databreachluxottica

Data breach Luxottica: esposti i dati di 70 milioni di clienti

Data breach Luxottica: l’azienda conferma la pubblicazione online dei dati di oltre 70 milioni di clienti. I dati esfiltrati con un attacco suppy-chain

Luxottica hacked: esposti i dati di 70 milioni di clienti
La conferma arriva dalla diretta interessata, Luxottica. L’azienda italiana, leader mondiale nella produzione di occhiali da vista e da sole, ha confermato la pubblicazione dei dati riferiti ad oltre 70 milioni di clienti. Uno dei partner di Luxottica ha subito, infatti, nel 2021 un attacco informatico che ha esposto i dati dei clienti. Ora quel database è finito pubblicato e scaricabile gratuitamente su un forum di hacking.

Il 30 Aprile e il 12 maggio 2023 questo database è infatti comparso, nella sua interezza e gratuitamente scaricabile, su più siti di hacking determinando una grande circolazione dei dati.

Uno dei post pubblicati nell'undeground hacking con il database Luxottica
Uno dei post pubblicati nell’underground hacking con il database Luxottica. Fonte: Red Hot Cyber
Va detto che già nel Novembre del 2022 un membro del forum Breached (che adesso non esiste più) aveva tentato di vendere un database, risalente al 2021, contenente oltre 300 milioni di record. Questi record contenevano informazioni personali e dati sensibili di utenti e clienti Luxottica USA e Canada. Il venditore del database aveva dichiarato che l’archivio conteneva informazioni come l’indirizzo email, nome e cognome, indirizzo fisico e data di nascita degli utenti.

Il post del 2022 che annuncia la masse in vendita dei dati dopo il data breach Luxottica.
Il post del 2022 che annuncia la masse in vendita dei dati di Luxottica. Fonte: Bleeping Computer
Il database messo in vendita su Breached nel 2022 ha creato non poca confusione con quello appena pubblicato gratuitamente: non era chiaro se quei dati provenissero da un nuovo attacco oppure dai due attacchi che l’azienda ha subito nel 2020 o, magari, da un terzo attacco non noto. I dubbi sono stati poi chiariti da Luxottica stessa, che ha datato i dati come provenienti da un attacco subito nel 2021 da un partner.

Luxottica e i data breach del 2020
Ricordiamo infatti che Luxottica, anche per il ruolo di società mondiale che ricopre, è stata più volte bersaglio dei cyber attaccanti. Nell’Agosto 2020 ha subito un data breach che ha esposto i dati personali di quasi 830.00 clienti EyeMed e Lenscrafters.

Il mese successivo, Luxottica ha subito un altro attacco informatico, ben peggiore. Sfruttando la vulnerabilità CVE-2019-19781 presente nei controller Citrix ADC, il ransomware Netfilm penetrò nei sistemi aziendali portando al blocco della produzione sia in Italia che in Cina.

Per saperne di più > Attacco ransomware contro Luxottica: interrotta produzione e logistica

Il database pubblicato recentemente proviene da un attacco del 2021
Gli esperti di Bleeping Computer hanno deciso di approfondire la vicenda e hanno chiesto delucidazioni a Luxottica e alcuni esperti di cyber security italiani. I ricercatori di sicurezza hanno verificato che il database, “pesante” circa 140GB, contiene 305 milioni di righe, 74.4 milioni di indirizzi email e 2.6 milioni di indirizzi dominio email. Hanno anche stabilito, sulla base dei record più recenti, che la data di esfiltrazione del database potrebbe essere il 16 Marzo 2021. I dati proverrebbero quindi da un data breach non divulgato in precedenza.

Luxottica ha infine confermato quanto dichiarato dai ricercatori. Alla redazione di Bleeping Computer hanno infatti confermato che i dati provengono da un attacco informatico che ha colpito i sistemi di un partner di terza parte gestore dei dati dei clienti. La società ha anche annunciato che le indagini sono ancora in corso. Tuttavia ha confermato che i dati esposti sono

nomi completi;
email;
numeri di telefono;
indirizzo fisico;
data di nascita.
Luxottica ha anche dichiarato di aver preso coscienza del data breach subito dal partner “da un post di terze parti nel dark web nel Novembre 2022”.

Interessante quanto riportato da Troy Hunt, il ricercatore responsabile del servizio “Have I Been Pwned” (dove un utente può verificare se i propri dati sono esposti). Hunt ha verificato le corrispondenze tra il database pubblicato recentemente e i dati trapelati che già il suo servizio di verifica data breach possedeva. Ben il 74% di questi dati era già presente nel database della piattaforma che, ricordiamo, viene aggiornato con tutti i principali database circolanti nei forum di breach, su Telegram e nei vari canali noti di hacking.

New breach: Luxoticca had 77M email addresses breached via a partner in 2021. Data also included names, physical addresses, DoBs, genders and phone numbers. 74% were already in @haveibeenpwned. Read more: https://t.co/5Koup126Av

— Have I Been Pwned (@haveibeenpwned) May 19, 2023

domini_zip_mov

Google introduce i domini ZIP e MOV: esperti in allerta

Google ha deciso di introdurre nuovi domini di primo livello, tra i quali ZIP e MOV. Esperti in allarme per i rischi truffe, attacchi di phishing e distribuzione di malware.

Google introduce nuovi domini di primi livello
I primi giorni di Maggio Google ha annunciato, nel suo blog ufficiale, l’introduzione di 8 nuovi domini di primo livello che aggiungono nuove estensioni in Internet. Tra i nuovi domini “.dad”, “.phd”, “.mov” ecc…

I ricercatori di sicurezza e gli amministratori IT, però, hanno già espresso forti preoccupazioni rispetto ai domini .zip e .mov. Va detto che entrambi questi domini sono disponibili già dal 2014, ma solo da questo mese sono diventati disponibili a tutti. Oggi cioè chiunque potrebbe acquistare un dominio come s-mart.zip per un sito web.

