimo alla rete ha portato l’attaccante ad avere accesso ai dati dei clienti.

Stando alla ricostruzione della società, un attaccante è riuscito ad ottenere le credenziali di un dipendente dopo aver condotto un attacco di ingegneria sociale mirata sui dipendenti MailChimp e i suoi collaboratori. L’attacco è stato individuato l’11 Gennaio, quando l’azienda ha individuato una persona non autorizzata che aveva accesso al tool di supporto.

“Dopo aver trovato tracce di un attore non autorizzato, abbiamo temporaneamente sospeso l’accesso per quegli account MailChimp sui quali abbiamo individuato attività sospette, così da tutelare i dati degli utenti. Abbiamo notificato il problema a tutti gli account interessati il 12 Gennaio, meno di 24ore dopo la scoperta iniziale”

si legge nella nota relativa all’incidente di sicurezza.

La società ha comunque fatto sapere che, per quanto non possa condividere ovviamente informazioni sui clienti, non risultano compromissioni di credenziali o dati finanziari.

Il data breach di MailChimp ha riguardato anche WooCommerce
Uno dei clienti riguardati da questo breach è WooCommerce, il popolarissimo plugin per ecommerce su WordPress. WooCommerce ha quindi inviato, a sua volta, una segnalazione agli utenti avvertendoli che il data breach di MailChimp ha esposto i loro username, URL, indirizzi ed indirizzi email.

WooCommerce ha dichiarato che ad oggi non risultano usi illegittimi dei dati esposti, ciò non toglie che tali dati spesso sono usati per attacchi di phishing.

Per saperne di più > LastPass data breach: esposti URL, credenziali e dati sensibili

Il precedente: quando i dati rubati a MailChimp furono usati per un attacco ai clienti Trezor
Questo non è il primo data breach subito da MailChimp. Torniamo indietro ad Aprile 2022m quando i clienti di Trezor, un hardware per wallet di criptovalute, ricevono una notifica di data breach fake. Lo scopo della comunicazione era quello di indurre i clienti Trezor a scaricare un software Trezor Suite fake.

La notifica fake di data breach ai clienti Trezor
Per Trezor, la mailing list usata per questa campagna di phishing era una mailing list di Trezor trapelata nel data breach di Mail Chimp.

Nell’Agosto 2022 MailChimp subisce ancora un data breach. In questo caso sono risultati esposti i dati di clienti del peso di Edge Wallet, Cointelegraph, NFT Creators, Ethereum FESP ecc…

01

Farmacie online vulnerabili: i dati dei clienti italiani a rischio

Farmacie online vulnerabili: una segnalazione anonima ci informa delle vulnerabilità e condivide database e info a riprova. I dati sensibili di migliaia di clienti italiani sono a rischio.

Farmacie online vulnerabili: l'e-commerce non é sicuro
Una fonte anonima ci ha contattati per informarci di un grave rischio alla privacy di migliaia, o forse più, di cittadini italiani.

"Vi scriviamo per informarvi di una grave situazione di sicurezza informatica che riguarda la società "XXXX", titolare del sito "XXXX", che realizza siti web di farmacie online. Il nostro team di ricercatori di sicurezza informatica ha recentemente contattato questa azienda per informarla di diverse vulnerabilità presenti nel suo sistema, ma sembra che abbia scelto di ignorarci"

L'azienda in questione è titolare appunto di una piattaforma ecommerce pensata appositamente per la vendita di farmaci online. È utilizzata per costruire appunto shop online di farmaci. Nella segnalazione, che evidentemente è stata inviata a più soggetti, aziende ed enti attive nel settore della sicurezza informatica, si legge:

"Abbiamo ottenuto il vostro indirizzo e-mail cercando su Internet organizzazioni italiane interessate alla sicurezza informatica e alla privacy".

Un segnale evidente del fatto che gli anonimi segnalatori hanno la volontà non tanto di sfruttare tali dati per trarne profitto in maniera illegittima, quanto di segnalare effettivi rischi alla privacy dei cittadini. Volontà ribadita nel testo:

"Questo comportamento (non aver risposto alle segnalazioni di vulnerabilità n.d.r) è inaccettabile e mette a rischio i dati dei clienti delle farmacie online create da questa società, nonché i dati personali degli utenti di questi siti web di farmacie. È responsabilità di questa azienda proteggere questi dati e adottare misure per correggere queste vulnerabilità. Vi invitiamo a indagare su questa società e a informare il pubblico dei rischi che comporta l'utilizzo di questi siti web di farmacie non protetti. È importante che i consumatori siano consapevoli dei rischi per la loro privacy quando utilizzano questi siti per acquistare farmaci online".

Allegato alla email di segnalazione c'è un archivio compresso, contenente la riprova di quanto affermato dai "pentester" che ci hanno contattati.

Infrastrutture e dati sensibili: cosa c'è nell'archivio
Ovviamente abbiamo proceduto a verficare quantomeno il contenuto dell'archivio che abbiamo ricevuto. E si, a prima vista sono pessime notizie. L'archivio contiene una cartella e tre file di testo

6bis

I file di testo contengono la "prova" dell'avvenuta irruzione in alcuni shop online. Uno dei file, ad esempio, fornisce l'elenco delle tecnologie in uso su un ecommerce costruito con la piattaforma, così come la struttura del sito.

2

Le vere note dolonti però sono i 3 file CSV contenuti nella cartella "Tre esempi di database CLIENTI di FARMACIA". Qui ci sono dati in chiaro appartenenenti ai clienti di una serie di ecommerce italiani.

databasecorr

Tutti e tre i database contengono dati sensibili, in chiaro:

nome e cognome,
indirizzo fisico,
codice fiscale,
partiva IVA,
telefono,
email,
user ID,
password,
consenso al trattamento dati,
data di registrazione,
data ultima modifica,
indirizzo IP,
PEC.

N.B: l'articolo recava, in prima bozza, la lista delle farmacie online vulnerabili. Siamo stati contattati e ci siamo confrontati con il gestore della piattaforma e ne abbiamo condiviso la preoccupazione sul fatto che tale denuncia non sia dovuta a disinteressata difesa della privacy degli utenti quanto a strategie di concorrenza. Accademia Italiana Privacy non ha intenzione di prestarsi a dinamiche di questo tipo, fedeli alla nostra mission di diffondere cultura della privacy e consapevolezza del valore dei dati personali. L'articolo resta online a fine di denuncia di un rischio, ma abbiamo deciso di omettere il nome dell'azienda gestrice della piattaforma.

vidar-stealer

Furto dati: 1300 siti fake di Anydesk distribuiscono Vidar Stealer

Furto dati: 1300 siti fake di Anydesk distribuiscono Vidar Stealer
da Ilaria Mugnai | Gen 12, 2023 | News, Sicurezza Informatica

Furto dati: i ricercatori di sicurezza individuano oltre 1300 siti fake del famoso tool di accesso remoto Anydesk. Distribuiscono il malware Vidar Stealer
Furto dati: i ricercatori di sicurezza individuano oltre 1300 siti fake del famoso tool di accesso remoto Anydesk. Distribuiscono il malware Vidar Stealer

I ricercatori individuano 1300 domini fake che sfruttando il brand Anydesk
A darne notizia, su Twitter, è stato per primo il ricercatore crep1x. E’ stato lui infatti a individuare oltre 1300 domini che imitavano il sito ufficiale di Anydesk. Anydesk, il famosissimo software (legittimo) di accesso remoto, non ha invece bisogno di presentazioni. Proprio la fama di Anydesk è la principale motivazione alla base delle sempre più frequenti campagne che ne sfruttano il brand. Tra le più recenti ricordiamo quella dell’Ottobre 2022 : i gestori del malware Mitsu Stealer allestirono una serie di siti web molto somiglianti a quello ufficiale del software per distribuire il loro nuovo malware infostealer.

La nuova campagna che sfrutta AnyDesk, tutt’ora in corso, poggia su ben 1300 differenti domini (qui la lista completa). La particolarità è che tutti in realtà risolvono lo stesso indirizzo IP 185.149.120[.]9. Non solo: tutti gli utenti che sono incappati accidentalmente su questi siti web, sono indirizzati verso lo stesso link Dropbox. La “sorpresa” è proprio lì dentro, nel Dropbox. Anche il sito web fake è sempre lo stesso, eccolo sotto in foto

Il sito fake
Uno sguardo alla lista dei domini rende evidente che gli attaccanti non si sono limitati a sfruttare Andydesk: molti dei domini imitano domini e brand come MSI Afterburner, Z-ZIP, Blender, Dashlane, Slack, VLC ecc…

La maggior parte dei siti dannosi al momento risulta offline ad opera del registrar oppure bloccata dalle soluzioni antivirus. Alcuni invece sono ancora online. Fortunatamente il link Dropbox non conduce più al download del malware. Il servizio di storage in cloud lo ha interrotto una volta ricevuta la segnalazione sul malware e sul sito web fake.

Tanti siti un solo malware: Vidar Stealer
Come detto, tutte le strade portavano ad un solo punto: il download del malware per il furto dati Vidar. Al click, si attivava il download di un file rinominato ‘AnyDeskDownload.zip’ (qui l’analisi VirusTotal), nome scelto evidentemente per ingannare l’utente. L’archivio contiene un eseguibile che non installa, ovviamente AnyDesk, ma questo malware per il furto dati individuato in distribuzione, per la prima volta, nel 2018.

Vidar stealer può:

rubare la cronologia del browser,
credenziali dell’account,
password salvate,
dati dei wallet di criptovaluta,
informazioni bancari e altri dati sensibili
Il metodo di distribuzione tramite il servizio di hosting Dropbox lo rende una minaccia insidiosa, visto che le soluzioni antivirus considerano Dropbox come affidabile. Il payload così raramente viene bloccato prima del download.

Vidar Stealer e i siti fake
L’uso di siti fake che simulano quelli istituzionali di famosi software non è affatto una novità per Vidar Stealer. Anzi. La redazione di Bleeping Computer ha ricostruito che Vidar è stato distribuito con campagne che sono arrivate a sfruttare oltre 200 domini fake che “impersonificavano” ben 27 diversi brand.

Nel Dicembre 2022 c’è stata un’ulteriore campagna di distribuzione che ha addirittura visto l’uso di Google Ads per spingere “più in alto” nei risultati i siti web compromessi. Pochi giorni fa invece sono stati 128 i siti fake individuati, in questo caso promuovevano software crackati.

hive_ransomware_camst

Hive Ransomware colpisce la CAMST e critica Sophos

Hive Ransomware colpisce la CAMST e critica Sophos
da Ilaria Mugnai | Gen 4, 2023 | News, Sicurezza Informatica

Hive ransomware colpisce l’azienda italiana CAMST, esfiltra i dati e li pubblica sul leak site. Poi critica la sicurezza della rete aziendale e attacca Sophos.

Hive Ransomware colpisce la CAMST
Il 29 Novembre sui giornali prima locali, poi nazionali, inizia a circolare la notizia di un attacco informatico all’azienda italiana CAMST. Ne danno poi notizia anche gli esperti di Red Hot Cyber, che poi approfondiscono la vicenda e ci rendono un quadro molto interessante dell’accaduto.

L’attacco in questione è il classico attacco ransomware: gli attaccanti prima hanno esfiltrato i dati presenti sulla rete, quindi hanno proceduto a criptarli. Subiscono ritardi e difficoltà i centri cottura e i ristoranti self service, a causa della impossibilità a elaborare gli ordini. Nel frattempo i responsabili IT aziendali comunicano di aver deciso di rendere parzialmente inaccessibili una parte dei dati presenti. Tutti i server vengono messi offline e, assicurano,

” grazie alle procedure di sicurezza subito attivate, saremo in grado di assicurare il ripristino dei sistemi informativi al 100%”.
Author Name
Tweet
Insomma, la reazione classica in questi casi: l’infrastruttura viene spenta e messa offline in via precauzionale onde evitare una diffusione ancora maggiore dell’infezione.

Hive Ransomware rivendica l’attacco
Non ci sono particolari notizie riguardo questa vicenda fino al 30 Dicembre 2022. Giorno in cui sul leak site di Hive compare la rivendicazione dell’attacco, il classico countdown e una parte dei dati esfiltrati.

Al momento della pubblicazione dei dati, va detto, l’azienda aveva già ripristinato i sistemi ed era tornata alla piena operatività.

Gli esperti di Red Hot Cyber, come da tradizione, prendono visione dei file pubblicati, così da ottenere maggiori informazioni sull’attacco. Anche in questo caso, fanno sapere, i dati pubblicati sono solo una parte di quelli realmente in possesso degli attaccanti, ma sono più che sufficienti per fare pressione sull’azienda.

Tra i dati rubati ci sono, ad esempio, file e cartelle contenenti le password utenti e della rete locale

Non solo: gli attaccanti riescono a mettere le mani sulle polizze di cyber insurance aziendali

Il gruppo ransomware contatta Red Hot Cyber e fornisce la propria ricostruzione
Il 30 Dicembre una mail arriva alla redazione di red Hot Cyber. E’ un portavoce di Hive Ransomware, che decide di raccontare la propria versione dei fatti. La redazione decide di pubblicare queste email al fine non tanto di accusare qualcuno di qualcosa, quanto di rendere pubbliche informazioni che possono essere utili ad evitare ad altre aziende di fare la stessa fine di Camst. Per la lettura integrale delle email rimandiamo a questo link. Va detto che la richiesta di pubblicare le informazioni viene proprio dalll’autore delle email.

Gli attaccanti hanno iniziato l’attacco il 25 Novembre e lo hanno concluso la sera del 27. Spiegano di essere riusciti a bucare un’azienda da 130 milioni di dollari di fatturato perchè

“non so quanto siano pagati gli amministratori (IT n.d.r), ma non vogliono lavorare”.

Non è stato difficile, continua la mail, accedere ai domain controller della rete e rubare le informazioni di sistema. Questo prima furto ha consentito loro di ricostruire in grande dettaglio l’intero sistema e la sua configurazione. Ma non ci è voluto molto, spiegano: l’infrastruttura era configurata in modo assolutamente standard. Un gioco da ragazzi per loro, che si sono trovati di fronte un sistema organizzato in maniera “banale e prevedibile”.

Poi c’è l’attacco diretto del team di Hive Ransomware a Sophos:

“Hanno usato l’antivirus Sophos. Il nostro consiglio è di non utilizzare antivirus di questo genere facilmente aggirabili. Lo abbiamo rimosso senza problemi e scaricato tutte le informazioni dalla rete in circa 40 minuti” spiegano.

I responsabili IT si sono resi conto della presenza in rete degli attaccanti, rivela la mail, solo la sera del 27 Novembre. A quella data gli attaccanti avevano già rubato 370 GB di file e la criptazione della rete era già al 99,9% del totale. Insomma, hanno iniziato a spegnere i sistemi quando ormai l’attacco era quasi terminato.

Al termine dell’attacco, il gruppo contatta il team di sicurezza CAMST e fissa la dead line al 30 Dicembre. Nonostante più solleciti, CAMST cessa le comunicazioni. La conseguenza è che i dati ora sono stati resi tutti pubblici.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy