Virgin Hacked? Sul leak site del gruppo ransomware Clop compare, tra gli altri, il gruppo Virgin. Al momento non divulgati file rubati

Ransomware Clop aggiorna la lista con 30 nuove vittime
E’ successo tutto nel corso della giornata di ieri, 23 Marzo: il gruppo ransomware Clop ha aggiunto ben 30 nomi alla lista delle proprie vittime. Tra i tanti nomi, uno spicca in particolare. Parliamo di Virgin, il noto gruppo di società di proprietà del magnate Richard Branson. Virgin è un nome che leghiamo immediatamente al mondo della musica, ma ormai il gruppo si occupa anche di voli aerei, aerospazio, viaggi, vendita al dettaglio ecc…

Fonte: Cl0p leak site
Secondo il leak site di Clop ransomware, le entrate della Virgin dovrebbero ammontare a 18 miliardi di dollari. Il dato è interessante perché, come abbiamo illustrato qui, capita spesso che i gruppi ransomware più avanzati colleghino l’ammontare del riscatto alle entrate dell’azienda.

Clop ransomware in breve
Cl0p è stato individuato in diffusione, la prima volta, nel 2019 come variante di CyrptoMix. Come tutti i gruppi ransomware avanzati, adotta la tecnica della doppia estorsi0ne: un riscatto per non pubblicare i file rubati, un riscatto per ottenere il decryptor e poter riportare in chiaro i file criptati. Infatti è dotato di funzionalità per l’esfiltrazione dei dati dalla rete bersaglio, prima dell’avvio della routine di criptazione.

Dopo un periodo di inattività, a cavallo tra il 2019 e il 2021, Cl0P torna alla carica e nel 2022 viene individuata anche la prima versione del ransomware per server Linux.

Di recente ha colpito anche in Italia: il sito Red Hot Cyber ha infatti individuato online la rivendicazione dell’attacco portato contro l’italiana Zucchetti Kos.

Una delle società del gruppo Virgin era stata colpita a Febbraio da un “major hack”
Nel Febbraio di quest’anno Virgin Media Television ha subito un tentativo non autorizzato di accesso ai propri sistemi, fatto che ha costretto l’azienda a chiudere temporaneamente molti dei propri canali TV in Irlanda.

Virgin Media, in quell’occasione, rese pubblica una dichiarazione:

“Il nostro monitoraggio continuo della sicurezza ha permesso di identificare un tentativo non autorizzato di accedere ai nostrio sistemi negli ultimi giorni. A causa delle precauzioni implementate, ci saranno effetti temporanei sulla trasmissione di alcuni dei nostri programmi…

Prevediamo il ritorno alla normalità del servizio appena completato il processo di revisione e verifica”

Poco dopo l’azienda confermava di aver “completamente contenuto, isolato e terminato” l’attacco in corso.

Non sono poi circolate più informazioni relative a questo “major hack”, come fu definito dal Ministro delle comunicazioni e dell’economia circolare. Di conseguenza non sappiamo se la rivendicazione di Cl0P e questo breach, siano correlati. Non ci sono infatti, al momento, dichiarazioni da parte della Virgin. Non resta che attendere l’evolvere dei fatti, attendendo la pubblicazione ( se avverrà) del sample di dati rubati dal gruppo Cl0p dalle reti Virgin.

Aggiornamento del 24/03
Un portavoce di Virgin ha dichiarato a Bleeping Computer che il data breach ha riguardato soltanto Virgin Red.

“Siamo stati recentemente contattati da un gruppo ransomware che si fa chiamare Clop, il quale ha ottenuto illegalmente alcuni file Virgin Red grazie ad un cyber attacco su un nostro fornitore, GoAnywhere”

ha dichiarato il portavoce.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

Ferrari Hacked: l’azienda di Maranello scopre un data breach. Ha già ricevuto una richiesta di riscatto e fatto sapere di non avere alcuna intenzione di pagare.

Ferrari Hacked: il Cavallino scopre un data breach
Ferrari ha scoperto di aver subito un data breach dopo aver ricevuto una richiesta di riscatto. Anonimi attaccanti sono riusciti a fare irruzione nei sistemi IT aziendali, quindi hanno avanzato la richiesta di riscatto per non pubblicare i dati.

“Siamo spiacenti di informarvi di un incidente informatico alla Ferrari, nel corso del quale un attore di minacce è stato in grado di accedere ad un numero limitato di sistemi nel nostro ambiente IT”

ha dichiarato Ferrari nella comunicazione ufficiale inviata ai clienti.

La notifica che la Ferrari ha inviato ai clienti
Qui il comunicato ufficiale pubblicato da Ferrari > INCIDENTE DI SICUREZZA INFORMATICA IN FERRARI

Quel che ancora non è chiaro e su cui Ferrari non ha fatto chiarezza è il tipo di attacco subito. Non è chiaro cioè se ci troviamo di fronte ad un attacco ransomware o ad un “semplice” tentativo di estorsione. L’azienda ha comunque fatto sapere di avere avviato un indagine in collaborazione con “una delle principali società di sicurezza informatica a livello mondiale”. Ma soprattutto ha ribadito che

“in linea con la policy aziendale, Ferrari non accoglierà nessuna richiesta di riscatto in quanto acconsentire a simili richieste finanzierebbe attività criminali e permetterebbe agli autori delle minacce di perpetuare i loro attacchi”.

L’attacco non ha interrotto l’operatività aziendale, ma ha esposto dati personali

Ferrari ha preso una serie di contromisure per mettere in sicurezza i sistemi compromessi e ha sottolineato come l’attacco non abbia avuto conseguenze né effetti sull’operatività aziendale. L’attacco ha però esposto i dati personali dei clienti. In dettaglio sono nelle mani degli attaccanti nomi e cognomi, indirizzi, indirizzi di posta elettronica e numeri di telefono.

La comunicazione inviata ai clienti sottolinea che, a seguito dell’indagine condotta, non risultano esposti dati di pagamento e/o coordinate di conti correnti bancari o altri servizi di pagamento. Anche i dati relativi a vetture Ferrari già vendute o in ordine sono al sicuro.

Sono trascorsi sei mesi dall’attacco di RansomExx
Nell’Ottobre 2022 il gruppo RansomEXX ha rivendicato un attacco sferrato con successo contro i sistemi di Ferrari SpA. La rivendicazione fu pubblicata sul leak site Tor del gruppo ed era accompagna da un sample dei file esfiltrati dalla rete IT. In dettaglio il sample era un documento riservato, su carta intestata societaria, risalente al 2005. Il gruppo ransomware rivendicava il furto di circa 7 GB di dati sensibili, la maggior parte documenti aziendali e manuali con dettagli tecnici. Non risultarono colpiti, in quel frangente, dati personali.

Per saperne di più > RansomEXX colpisce di nuovo in Italia: cosa sappiamo di questo ransomware?

La Ferrari pochi giorni dopo, confermò all’agenzia Reuters che in effetti aveva rinvenuto pubblicati nel dark web una serie di documenti interni. Non ha però mai confermato di aver subito un attacco ransomware, meno che mai da parte di RansomEXX. A tutt’oggi non è chiaro se quei dati pubblicati fossero stati trafugati proprio dal sistema IT di Ferrari o da un fornitore di terze parti. In quegli stessi giorni infatti il gruppo specializzato in data breach Everest (li ricordate? Sono quelli che “bucarono” i sistemi SIAE) confermò l’attacco contro Speroni S.p.A fornitore di Ferrari.

Uno dei documenti pubblicati da RansomEXX. Fonte: Red Hot Cyber
In ogni caso gli esperti sono inclini a pensare che l’attacco subito recentemente da Ferrari sia diverso e non abbia legami con quello precedentemente subito ad opera di RansomEXX. Nel 2022 l’analisi dei sample pubblicati portò alla conferma del fatto che i dati esfiltrati erano principalmente tecnici, mentre il breach di questi giorni ha esposto dati personali dei clienti.

Aggiornamento h. 16.00 del 22/03
Il gruppo Ares, sul proprio canale Telegram, ha reso disponibili 7 GB i dati appartenenti a Ferrari. Il gruppo Ares è specializzato in data breach.

Fonte: Red Hot Cyber

Ursnif malware è ormai una presenza fissa nel nostro paese. Il CERT ha reso pubblicato un report completo del fenomeno: dati tecnici e numeri.

Ursnif malware: le campagne delle scorse settimane
Come già indicato in precedenti articoli, il CERT ha individuato una campagna massiva di distribuzione del malware Ursnif. Campagna di distribuzione mirata contro il nostro paese. Dall’inizio di Marzo il CERT ha osservato e contrastato quattro diverse campagne che hanno sfruttati temi con Agenzia delle Entrate e MISE/MEF.

Fonte: https://cert-agid.gov.it
Queste campagne hanno catturato l’attenzione dei ricercatori per il loro volume, ma anche per il numero di indicatori di compromissione individuati, più di 1200.

Urnsif in breve:
Urnsif, conosciuto anche come Gozi, è tra i malware bancari più diffusi al mondo. Nonché tra i più longevi: le prime segnalazioni della sua “bozza primordiale” risalgono addirittura al 2007. Il suo codice sorgente è trapelato online nel 2015. Poco dopo è diventato pubblicamente disponibile su Github. In poco tempo nuovi autori malware hanno lavorato su quel codice, aggiungendo molteplici funzionalità.

Le funzionalità di cui è capace, la complessità del codice hanno portato gli addetti ai lavori, nel tempo, a non classificarlo più come mero trojan bancario ma come minaccia avanzata e persistente. Da qualche anno ha scelto l’Italia come campo di battaglia.

Nel solo 2021 ha colpito preso di mira i clienti di oltre 100 istituti bancari italiani. In quell’anno ha rubato oltre 1700 credenziali relative ad un solo elaboratore di pagamenti. Altre informazioni dettagliate sulla sua diffusione sono disponibili, con cadenza praticamente settimanale, nei bollettini del CERT-AGid. Il nostro paese infatti è riguardato da più campagne di diffusione a cadenza ormai settimanale.

Per approfondire > Ursnif: il trojan bancario più diffuso in Italia

Ursnif e le tecniche di attacco
Ursnif viene diffuso in molteplici modi. La tecnica più utilizzata prevede l’uso di un link dinamico di Firebase, solitamente inserito in corpo testo dell’email vettore. Questo link reindirizza la vittima verso una pagina di smistamento. Queste pagine sono solitamente ospitate su server compromessi e hanno lo scopo di indirizzare, infine, l’utente a scaricare un file ZIP. Questo archivio contiene il payload del malware, in dettaglio un collegamento ad un eseguibile su un servizio di sharing pubblico.

Catena di infezione di ursnif malware
Fonte: https://cert-agid.gov.it
Proprio nel corso delle attività di contrasto delle campagne di Ursnif gli esperti del CERT hanno potuto recuperare una serie di dati utili sulle attività di questo malware. Sono riusciti, infatti, a recuperare una serie di informazioni “abbandonate” nelle pagine di smistamento. A partire dal fatto che le pagine di smistamento sono tutte su un unico server di backend.

Diamo i numeri: il fenomeno Ursnif malware
Tra le informazioni recuperate, gli esperti del CERT hanno trovato indirizzo IP, user agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno navigato sulla pagina di smistamento.

“Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.

si legge nel report.

Emerge quindi che, al momento della scrittura del report (pubblicato il 16 Marzo 2023) le visite alle pagine di smistamento erano quasi 380.000. Ora, il backend usato per indirizzare le vittime al download del payload possono rilevare se la vitista proviene o meno da uno strumento automatico (come un motore di ricerca). Di 380.000 visite, solo 40.000 sono provenienti da strumenti automatici.

A livello giornaliero, le visite risultano così distribuite:

dati ursnif malware
Fonte: https://cert-agid.gov.it
I picchi che si notano nel grafico corrispondono ai giorni in cui sono iniziate le quattro campagne di distribuzione di Ursnif.

Un altro dato interessante è che, nonostante la campagna sia mirata contro l’Italia, poco più della metà delle visite è italiana. L’altra metà è in lingua inglese, ma le visite risultano localizzate in specifici punti geografici più che mostrare una distribuzione più o meno uniforme in paesi angolofoni, come invece potremmo aspettarci. Ne discende che, probabilmente, tali visite sono state generate da strumenti automatici (come le sandbox).

Visite per lingua ursnif malware
Fonte: https://cert-agid.gov.it
Visite per Sistema Operativo

Visite per Sistema Operativo ursnif malware
Fonte: https://cert-agid.gov.it
La maggior parte delle visite proviene da dispositivi Windows, mentre per i dispositivi mobile la fa da padrone Android. macOS e Linux i meno utilizzati.

Visite per provenienza indirizzo IP
Ecco sotto ricostruite sulla mappa le posizioni degli indirizzi IP che hanno visitato le pagine di smistamento

Visite per provenienza indirizzo IP - ursnif malware
Fonte: https://cert-agid.gov.it
“È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate principalmente per l’Italia”

Pagamenti ransomware: come funzionano? Quali caratteristiche differenziano i vari gruppi le loro modalità di estorsione? Una ricostruzione con la lente della Data Science.

Applicare la data science al mondo dei ransomware
Trendmicro ha pubblicato un report molto interessante che tratta la questione ransomware da un punto di vista piuttosto originale. In una ricerca congiunta con Waratah Analytics, intitolata “What Decision-Makers Need to Know About Ransomware Risk“, gli esperti di Trend Micro hanno applicato la data science allo studio delle modalità e del fenomeno di pagamento dei ransomware.

Il punto, spiegano i ricercatori, è che i costi operativi e i modelli tramite cui i gruppi monetizzano gli attacchi ransomware possono rivelare molti dettagli. Analizzando dati di questo tipo infatti è possibile ricostruire tecniche di attacco, procedure, i metodi di persistenza ma anche le qualifiche dei vari membri. Inutile dire quanto un simile modello di analisi riesca a produrre (almeno potenzialmente) una serie di informazioni estremamente utili per difendersi. E se le risultanze di tali analisi finiscono integrate direttamente nelle strategie di difesa, diviene possibile (ripetiamo, almeno potenzialmente) difendersi anche da minacce sempre più sofisticate come i ransomware.

L’altro lato della medaglia > La nuova frontiera del crimine informatico: OSINT

I gruppi ransomware profilano le vittime e calcolano l’ammontare del riscatto
Nel report gli scienziati tratteggiano, per cominciare, le modalità con cui viene calcolato il potenziale riscatto da richiedere alle vittime. Va detto che sono molteplici i fattori tenuti in considerazione per stabilire l’ammontare del riscatto da richiedere in fase iniziale e quanto richiedere invece in corso di negoziazione, fino a stabilire un minimo sotto il quale la negoziazione viene fatta saltare. Un dato è piuttosto ovvio: il fatturato.

I leak delle chat interne del gruppo ransomware Conti hanno permesso di ricostruire che il gruppo profilava le vittime e manteneva aggiornato il loro stato finanziario utilizzando le informazioni commerciali pubblicamente disponibili online. Non a caso il gruppo Conti aveva il suo dipartimento OSINT interno, un team deputato solo alla raccolta dati, alla profilazione e all’aggiornamento dello stato delle vittime.

La profilazione viene poi aggiornata in seguito all’attacco. Come si sa ormai, i gruppi ransomware precedono la fase di criptazione dei dati con quella dell’esfiltrazione. I dati vengono prima trasferiti verso altri storage controllati dagli attaccanti mentre le copie che restano sui sistemi colpiti vengono criptate. Questi dati sono una miniera di informazioni per gli attaccanti. Nel report di Trendmicro, ad esempio, è riportato come tali dati influiscano direttamente sulla trattativa tra vittima e attaccanti. Pensate ad un’azienda che, sotto ricatto, dichiara di non avere modo di pagare quanto richiesto dagli attaccanti. Immaginate ora che gli attaccanti abbiano nella propria disponibilità informazioni sufficienti sulla liquidità dell’azienda, sui contratti e altri dati finanziari rubati dalle vittime stesse, per poter stabilire se l’azienda stia mentendo o meno. E’ facile immaginare che gli aggressori decidano di vendicarsi pubblicando i dati della vittima o aumentando l’ammontare del riscatto.

Il modello di business scelto determina i costi operativi del ransomware
Ovviamente i gruppi ransomware hanno dei costi operativi da coprire, se vogliono ottenere un profitto e rendere effettivo il proprio modello di business. Alcuni gruppi richiedono un riscatto di ammontare fisso, uguale per tutte le vittime. Altri invece differenziano l’ammontare secondo il profilo dettagliato della vittima. Sapere come operano gli attaccanti e l’entità del riscatto può aiutare i team di sicurezza a distinguere le campagne ransomware mirate da quelle non mirate su uno specifico obiettivo. Distinzione assai importante dal momento che per evitare attacchi mirati saranno richieste specifiche strategie di difesa.

I costi operativi comunque, osservano i ricercatori, dipendono in larga parte dal modello di business scelto dagli attaccanti stessi. Se l’entità del riscatto è negoziabile, è probabile pensare che i costi sostenuti dagli attaccanti per progettare un attacco mirato saranno usati per stabilire una fascia minima, una cifra minima sotto il quale non si potrà scendere a patti.

Per i gruppi ransomware che adattano il riscatto alla dimensione della vittima, i ricercatori hanno osservato che il riscatto richiesto varia molto. A titolo esemplificativo citano il Ransomware as a Service Cerber

Ammontare dei riscatti del ransomware Cerber
Fonte: Trendmicro
Dall’altro lato c’è DeadBolt, un gruppo ransomware che si concentra più sul numero di attacchi che su attacchi mirati. L’entità del riscatto, in questo caso, mostra poche variazioni

Ammontare dei riscatti del ransomware DeadBolt
Fonte: Trendmicro
Gruppi come Cerber, insomma, impostano l’ammontare iniziale del riscatto e la soglia minima da imporre durante la trattativa basandola sulla singola vittima. Questo dipende dal fatto che un attacco mirato può richiedere personale e infrastrutture aggiuntivi, aumentano i costi da sostenere.

Pagamenti Ransomware: chi paga, paga molto velocemente
Uno dei casi studio presi in esame in questa ricerca ha mostrato un dettaglio molto importante. Più della metà delle vittime del ransomware DeadBolt ha ceduto alle richieste degli attaccanti entro 20 giorni, il 75% entro 40 giorni.

Lasso di tempo tra l'infezione e pagamento del riscatto
Fonte: Trendmicro
Anche il tempo di ripristino è quindi un fattore importante per le vittime, soprattutto di livello aziendale. E’ importante notare che è praticamente quasi scontato che il riscatto sarà pagato celermente in quei casi in cui vengono compromessi sistemi critici. Soprattutto se da questi sistemi dipendono direttamente gli introiti aziendali.

“Dando uno sguardo alla velocità con cui sono pagati i riscatti nei casi ransomware, la nostra ricerca dimostra che la criptazione dei dati in un cyber attacco avviene non molto tempo prima che queste transazioni siano rilevate nella blockchain. Questo tipo di dati può rivelarsi utile per i difensori quando correlano il pagamento del riscatto ai sample del ransomware o ai data breach”

si legge nel report.

Per concludere: l’importanza della Data Science e dell’analisi di varie fonti di dati
Insomma, analizzare varie fonti di dati, sfruttare i vantaggi della Data Science può fruttare importanti informazioni molto utili ai professionisti della sicurezza informatica. Ad esempio permette di ricostruire come opera un determinato gruppo e quale modello di business ha adottato.

“I nostri suggeriscono che i gruppi ransomware la cui strategia di monetizzazione prevede l’organizzazione di attacchi mirati hanno competenze, approcci, skill e capacità di attacco molto simili a quelli osservati per i gruppi APT (Advanced Persistent Threat). Per i team di sicurezza, il contrasto a questa tipologia di gruppi ransomware richiede risorse paragonabili a quelle di cui avrebbero bisogno in caso di attacchi portati da gruppo state-sponsored oppure in caso di un penetration test di portata essenzialmente illimitata”

concludono i ricercatori.

Medusa Ransomware è in diffusione dal 2021, ma ha mostrato una scarsa attività. Fino al 2023: da Gennaio colpisce attivamente aziende in tutto il mondo e si è dotato di un data leak site per le estorsioni.

Medusa Ransomware: breve cronistoria
Le operazioni ransomware di Medusa sono iniziate nel Giugno 2021. Non hanno destato però particolare preoccupazione nei ricercatori di sicurezza, dato che ha mostrato scarsa attività e ha mietuto poche vittime. Dall’inizio del 2023 però il gruppo ransomware ha aumentato notevolmente la propria attività e ha lanciato “Medusa Blog”, il leak site per pubblicare i dati esfiltrati dalle reti delle vittime recalcitranti a pagare. Lo scorso mese il gruppo è balzato agli onori delle cronache per l’attacco contro il distretto Minneapoli Public Schools.

L’attacco ransomware contro le scuole pubbliche di Minneapolis
Come detto, Medusa Ransomware ha fatto il giro dei media mondiali in seguito all’attacco contro il distretto
Minneapolis Public Schools (MPS). Il gruppo ha richiesto 1 milione di dollari statunitensi di riscatto, confermando di aver esfiltrato i dati prima di procedere alla criptazione. 50.000 dollari invece il costo per estendere di un giorno il countdown.

La nota di riscatto di MPS. Fonte: Bleeping Computer
Dettaglio curioso: il threat analyst Brett Callow, di Emsisoft, ha rintracciato su Vimeo un video pubblicato dagli attaccanti. Il video mostra i dati rubati: è una tecnica del tutto inusuale e mai vista prima per fornire la prova dell’accesso alla rete bersaglio.

Medusa has uploaded a ~51 minute video to Vimeo which shows screenshots of the data they claim to have stolen from #MPS. It’s the first time recall seeing this particular tactic. #ransomware https://t.co/mksEQVPNLP pic.twitter.com/93uIa9GXP4

— Brett Callow (@BrettCallow) March 7, 2023
Medusa Ransomware: estensione di criptazione, nota di riscatto, leak site
Senza pretesa di completezza, diamo uno sguardo sotto la superficie. Per cominciare, le informazioni di base: questa infezione è riconoscibile dall’estensione di criptazione che aggiunge ai file criptati, .MEDUSA.

File criptati
Fonte: Bleeping Computer
La nota di riscatto viene creata in ogni cartella contenente datio criptati. E’ in formato testuale e il file si chiama !!!READ_ME_MEDUSA!!!.txt. Contiene le informazioni di contatto: un indirizzo Protonmail, un canale Telegram, il leak site su Tor ecc…

La nota di riscatto
Fonte: Bleeping Computer
Il leak site, come detto, è piuttosto recente. Ovviamente è accessibile solo tramite Tor: si chiama medusa Blog.

Il leak site di Medusa ransomware
Fonte: Red Hot Cyber
Qualche info tecnica

Non è chiaro se Medusa Ransomware sia in grado di criptare anche sistemi Linux. L’encryptor per Windows è già stato analizzato da più ricercatori. Accetta le righe di comando elencate sotto così da consentire all’attaccante di configurare le modalità con le quali saranno criptati i file sulla rete bersaglio.

Command Line
Option | Description

-V | Get version
-d | Do not delete self
-f | Exclude system folder
-i | In path
-k | Key file path
-n | Use network
-p | Do not preprocess (preprocess = kill services and shadow copies)
-s | Exclude system drive
-t | Note file path
-v | Show console window
-w | Initial run powershell path (powershell -executionpolicy bypass -File %s)
Il comando V, per esempio, mostra una console con una serie di messaggi di stato. Sotto una schermata di questa console Windows: si può vedere come il ransomware tenti di arrestare le soluzioni di sicurezza

la console Windows di Medusa Ransomware
Fonte: Michael Gillespie
Se non riceve comandi specifici, il ransomware Medusa sospende oltre 280 servizi e processi Windows. Tra questi, mail server, server database, server di backup, software e servizi di sicurezza… tutto quanto potrebbe impedire o ostacolare la routine di criptazione. Non solo: Medusa fa di tutto per impedire il ripristino dei file. Ha funzionalità per cancellare i file in locale associati ai programmi di backup. come Windows Backup. Per farlo usa il comando che si vede sotto, capace anche di cancellare i VHD.

del /s /f /q %s.VHD %s.bac %s.bak %s.wbcat %s.bkf %sBackup.* %sbackup. %s.set %s.win %s*.dsk
L’esperto di ransomware Michael Gillespie ha anche verificato che l’encryptor sfrutta gli algoritmi di criptazione AES256 e la RSA2048 usando la libreria BCrypt.

Purtroppo al momento non ci sono metodi conosciuti per recuperare i file.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

Rapporto Clusit 2023: gli attacchi contro l’Italia sono aumentati del 169% rispetto al 2021. L’83% sono stati gravi. Scarsa capacità delle vittime di difendersi.

Rapporto Clusit 2023: la situazione nel mondo peggiora
Il Rapporto Clusit 2023 sarà presentato al Security summit la prossima settimana. Intanto, con una conferenza stampa, ne è stata resa pubblica un’anteprima che non lascia spazio a dubbi. Il 2022 ha visto un incremento importante dei cyber attacchi: sono stati registrati un totale di 2.489 incidenti di sicurezza classificati come gravi.

Gli attacchi informatici gravi sono stati 440 in più rispetto al 2021, una crescita del 21%. Il mese peggiore dal punto di vista delle individuazioni è stato Marzo, con un totale di 231 attacchi registrati. Un picco mai toccato prima.

I ricercatori del Clusit specificano comunque che questi pessimi dati sono solo la conferma di un trend ormai costante: dal 2018 al 2022 gli attacchi sono cresciti di oltre il 60%, determinando un generale peggioramento dello stato di sicurezza informatica nazionale e globale.

L’Italia sempre più esposta agli attacchi informatici
Anche il dato che riguarda il nostro paese non è positivo che si conferma un obiettivo sempre più colpito. Il 7,6% degli attacchi globali ha colpito il nostro paese: quasi il doppio rispetto al 3.4% nel 2021.

188 sono stati gli attacchi mirati contro l’Italia, con un incremento del 169% rispetto al 2021. Di questi l’83% è stato classificato come di gravità elevata o critica. Il settore governativo ha subito il maggior numero di attacchi (20%) seguito dal manifatturiero (19%).

Va detto che:

il 93% degli attacchi ha avuto finalità di mero cybercrime;
l’11% ha finalità di spionaggio / sabotaggio:
il 4% information warfare;
il 3% di attivismo.
Per approfondire > Italia colpita da un’ondata di attacchi DDoS: il governo vara la Strategia nazionale di cyber sicurezza 2022-2026

Il problema però, risiede nella scarsa difesa di capacità delle vittime, di difendersi.

Gli attacchi nel nostro paese vengono compiuti con tecniche quasi sempre standardizzate, ormai frutto dell’industria del cybercrime che è la matrice prevalente delle attività malevole. Questo conferma come l’aumento degli attacchi in Italia sia con-causato da forti limiti nella capacità di difesa delle vittime.

ha dichiarato Alessio Pennasilico, tra gli autori del Rapporto Clusit 2023 e membro del comitato scientifico di Clusit.

Le tecniche di attacco più usate
I dati del Clusit rivelano che il 37% degli attacchi globali è stato portato tramite malware. Seguono poi l’exploit di vulnerabilità e gli attacchi di phishing / ingegneria sociale. I malware invece in Italia pesano per il 53% degli attacchi complessivi, col grave problema che ben il 95% di queste tipologie di incidente determina impatto grave o gravissimo. Gli attacchi DDoS invece, nonostante il grande clamore intorno a KillNet, pesano solo per il 4% in Italia e sono addirittura in diminuzione rispetto al 2021.

Ursnif è uno dei trojan bancari più longevi. Da qualche anno ha scelto l’Italia come “terra di conquista”. nel nostro paese è diffusione, con diverse campagne, a cadenza ormai settimanale.

Urnsif: breve cronistoria
Urnsif, conosciuto anche come Gozi, è tra i malware bancari più diffusi al mondo. Nonché tra i più longevi: le prime segnalazioni della sua “bozza primordiale” risalgono addirittura al 2007. Il suo codice sorgente è trapelato online nel 2015. Poco dopo è diventato pubblicamente disponibile su Github. In poco tempo nuovi autori malware hanno lavorato su quel codice, aggiungendo molteplici funzionalità.

Le funzionalità di cui è capace, la complessità del codice hanno portato gli addetti ai lavori, nel tempo, a non classificarlo più come mero trojan bancario ma come minaccia avanzata e persistente. Da qualche anno ha scelto l’Italia come campo di battaglia.

Nel solo 2021 ha colpito preso di mira i clienti di oltre 100 istituti bancari italiani. In quell’anno ha rubato oltre 1700 credenziali relative ad un solo elaboratore di pagamenti. Altre informazioni dettagliate sulla sua diffusione sono disponibili, con cadenza praticamente settimanale, nei bollettini del CERT-AGid. Il nostro paese infatti è riguardato da più campagne di diffusione a cadenza ormai settimanale.

Ursnif: funzionalità dannose
Veniamo alle domande più immediate: quali sono le funzionalità dannose di Ursnif? Che rischi corre un utente colpito da Urnsif?

La prima parte della risposta è scontata: Ursnif mira ai dati bancari, soprattutto le credenziali di accesso ai servizi di home banking, ma anche informazioni finanziare e altre credenziali di login. Non si limita però a questo. Ad esempio sottrae informazioni che riferiscono al dispositivo colpito: nome del dispositivo, sistema operativo, processi in esecuzione ecc…

Le funzionalità variano, le principali sono comunque, oltre a quelle già indicate:

furto di credenziali dai form web;
sottrazione dei certificati installati;
download ed esecuzione di alri software;
esecuzione di proxy server SOCKS;
keylogging;
cattura degli screenshot;
capacità di eseguire web injections.
Come si diffonde? Le campagne email “armate”
L’immagine sotto mostra la catena di infezione di Ursnif, che tendenzialmente si ripete con poche variazioni.

Catena di infezione di Ursnif
Fonte: trendmicro
Tutto inizia con la classica email con allegato Office. Il testo dell’email ha lo scopo di indurre l’utente ad aprire il documento. A questo scopo Urnsif utilizza infinite e diverse tecniche di ingegneria sociale, molto spesso imitando anche comunicazioni di enti pubblici o istituti di previdenza italiani, così come avvisi legittimi di importanti e noti istituti bancari. L’utente che apre l’allegato e abilta la macro è “fregato” e l’infezione si avvia.

Sotto tre paio di campagne di spam effettivamente distribuite al fine di diffondere Ursnif

Campagna di distribuzione di URSNIF
Campagna di Urnsif a tema Agenzia delle Entrate
Campagna di diffusione di Ursnif a tema INPS
Analizziamone una a titolo esemplificativo. La campagna in foto che abusa del nome dell’Agenzia delle Entrate non veicola allegati, ma presenta un link in corpo del messaggio. Il click su “Scarica il documento” avvia il download i un file HTA. Il file HTA è un tipo di file HTML che viene solitamente eseguito lato server e non dal web browser, ma è supportato da tutti i web browser dal momento in cui è stato introdotto HTML 5.

In questo caso gli attaccanti utilizzano certutil (l’utilità legittima e integrata in Windows per la gesione dei certificati digitali) per scaricare un eseguibile, in questo caso “scarica.exe”. Quell’eseguibile è Ursnif

Nella foto sotto il codice per il download dell’eseguibile tramite certutil

Ursnif: codice per il download dell'eseguibile tramite certutil
Fonte: Avast
Va detto comunque che le tecniche differiscono: sono stati osservati in uso anche file HTA che però utilizzano script PowerShell per scaricare librerie DLL da un URL “emebedded” per poi usare rundll32.exe per eseguire la DLL dannosa. In altri casi invece, Urnsif si diffonde con l’uso di macro contenente codice VBA ecc…

Urnsif: breve analisi tecnica
Ursnif è un malware modulare composto da diversi componenti e moduli, ognuno dei quali svolge una specifica funzione nell’attacco complessivo. Il componente principale di Ursnif è il downloader, che viene utilizzato per scaricare e installare il malware sul sistema della vittima. Il downloader è spesso distribuito tramite e-mail di phishing, exploit kit o siti web compromessi. Una volta che il downloader ha infettato il sistema, viene eseguito il dropper, che ha il compito di installare e attivare il malware. Il dropper può utilizzare varie tecniche per eludere le misure di sicurezza, ad esempio la crittografia del payload o la creazione di file temporanei.

Ursnif è altamente personalizzabile e i suoi creatori possono aggiungere o rimuovere moduli in base alle loro esigenze. Alcune delle altre parti del codice di Ursnif includono moduli di comunicazione, moduli di crittografia, moduli di autenticazione e moduli di controllo remoto.

Emotet torna in Italia: non si vedeva da 4 mesi, ora torna con una massiva campagna di distribuzione lanciata da Epoch4.

Emotet torna in Italia dopo 4 mesi di assenza
L’alert viene dal CERT, che ha individuato e analizzato una campagna di email di spam massiva e molto aggressiva, rivolta contro utenti italiani. Mancava da 4 mesi ma, evidentemente, Emotet si stava solo preparando per tornare a colpire. L’ultima attività in Italia era stata registrata nel “lontano” Novembre 2022. In quel caso il CERT aveva individuato e analizzato 16 campagne di diffusione lanciate da ben due delle botnet che compongono l’infrastruttura di Emotet, ovvero Epoch4 e Epoch 5.

Il grafico sotto mostra la distribuzione delle campagne Emotet in Italia dal 2020 al 2023.

Fonte: https://cert-agid.gov.it
Per saperne di più > Emotet torna a colpire in Italia – (articolo relativo alla campagna di Novembre 2022)

La campagna in corso sfrutta conversazioni già avviate
La campagna odierna, in corso, è stata individuata e contrastata dal CERT. La campagna non ha un tema specifico, anzi, è ancora più insidiosa perché riprende conversazioni già avviate, “infilandovi” dentro un allegato ZIP dannoso.

In dettaglio, spiega il CERT, l’allegato ZIP è “CopiaFattura.zip” e contiene un file DOC di dimensioni insolitamente grandi: oltre 500 MB di peso.

Fonte: https://cert-agid.gov.it
Secondo gli esperti del CERT, le dimensioni insolite del file hanno uno scopo specifico, ovvero impedire all’utente di passare il file sulle sandbox online per analizzare l’allegato. Infatti i 500 MB sono raggiunti “artificialmente”: il file peserebbe solo 300 KB, la differenza è dovuta all’aggiunta di una serie di null byte fino ad arrivare ai 500MB.

Fonte: https://cert-agid.gov.it
Al di là del peso, l’arma di questo file DOC è la classica macro dannosa con un basso livello di offuscamento del codice. La macro ha il solo scopo di scaricare ulteriori file PE o ZIP ed eseguirli. Le URL per il download dei file, integrate in macro, sono offuscate. Sono testate una ad una finché non avviene il download del file richiesto. Ecco le dropurl deoffuscate:

Fonte: https://cert-agid.gov.it
In questo caso le URL rilasciano un file ZIP che contiene, a sua volta, una DLL di oltre 500 MB di peso. Anche questa presenta un peso eccessivo perché “arricchita” di null byte. La DLL viene poi eseguita tramite regsvr32. Deoffuscando la macro, la funzione oggetto dell’esecuzione di questa DLL si fa chiara:

Fonte: https://cert-agid.gov.it
I server C&C relativi a questa campagna sono 49 e fanno parte della botnet Emotet chiamata Epoch4.

Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E’ usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.

Le misure di mitigazione complete sono consultabili in questo report > EMOTET Descrizione e misure di contrasto – CSIRT Italia