Il timore è che i cyber criminali possano utilizzare questi nuovi domini per attacchi di phishing ma anche per la distribuzione di malware. Infatti il nome dominio corrisponde a quello di estensioni di file che vengono comunemente utilizzati online e ora questi saranno automaticamente convertiti in URL da alcune piattaforme o app online.

Quali rischi con i domini ZIP e MOV?
Vediamo più in concreto quali rischi hanno denunciato i ricercatori di sicurezza. Due tipologie di file che vediamo abitudinariamente girare online sono proprio i file archivio ZIP e i file video MPEG4, il cui nome file, rispettivamente, finisce proprio in .zip e .mov. Insomma, parliamo di due tipi di file molto popolari e molto diffusi.

Il problema è che adesso sono anche domini di primo livello e i ricercatori sanno che piattaforme e app di messaggistica, così come i social media, convertiranno automaticamente i nome di file con estensioni ZIP e MV in URL. Nella foto sotto, pubblicata da Bleeping Computer, un esempio concreto di questo pericolo. Se un utente invia alcune istruzioni per aprire il file ZIP e avere accesso ad un file MOVE, questi innocui filename sono convertiti in URL.

filename convertiti in URL su Twitter
E’ verosimile che buona parte degli utenti si troverà a pensare che l’URL possa essere utilizzato per scaricare il file associato e quindi finirà a fare clic sul collegamento. Adesso però il rischio è che quell’URL non conduca più ad un file, ma ad un sito web che potrebbe essere compromesso con malware o approntato per attacchi di phishing.

Un caso concreto di sfruttamento di dominio ZIP è già stato individuato
Bleeping Computer segnala che il rischio paventato da molti ricercatori di sicurezza è tutt’altro che teorico. Ad esempio la società di cyber intelligence Silent Push Labs ha già individuato un uso truffaldino del dominio ZIP.

La pagina microsoft-office[.]zip è a tutti gli effetti una pagina di phishing che tenta di rubare le credenziali dell’account Microsoft.

Una pagina di phishing contro utenti Microsoft che sfrutta il dominio ZIP
I rischi non finiscono qui: i caratteri Unicode e i browser basati su Chromium
Un altro rischio segnalato è quello dell’uso di caratteri Unicode sui browser basati su Chromium. Infatti l’uso di specifici caratteri Unicode negli URL e del separatore @ può consentire il dirottamento delle vittime verso domini dannosi.

Per approfondire: l’alert del CERT> Perché destano preoccupazione i nuovi domini .zip?
In concreto, sui browser Chromium è possibile utilizzare caratteri Unicode molto simili, purtroppo, allo slash.
U+2044 (⁄) e U+2215 (∕) sono facilmente confondibili col comune slash (/). Combiare questi caratteri col separatore @ (usato nelle URL per identificare alla sua destra il dominio, alla sua sinistra l’utente) consente di generare, nei fatti, un dominio fittizio.

Il CERT riporta quest’esempio:

https://google.com∕gmail∕inbox@bing.com
Questo URL contiene i due caratteri Unicode sopra indicati al posto dello slash e il separatore @. Se l’utente copia e incolla questo URL sul browser, non sarà indirizzato verso il dominio google.com ma reindirizzato verso bing.com.

Altri esempio riportati dai ricercatori sono URL come https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip

Prendiamo l’URL sopra e sostituiamo tutti gli slash col carattere Unicode U+2215 (∕) e aggiungiamo @ prima di v1.27.1.zip

https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1.27.1.zip
Il risultato? Cliccare sulla URL sopra porterà l’utente verso la porzione dell’hostname dell’URL v1.27.1.zip. Che a tutti gli effetti potrebbe ormai essere un dominio compromesso e non un file ZIP.

I due URL però sono praticamente indistinguibili apparentemente

legittimo > https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
dannoso > https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
Il CERT fa sapere che se già sono stati individuati domini ZIP registrati allo scopo di ospitare pagine di phishing, non ci sono evidenze dello sfruttamento dei nuovi domini di primo livello con l’uso dei caratteri Unicode e del separatore @.

strelastealer

StrelaStealer: lo spyware che deruba Outlook e Thunderbird arriva in Italia

StrelaStealer è uno spyware specializzato nel furto di account email. Il CERT ne ha individuato una campagna di diffusione in Italia

Il CERT individua StrelaStealer in diffusione in Italia
Con un tweet sul profilo ufficiale, il CERT AgID ha reso pubblica l’individuazione della prima campagna di diffusione in Italia del malware StrelaStealer.

🇮🇹 Campagna #StrelaStealer osservata per la prima volta in Italia

✉️ Oggetto: FATTURA
📎 Allegato: ZIP (pass)
✍️ Firmato digitalmente

📛 Furto di credenziali email #Thunderbird e #Outlook

💣 Disponibili gli #IoC 👇

🔗 https://t.co/svl6bOQ5rV

Telegram: https://t.co/Yf1CQc3LAZ pic.twitter.com/23tUm7bg7o

— Cert AgID (@AgidCert) May 15, 2023
StrelaStealer è un malware per il furto dati (infostealer) molto recente. Le prime individuazioni e analisi risalgono al Novembre dello scorso anno. Nessuna campagna di distribuzione, però, era mai stata individuata in Italia.

StrelaStealer: cosa sappiamo per adesso
I primi ad individuare questo malware sono stati gli analisti della firm di cybersecuity DCSO CyTEc, che individuarono una versione pensata per colpire gli utenti di lingua spagnola. Al contrario di altri infostealer, che per la maggior parte prendono di mira dati finanziaria o collegati a criptovalute e informazioni personali, StrelaStealer prende di mira le credenziali degli account email.

Lo fa prendendo di mira, in dettaglio, gli utenti dei due popolarissima client email Thunderbird e Outlook.

Come si diffonde
StrelaStealer viene diffuso via email. Le email veicolano solitamente allegati ISO il cui contenuto varia da campagna a campagna. In uno dei casi analizzato, l’ISO conteneva un eseguibile rinominato msinfo32.exe. In altri casi il file ISO conteneva due file, un file LNK e uno HTML. Il file HTML mostrava formati diversi a seconda dell’applicazione usata dall’utente per aprirlo. Il file ISO è un vettore piuttosto comodo perché consente di “montare” una immagine con il doppio clic. Quindi se l’utente clicca due volte sul contenuto di un file ISO, non riceve alert di sicurezza.

La catena di infezione di StrelaStealer
Fonte: DCSO CyTEc
Nel caso in oggetto, il file HTML, rinominato x.html, è sia un file HTML che un programma DLL con la capacità di scaricare il malware StrelaStealer oppure di mostrare un documento diverso a seconda del browser predefinito.

La catena di infezione
Come si vede nell’immagine sopra, quando il file Factura.lnk viene eseguito, eseguirà x.html due volte: una usando rundll32.exe per eseguire la DLL StrelaStealer integrata, la seconda volta per caricare il documento nel browser

Le proprietà del file Factura.lnk
Le proprietà del file Factura.lnk. Fonte: Bleeping Computer
Ecco che il malware è caricato in memoria, il browser di default viene aperto e mostra il documento scelto per rendere l’attacco meno sospetto. In questo caso, il documento mostrato emula un documento ufficiale del famoso gruppo bancari ARVAL- BNP Paribas.

Il documento fake di ARVAL - BNP Paribas
Il documento fake di ARVAL – BNP Paribas. Fonte: Bleeping Computer
Dettagli su StrelaStealer
Una volta eseguito il malware stesso, StrelaStealer cerca la directory ‘%APPDATA%\Thunderbird\Profiles\ e il file logins.json (account e password) e il file key4.db (database delle password). Ne esfiltra il contenuto e lo invia al server C&C sotto il controllo degli attaccanti.

Nel caso di Outlook, invece, il malware legge il Registro di Windows per recuperare la chiave del software e quindi individuare i valori “IMAP User”, “IMAP Server” e “IMAP Password”. IMAP Password contiene effettivamente la password dell’utente, ma in forma criptata quindi il malware utilizza una funzione di Windows (CryptUnprotectData) per riportarla in chiaro prima di esfiltrarla e inviarla al C&C.

L’infezione si conclude quando StrelaStealer convalida che il server C&C ha ricevuto i dati controllando una specifica risposta. Quindi si arresta quando la riceve. Se invece non ottiene la convalida, entra in stato di sospensione per 1 secondo, quindi ritenta la routine di furto dati.

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come

ransomware_monti_abuzzo_l

Il Ransomware Monti pubblica i dati dell’ASL 1 Abruzzo

Il ransomware Monti ha iniziato la pubblicazione dei dati sanitari trafugati dai sistemi dell’Asl 1 Abruzzo. Garante e ASL 1 ricordano che scaricare dati rubati dal dark web è un reato

Il ransomware Monti e l’attacco all’ASL1 Abruzzo
Nella giornata del 3 Maggio 2023 il Centro Unico di Prenotazione dell’ASL 1 Abruzzo (Avezzano, Sulmona, L’Aquila) va in tilt. Impossibile prenotare visite e prestazioni sanitarie di ogni genere, impossibile pagare. L’ASL 1 Aquila si trova costretta a mandare a casa i cittadini. Mentre si torna a carta e penna, i tecnici negano gravi conseguenze.

“Si spera di poter risolvere il problema al più presto ma possiamo rassicurare che nessun dato sanitario o sensibile è stato trafugato o perduto. L’archivio informatico è integro”.

L’attacco viene rivendicato, nel leak site, dal gruppo ransomware Monti che pubblica pochissimi giorni dopo la rivendicazione, alcuni dati a riprovare dell’avvenuta intrusione nei sistemi e del data breach. Il gruppo dichiara di avere nella propria disponibilità 522 GB di dati. Ma i guai non finiscono qui:

“Molteplici vulnerabilità hanno consentito il download di dati sui pazienti sieropositivi”

hanno dichiarato.

Per saperne di più > Il Ransomware Monti colpisce l’ASL 1 Abruzzo

Il fallimento delle trattative: la pubblicazione dei dati procede “a piccole dosi”
Gli effetti dell’attacco si protraggono ormai da giorni. Alcuni sistemi risultano ancora in blocco completo mentre gli attaccanti hanno iniziato a pubblicare una mole sempre crescente di dati.

Le modalità di trattativa del gruppo ransomware hanno visto un continuo e crescente aumento del livello di ricatto. Dalla prima ecografia pubblicata online, il gruppo ha iniziato a minacciare la pubblicazione di ulteriori dati sensibili: prima quelli dei pazienti con HIV, poi pazienti oncologici ecc.. Ma gli attaccanti hanno minacciato di pubblicare anche informazioni più tecniche, come le informazioni sul backup dei sistemi.

Il post minaccioso pubblicato da Monti Ransomware sull'ASL 1 abruzzo
Fonte: Red Hot Cyber
Insomma, lo schema estorsivo del gruppo Monti vede l’uso di richieste graduali verso l’ASL1: l’ammontare del riscatto aumenta mano a mano che vengono pubblicati dati e archivi interni.

L’ultimo aggiornamento pubblicato dal gruppo è chiaro e perentorio:

Fonte: Monti Ransomware Leak Site
“Non abbiamo lasciato alcuna richiesta di riscatto, i media hanno inventato l’ammontare. Domani pubblicheremo tutti i dati e vi promettiamo attacchi più duri”

Quali dati sono stati pubblicati?
Come detto, il gruppo ha ribadito di possedere 500 GB di dati rubati: ad ora quelli pubblicati ammontano a circa 50GB.

Fonte: Monti Ransomware Leak Site
Come si può vedere, risultano pubblicati molti archivi RAR, alcuni con nomi piuttosto espliciti

!MalattieInfettiveAQ.rar
ChirurgiaVascolareAQ.rar
EmatologiaAQ.rar
FisiopatologiaAppDigAQ.rar
MedicinaInternaAQ.rar
OstetriciaAQ.rar
NeonatologiaAQ.rar
ecc…
Cybersecurity 360 denuncia anche la presenza, tra i dati pubblicati, di intere tesi di laurea, documenti di identità, esami di tirocinanti dell’ospedale ma anche alcune password delle email aziendali dei dipendenti e le credenziali di accesso ai sistemi Intranet dell’ASL. Online anche dettagli relativi a trapianti di reni, esportazioni di tumori e dati di donatori viventi.

C’è anche un gran numero di referti medici, esposti in chiaro in tutte le loro parti, dei pazienti dell’ASL: molti referti riferiscono a utenti minorenni. Ad esempio i ricercatori hanno individuato referti provienenti dal reparto di Neuro Psichiatria Infantile, referti sulla sindrome di Down, sui disturbi dell’umore, sull’autismo ecc… Ogni referto porta con sé i dati sensibili del cittadino a cui riferiscono.

Nel dark web gli attaccanti hanno pubblicato anche i dati personali di Matteo Massina Denaro, fatto che ha determinato anche l’attivazione della Procura distrettuale antimafia e antiterrorismo dell’Aquila.

Il Garante privacy e l’ASL 1 ricordano: scaricare dati dal dark web è reato
La gravità del data breach e dei dati pubblicati ha portato sia il Garante privacy che l’ASL1 stessa a pubblicare un comunicato stampa nel quale ribadiscono che scaricare dal dark web dati rubati costituisce reato.

Fonte: https://www.asl1abruzzo.it
La nota del Garante, consultabile integralmente qui, specifica che

“In riferimento al recente attacco hacker subito dalla Asl 1 Abruzzo, il Garante per la protezione dei dati personali ricorda che chiunque entri in possesso o scarichi i dati pubblicati sul dark web da organizzazioni criminali – e li utilizzi per propri scopi o li diffonda on-line, sui social network o in altro modo – incorre in condotte illecite che possono, nei casi previsti dalla legge, costituire reato”.

L’Abruzzo nel mirino degli attaccanti
Dal punto di vista cyber, per gli enti abruzzesi, si profila un periodo molto difficile. E’ dal mese di Marzo, ad esempio, che vi sono tentativi di attacco ai sistemi del Consiglio regionale Abruzzese, per adesso sempre respinti dalla difese implementate a protezione di archivi e sistemi. Anche il sistema della Giunta regionale è finito nel mirino: da settimane si registrano tentativi di accesso. I tecnici della Regione sono al lavoro per potenziare sistemi e difese, come sta accadendo all’ASL Pescara. Qui i tecnici sono al lavoro da giorni per potenziare i livelli di sicurezza, attività decisa proprio in seguito all’attacco contro l’ASL 1.

Le bad news comunque hanno già superato i confini regionali. I dati disponibili sono ancora pochi, ma fonti locali parlano di un attacco subito dalle ASL di Potenza e Matera. Fioccano infatti da giorni segnalazioni di acccessi abusivi ai sistemi informatici. L’allarme, oltre che sui giornali locali, è stato lanciato dalla società Gesan che cura la gestione informatica e digitale delle cartelle cliniche di molte regioni, compresa la Basilicata.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come

ransomware_akira

Nuova operazione ransomware: arriva Akira

Nuova operazione ransomware: arriva Akira. Organizzato nel modello del RaaS, Akira ha iniziato a colpire aziende a livello globale.

Il debutto di Akira ransomware
Akira è una nuova operazione ransomware per Windows che sta, lentamente, costruendo la propria lista di vittime mano a mano che attacca e dilaga nelle reti di aziende in giro per il mondo. Lanciato nel Marzo 2023, Akira rivendica di aver già attaccato con successo 16 aziende a livello mondiale. Chiedendo riscatto milionari per riportare in chiaro i file criptati e non pubblicare quelli rubati.

Pare comunque che questa nuova operazione ransomware non abbia nulla a che fare con un’altra, omonima, ma lanciata nel 2017.

L’encryptor di Akira
I ricercatori di MalwareHunterTeam hanno scoperto e analizzato un sample del ransomware Akira. Una volta eseguito Akira, come prima operazione, cancella le Windows Shadow Volume Copies su dispositivo usando il comando PowerShell

powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
Akira utilizza anche l’API Windows Restart Manager per chiudere processi o termina servizi Windows che potrebbero tenere occupati i file, impedendone la criptazione.

Poi inizia la routine di criptazione. Può criptare centinaia di diverse estensioni dei file, ma evita di criptare dati del file system come

exe;
lnk;
dll;
msi;
sys.
Non cripta neppure i file presenti nel Cestino, nelle cartelle Windows, nella cartella di boot, in ProgramData, in System Volume Information ecc…

Ad ogni file criptato, il ransomware aggiunge, dopo l’estensione originale del file, l’estensione di criptazione .akira.

File criptati da Akira Ransomware
Fonte: Bleeping Computer
La nota di riscatto di Akira ransomware
Il ransomware “lascia” una nota di riscatto in ogni cartella contenente file criptati. La nota ha il formato di un file di testo rinominato “akira_readme.txt” e include informazioni su cosa sia successo ai file delle vittime e due collegamenti. Il primo link rimanda al leak site del sito, dove vengono rivendicati gli attacchi e pubblicati i file rubati se le aziende sono poco collaborative. Il secondo invece rimanda a un sito dove le vittime possono contattare e negoziare con gli attaccanti.

La nota di riscatto di Akira Ransomware
Fonte: Bleeping Computer
Il messaggio è molto esplicito e chiaro:

“per quanto riguarda i tuoi dati, se non troviamo un accordo, inizieremo a vendere nel dark web informazioni personali, segrei aziendali, database, codice sorgente e, in generale, tutto ciò che ha un valore. […]. Quindi pubblicheremo tutto ne nostro blog”.

Gli attaccanti forniscono quindi una password unica, necessaria alle vittime per accedere al canale di negoziazione riservato con gli attaccanti. Si, perchè a differenza della quasi totalità dei ransomware, Akira fornisce alle vittime una chat per negozionare direttamente.

L'accesso al sito di pagamento di Akira Ransomware è coperto da password
Fonte: Bleeping Computer
Per quanto sappiamo per adesso, l’ammontare dei riscatti oscilla, a seconda delle vittime, tra i 200.000 e il milione di dollari.

Il data leak site di Akira
Come ormai tutte le principali operazioni ransomware, anche Akira esfiltra i dati dalla rete bersaglio prima di procedere a criptarli. Ha funzionalità per lo spostamento laterale, quindi agli attaccanti basta mettere le mani sulle credenziali di amministrazione dei Windows domain per distribuire il ransomware lungo tutta la rete. Una volta avuto accesso a tutta la rete inizia il furto dei dati. Una copia dei dati, in chiaro, finisce nelle mani degli attaccanti, mentre i dati che restano nella rete della vittima finiscono criptati.

Il data leak site è lo strumento di pressione con cui gli attaccanti fanno sapere all’esterno dell’attacco e rendono disponibili alcuni dei dati rubati (o anche tutti, dipende dai casi).

Il data leak site di Akira Ransomware
Fonte: Bleeping Computer
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center. Un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come

snake_keylogger

Snake Keylogger: anatomia dello spyware diffuso in Italia

Snake Keylogger è uno degli spyware più diffuso in Italia. A intervalli irregolari, ma è spesso protagonista dei report settimanali del CERT. Cosa sappiamo su questo malware

Snake Keylogger: come si diffonde
Snake Keyklogger viene diffuso, principalmente, via email contenenti allegati dannosi. Gli allegati sono solitamente file Office, con prevalenza di DOCX e XLSX, contenenti macro dannose. Di recente è stato invece notato un uso più frequente del formato PDF. La scelta, probabilmente, si deve al fatto che Microsoft blocca ormai di default le macro Internet in Office.

Per saperne di più > OneNote per veicolare malware: l’alert del CERT

Probabilmente allo stesso motivo si deve l’uso delle relazioni esterne verso altri documenti DOC. Per fare un esempio concreto, riportiamo l’analisi che il CERT ha operato su una campagna di distribuzione mirata contro utenti italiani e avvenuta a Febbraio del 203. La campagna, a tema Università di Bologna, iniziava con una email contenente un allegato DOCX dal nome “Elenco richieste dall’Università di Bologna (BO XXXX)“. Il documento, però, non ha contenuto a parte una sola parola composta da caratteri random e non ha neppure una macro dannosa. Gli attaccanti hanno utilizzato una relazione esterna verso un documento altro DOC.

Per capire meglio l’operazione, gli esperti del CERT hanno utilizzato gli strumenti oleid e oleobj del pacchetto oletools. Le risultanze sono evidenti:

Analisi della relazione esterna tra il primo documento vettore di Snake e l'altro
Fonte: CERT
La relazione esterna puntava, in questa campagna, ad un file in formato RTF con estensione DOC che conteneva l’exploit per la vulnerabilità CVE-2017-11882 dell’Equation Editor.

Che cosa fa Snake Keylogger
Snake può colpire i sistemi operativi Windows, Linux e Mac. Scopo primario di Snake è quello di rubare le credenziali di account di vario genere. Per farlo, ha a disposizione diverse funzionalità:

può rubare le credenziali salvate sul dispositivo bersaglio, da varie fonti browser compresi. Snake raccoglie le credenziali salvate, quindi le invia agli operatori;
al momento di accedere al sistema operativo, gli utenti molto spesso devono inserire la password nel sistema. Snake registra tutte le battiture eseguite sulla tastiera e, tra queste, le password digitate dall’utente;
come tutti i keylogger, Snake esegue screenshot del dispositivo infetto. Con questi screenshot può catturare molteplici informazioni: non solo password, ma anche, ad esempio, dati personali sensibili;
Snake può avere accesso ai dati negli appunti. Quante volte copi-incolliamo una password o altre informazioni per evitare di doverle digitare sempre da capo? ecco, Snake può monitorare questi dati ed esfiltrarli.
Il modulo per l'esfiltrazione delle password salvate e per l'invio agli attaccanti.
Il modulo per l’esfiltrazione delle password salvate e per l’invio agli attaccanti. Fonte: Fortinet
Infine Snake, dopo aver raccolto dati e credenziali dal sistema infetto, li invia agli operatori del malware tramite protocollo SMTP. Invia anche email contenenti specifici allegati. Ad esempio:

La porzione di Snake che contiene le indicazioni per l'invio di email agli attaccanti.
La porzione di Snake che contiene le indicazioni per l’invio di email agli attaccanti. Fonte: Fortinet
Il file "password.txt" inviato via email agli attaccanti contiene le password esfiltrate dal sistema infetto.
Il file “password.txt” inviato via email agli attaccanti contiene le password esfiltrate dal sistema infetto. Fonte: Fortinet
Snake contro i governi: l’FBI smantella una rete di computer usata per diffondere il malware
Snake è una minaccia mirata contro utenti di vario genere, ma qualche giorno fa un comunicato dell’ NSA ha reso pubblica una realtà molto più inquietante. L’NSA ha dichiarato di aver identificato, insieme ad altri partner, l’infrastruttura del malware Snake in oltre 50 paesi diversi. Un gruppo di cyber attaccanti denominato Turla, localizzato in Russia e sospettato di sostegno da parte dei servizi segreti russi, avrebbe utilizzato Snake per rubare documenti e dati sensibili da membri NATO per quasi 20 anni.

Per i veri appassionati, qui è consultabile un lungo e dettagliato report tecnico redatto da più enti governativi e forze dell’ordine su Snake.

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come

onenote_malware

OneNote per veicolare malware: l’alert del CERT

OneNote per veicolare malware: una tecnica molto usata dai cyber attaccanti si afferma anche in Italia. Il CERT vi dedica un apposito alert.

Office per veicolare malware: Microsoft scende in campo
A fine Febbraio Microsoft ha pubblicato questo articolo dove spiega il rischio costituito dalle macro. Le macro sono il metodo più comune usati dagli attaccanti per ottenere l’accesso e distribuire ransomware e malware. Un problema così dilagante da spingere Microsoft a scegliere di modificare il comportamento delle applicazioni Office affinché blocchino le macro in quei file provenienti da Internet.

In pratica, quando un utente apre un allegato email contenente una macro, visualizza questo avviso

Fonte: microsoft.com
Non solo: hanno deciso anche di introdurre un ulteriore strumento di difesa, chiamato Mark Of The Web (MotW). In pratica Windows utilizza il MotW per segnalare quei file provienenti da Internet, così da indicare a Microsoft defender SmartScreen di eseguire verifiche sul contenuto del file ulteriori e approfondite. Mostra anche agli utenti una serie di prompt aggiuntivi quando l’utente apre file con estensioni ad alto rischio.

Se su Office il gioco si fa duro… il cyber crime “punta” su OneNote
Ormai da qualche anno i cyber attaccanti hanno iniziato a sfruttare documenti OneNote. Ora, OneNote fa parte della suite Office: consente di scrivere note, prendere appunti, creare liste e metterli in condivisione sui dispositivi, mobile e desktop, nei quali l’app è installata. Solitamente gli attaccanti usano documenti redatti usando Excel o Word, ma i documenti OneNote portano per gli attaccanti il vantaggio di poter incorporare ulteriori file e di avere un solo “contenitore” da inviare via email per diffondere malware.

Quindi sempre più spesso di vedono circolare allegati OneNote veicolati da campagne di spam in modo del tutto analogo a quanto già accade nel caso delle campagne di phishing. Infatti, come nelle campagne di phishing, gli attaccanti cercano di spingere l’utente a compiere azioni: in questo caso lo scopo è convincere la vittima a visionare il documento OneNote quindi aprirlo. A questo punto l’utente visualizza un’anteprima poco chiara, con un pulsante che la invita ad aprire il documento con un doppio click. D’altronde, con questa tecnica di attacco, i cyber criminali non hanno molte possibilità: l’azione dell’utente è necessaria, ma inducibile tramite le tecniche di ingegneria sociale.

l'utente visualizza un'anteprima poco chiara, con un pulsante che la invita ad aprire il documento con un doppio click
Fonte: https://cert-agid.gov.it
Malware che hanno usato documenti OneNote contro utenti italiani
Il CERT ha monitorato il fenomeno dell’uso di One Note per veicolare malware nello spazio italiano. In 5 mesi hanno individuato 10 campagne di questo tipo, con l’uso di documenti OneNote come vettore di attacco iniziale. Il malware che più spesso sfrutta questa tecnica è Qakbot, ma non è affatto l’unica famiglia malware diffusa così.

Esempio di email con allegato .one (Qakbot)
Esempio di email con allegato .one (Qakbot). Fonte: https://cert-agid.gov.it
Per ora il CERT ha individuato 5 altre famiglie malware diffuse tramite documenti OneNote. La prima risale al 27 Dicembre 2022 e diffondeva AsyncRat. A seguire

Qakbot: diffuso con 4 campagne tra Gennaio e Febbraio 2023;
SystemBC e Emotet: diffusi con diverse campagne nel Marzo 2023;
Adwin / jRAT: nel mese di Aprile 2023 Adwin è stato diffuso tramite archivi TAR contenenti, a loro volta, il documento OneNote vettore.
Qakbot è stato di nuovo in diffusione ad Aprile 2023, con altre due campagne che hanno sfruttato allegati PDF contenenti un link puntato su file .one.
Il report completo del CERT è disponibile qui > Anche in Italia cresce l’utilizzo di documenti OneNote per veicolare malware

Adwin in breve:
Adwind è un malware multi funzione distribuito nella forma del malware-as-a-service. Tecnicamente è un RAT con capacità di keylogging, furto password e dati dai web form, trasferimento file, raccolta di suoni dal microfono, furto dati dei wallet di criptovalute, furto dei certificati VPN, intercettazione e gestione SMS (solo su sistemi Android), raccolta screenshot.

La catena di infezione
Le campagne hanno mostrato tratti diversi, ma il CERT ha potuto ricostruire una catena di infezione “standard”. Tutto inizia con una email di spam, solitamente a tema Documenti, Pagamenti o Spedizioni. Email di spam che, ovviamente, contiene il documento OneNote in allegato oppure lo “nasconde” dietro alcuni passaggi. Ad esempio, vi sono casi in cui il documento OneNote si trova dentro un archivio compresso (ZIP, TAR ecc…) oppure c’è un link entro un PDF allegato alla mail che punta al download del documento compromesso OneNote.

La catena di infezione dei malware che usano OneNote
Fonte: https://cert-agid.gov.it
Fatta eccezione per la più recente campagna Qakbot, gli esperti del CERT spiegano che il documento OneNote solitamente contiene file script cmd, chm, vbe o hta necessari per eseguire il payload del malware in background. L’ultima campagna Qakbot allegava, nel documento OneNote, un file MSI.

Di nuovo interviene Microsoft, ma è necessario prestare molta attenzione!
Microsoft ha deciso di bloccare i file allegati ai documenti OneNote. In dettaglio, OneNote bloccherà quei file embedded che presentano estensioni solitamente pericolose.

Questa modifica è entrata in funzione ad Aprile 2023, con la versione 2304.

La finestra di dialogo del blocco file embedded di OneNote
Fonte: Microsoft.com
Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come

ransomware_monti

Il Ransomware Monti colpisce l’ASL 1 Abruzzo

Il ransomware Monti colpisce in Italia e abbatte i sistemi dell’ASL 1 Aquila. Pubblicato un primo sample dei dati rubati, mentre il CUP va in tilt.

Il ransomware Monti colpisce l’ASL 1 Abruzzo
Nella giornata del 3 Maggio 2023 il Centro Unico di Prenotazione dell’ASL 1 Aquila va in tilt. Impossibile prenotare visite e prestazioni sanitarie di ogni genere, impossibile pagare. L’ASL 1 Aquila si trova costretta a mandare a casa i cittadini.

I tecnici iniziano le operazioni di ripristino dei servizi, ma, come da tradizione, negano gravi conseguenze

“Si spera di poter risolvere il problema al più presto ma possiamo rassicurare che nessun dato sanitario o sensibile è stato trafugato o perduto. L’archivio informatico è integro”.

Peccato che, poche ore dopo la dichiarazione, il gruppo ransomware Monti rivendica l’attacco e pubblica il referto ecografico di una paziente a riprova che il data breach e il furto dati sono realmente avvenuti.

Ransomware Monti: la rivendicazione dell'attacco all'ASL1 Aquila
Fonte: ransomware Monti Tor leak site
Ransomware Monti: i dettagli della la rivendicazione dell'attacco all'ASL1 Aquila
Fonte: ransomware Monti Tor leak site
Come si legge, il gruppo Monti rivendica che

“Molteplici vulnerabilità hanno consentito il download di dati sui pazienti sieropositivi”

Dalla rivendicazione gli attaccanti lasciano intendere di avere a disposizione dati provenienti dal software di archiviazione Archiflow e dal laboratorio di analisi del DNA.

Il referto medico pubblicato sul leak site di Monti a riprova dell'avvenuto furto dei dati
Fonte: ransomware Monti Tor leak site
Il concetto di integrità dei dati
Insomma, il gruppo Monti è riuscito o meno a mettere le mani sui dati? Dati personali sanitari che, ricordiamo, nel GDPR godono di tutela rafforzata in quanto classificati tra i dati ritenuti sensibili.
La dichiarazione dell’ASL 1 Aquila infatti, in apparenza, contrasta apertamente con la rivendicazione del gruppo ransomware e con (l’unico, va detto) sample di dati rubati che gli attaccanti ad ora hanno messo a disposizione sul proprio leak site.

Qui occorre fare chiarezza, soprattutto per i non adetti ai lavori perchè la dichiarazione dell’ASL 1 può fare pensare che i dati personali e sanitari siano rimasti al sicuro. Ecco, il concetto di integrità del dato è un concetto tecnico specifico, che forse è il caso di dettagliare.

Un dato è integro quando non ha subito manipolazioni, modifiche accidentali o volontarie non autorizzate. Un dato integro è accurato, completo e privo di errori. La garanzia dell’integrità dei dati è fondamentale per la sicurezza delle informazioni e per la corretta gestione dei processi aziendali e dei servizi digitali, poiché solo i dati integri possono essere utilizzati con fiducia e precisione per prendere decisioni importanti e condurre attività aziendali critiche.

Qui sta il punto: dichiarare che l’archivio informatico è integro vuol dire che i dati non sono stati manipolati / cancellati (probabilmente grazie al backup). Nulla toglie però che la loro riservatezza sia stata violata. Insomma dire che i dati sono integri non esclude che siano stati rubati dai sistemi (violandone la riservatezza) e siano in mani che non potrebbero legittimamente accedervi.

Ransomware Monti: cosa sappiamo?
Monti è una famiglia ransomware piuttosto recente che, tra le altre cose, può criptare i file sui sistemi Linux. La nota di riscatto che il ransomware lascia sui sistemi criptati si chiama “README.txt” e ricorda molto quella del ransomware Conti. Ha iniziato le proprie operazioni a metà del 2022 e il suo codice si basa in gran parte sul codice di Conti, nella versione trapelata online a Marzo 2022.

La nota di riscatto del ransomware Monti
Fonte: https://www.fortinet.com/blog
Contrariamente alla maggior parte dei gruppi ransomware, Monti utilizza due diversi siti su Tor: uno ha la funzione di leak site, dove pubblicare i dati rubati, mentre l’altro serve solo per le negoziazioni con le vittime. Comunemente alla maggior parte dei ransomware, invece, è strutturato secondo il modello del RaaS – Ransomware as a service.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center. Un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come

trojan_mekotio

Il trojan Mekotio torna in diffusione in Italia

Il trojan Mekotio torna in diffusione in Italia: il CERT ne ha individuato alcune campagne di diffusione via email. Qualche dettaglio tecnico

Il trojan Mekotio torna in diffusione in Italia
Il CERT, nel suo bollettino settimanale sulle minacce circolanti nel cyber spazio italiano, ha individuato e analizzato, per la settimana 15-21 Aprile 2023, due campagne di distribuzione di Mekotio. Le campagna in questione, circolate via email, hanno sfruttato il tema Pagamenti per ingannare gli utenti e convincerli a scaricare allegati archivio ZIP contenenti un file dannoso in formato MSI.

Queste non sono le prime campagne di diffusione del trojan Mekotio in Italia. Questo malware infatti compare a intervalli piuttosto irregolari (paragonati, ad esempio, alla cadenza piuttosto scandita delle campagne di distribuzione di malware come Formbook o AgenTesla), ma possiamo considerarlo un “frequentatore stabile” del cyber spazio italiano.

#Spy #Mekotio #Italy
"Fattura elettronica – Promemoria pagamento in sospeso Nº 35158"
Sampleshttps://t.co/eEfzekboAv pic.twitter.com/the8pYO9m2

— JAMESWT (@JAMESWT_MHT) March 22, 2023
All’inizio della sua “vita”, Mekotio mirava soltanto ad utenti bancari sudamericani, ma nel 2020 c’è stato un netto cambiamento. Il trojan ha iniziato ad essere diffuso, con campagne apposite, anche in Europa. Dapprima bersagliando utenti di istituti bancari spagnoli, quindi iniziando la diffusione anche contro utenti bancari italiani.

Iniziamo dalle presentazioni: breve cronistoria
Mekotio è, prima di tutto, un Remote Access trojan la cui funzione primaria è il furto di informazioni bancarie. I primi avvistamenti risalgono al 2015, ma la vera e propria attività di Mekotio inizia nel 2018. Quel che è certo invece è che Mekotio nasce da una famiglia di trojan brasiliana, quindi inizia a bersagliare anche utenti cileni, messicani, argentini e in generale espande la propria diffusione all’America Larina. Nel 2020, appunto, arriva il debutto in Europa. L’arresto, avvenuto in Spagna nel Luglio 2021, di 16 persone coinvolte nella sua distribuzione non ha interrotto le attività che, dopo un iniziale sbandamento, sono tornate ai livelli consueti. Si è interrotta solo l’attività del gruppo spagnolo, mentre il resto del “team”, quello italiano compreso, è rimasto attivo.

Aggiornamenti recenti ne hanno esteso tattiche e procedure di attacco. Tra le ultime novità l’uso di un algoritmo di criptazione personalizzato, l’abuso di operazioni legittime del sistema operativo (LOLBins), l’uso di byte inutili per offuscare il codice.

Mekotio ha una natura modulare: ha a disposizione più moduli di funzionalità che può “assortire” a piacimento degli attaccanti. Oltre a rubare dati finanziari, ha funzionalità keylogging e alcune che lo collocano anche tra i software spia.

La catena di infezione di Mekotio
Il percorso che porta Mekotio ad infettare un sistema può essere suddiviso in tre diverse fasi il cui scopo è quello di eseguire il file MSI che avvia l’intera catena usando funzionalità esportate da una libreria DLL tramite CustomAtions (azioni personalizzate che possono essere configurate ed eseguite durante il processo di installazione del file MSI).

La catena di infezione di Mekotio. Fonte: Sidechannel
La catena di infezione di Mekotio. Fonte: Sidechannel
Queste funzioni hanno lo scopo di scaricare, estrarre ed eseguire i payload di ogni stage, iniettare la DLL dannosa usando binari legittimi (tecnica detta DLL side-loading) e configurare la persistenza sul sistema. I file relativi ad ogni singola fase dell’infezione sono scaricati da piattaforme cloud come AWS o Google Drive, molto spesso “camuffati” da immagine JPG. Queste immagini poi sono processate per “rivelarne” il vero contenuto, ovvero i file MSI e altri artefatti.

Il link che conduce all’archivio ZIP che dà inizio alla catena di infezione è inviato via email tramite massive campagne di spam (ne dettagliamo una poco sotto). Una volta estratto il contenuto dell’archivio, si ottiene un file MSI rinominato randomicamente. Questo primo file MSI è responsabile della prima fase di infezione.

Questo MSI ha una CostumActions che ha la funzione di caricare un file DLL dal quale esporta poi una funzione chiamata “SDL_AudioStreamClear”. Questa funzione ha lo scopo di scaricare il payload di secondo stage e allocarlo nella cartella giusta.

La funzione chiamata “SDL_AudioStreamClear” ha lo scopo di scaricare il payload di secondo stage e allocarlo nella cartella giusta.
Fonte: Sidechannel
Prima di eseguire qualsiasi azione effettua un check sul sistema. La DLL presente nel primo MSI procede a verificare se, nella cartella C:\Users, sia presente o meno una directory con il nome dell’utente locale. La DLL non eseguirà la seconda fase dell’infezione se tale cartella esiste, fungendo nei fatti da KillSwitch del processo stesso di infezione. Altrimenti viene eseguito il download che avvia la seconda fase.

Ecco quindi che il file MSI esporta una funzione che accede ad un URL per eseguire un nuovo download. Sul sistema bersaglio è scaricato un file con estensione JPG dal quale è estratto, a sua volta, un archivio ZIP. La decompressione dell’archivio avviene in memoria: è creata una cartella con lo stesso nome di uno dei software presenti in C:\ProgramData. Qui sono salvati i quattro file ricevuti (1img.bmp, 2img.bmp,3img.bmp, 4img,bmp), poi questa cartella è spostata nel disco locale. La funzionalità esportata dal file MSI procede quindi a a rinominare i 4 filer e modificarne l’estensione, “rivelandone” la vera natura. I 4 file BMP si trasformano quindi in 1 f ile eseguibile dal nome random e in 3 diverse DLL.

L'eseguibile e le tre DLL della seconda fase della catena di infezione di Mekotio
Fonte: Sidechannel
L’eseguibile e le DLL preparano il terreno
Qui si nota già un particolare interessante: l’eseguibile sembra un modulo legittimo presente nel software Steam. Ovviamente non è così: l’eseguibile è utilizzato per eseguire un DLL side-loading. Queste DLL hanno una serie di funzioni di verifica, prima tra tutti la capacità di verificare se il file sia in esecuzione su una virtual machine o meno. LO scopo è evidentemente quello di evitare ambienti virtualizzati e di analisi molto conosciuti come VirtualBox, Wine, VPC, VMWare per evitare l’analisi da parte dei ricercatori di sicurezza.

Subito dopo, viene aggiunta una chiamata dell’eseguibile legittimo modificando il registro di sistema, in particolare HKEY_CURRENT_USER. Il file verrà quindi avviato ogni volta che l’utente infetto farà login nel sistema.
Quindi il file crea un sub-processo che esegue WMIC.exe, una utility da riga di comando usata per accedere a Windows Management Instrumentation. Così il malware potrà raccogliere molte informazioni sul sistema e ottenere persino una lista delle soluzioni di sicurezza antivirus presenti sul sistema.

Il danno è fatto: la terza e ultima fase di infezione del trojan Mekotio
La fase precedente lascia nella cartella Documenti un file infetto chiamato “nimda.ini”. E’ un file “di validazione”: indica alle componenti del malware che possono procedere nella catena di infezione. Contiene informazioni sulla data di infezione, la versione del malware ecc…

Il file “nimda.ini”. Fonte: Sidechannel
Avvenuta la validazione, una delle DLL precedentemente scaricate avvia l’ultimo download. Viene scaricata un’immagine JPG che contiene un URL criptato. L’URL viene decriptato e avviene il download di un file ZIP contenente, a sua volta, un file MSI. Questo file MSI ha, in bundle, la DLL contenente Mekotio. Il danno è fatto. Il computer verrà riavviato e l’infezione sarà conclusa. Al riavvio, Mekotio sarà operativo.

LINKOGRAFIA PER APPROFONDIRE
Mekotio banking trojan identified in a new campaign against Brazilian account holders
MEKOTIO BANKER RETURNS WITH IMPROVED STEALTH AND ANCIENT ENCRYPTION
Mekotio banker trojan returns with new TTP

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy