Cybercrime in Italia, APT mirano all’Occidente, nuovi breach e azioni contro LockBit

Italia: nuovi attacchi di phishing e ransomware

Tra le campagne di phishing individuate la scorsa settimana, spicca nuovamente la diffusione via PEC dell’infostealer Nocturnal Stealer. L’e-mail invita il cliente a cliccare su un link presente nel testo al fine di visionare una presunta fattura da pagare, minacciando azioni legali in caso di inadempienza. Sempre inerente a una fattura, è stata tracciata un’offensiva che sfrutta una falsa ricevuta di pagamento dell’Agenzia delle Entrate-Riscossione per indurre la potenziale vittima ad aprire un file PDF allegato. Quest’ultimo attraverso un link punta a reindirizzare il destinatario verso un portale esterno volto a carpire le credenziali della casella e-mail. Oltre a ciò, è stata rilevata un’offensiva ai danni degli utenti di Glovo, la nota piattaforma di consegna a domicilio. L’e-mail fraudolenta avvisa il destinatario di attività insolite sul proprio account, comunicando che quest’ultimo è stato temporaneamente disabilitato. Infine, è stato individuato un attacco di smishing a tema promozioni TIM, che punta a esfiltrare informazioni sensibili ed estremi bancari dei target. L’SMS induce la potenziale vittima a visitare un link presente nel corpo del messaggio, sfruttando la presunta scadenza di punti Point Service inerenti a falsi premi. Per quanto riguarda il panorama ransomware, l’operatore Stormous ha rivendicato sul proprio sito dei leak la compromissione di OfficeGroup, software house italiana specializzata nello sviluppo di sistemi gestionali e informatici. Stando a quanto riportato nel blog, sembrerebbe che l’avversario abbia esfiltrato e pubblicato 1 GB di dati.

State-sponsored: offensive in Europa e America

In Europa, il Ministro per la Sicurezza e per la Giustizia dei Paesi Bassi David Martijn van Weel ha confermato il furto di dati di contatto relativi ai dipendenti della Polizia del Paese a seguito di un attacco informatico al sistema IT della Polizia stessa; mentre il gruppo state-sponsored nordcoreano ScarCruft ha condotto un’operazione di spear phishing che ha preso di mira l’azienda tedesca Diehl Defence, che si occupa di sistemi di difesa, sistemi d’arma e industria meccatronica. Spostandoci in America, secondo alcune fonti, negli ultimi mesi il gruppo finanziato dalla Cina GhostEmperor (alias Salt Typhoon) si è introdotto in alcuni provider di servizi internet statunitensi alla ricerca di informazioni sensibili. L’attaccante ha mirato a stabilire un punto d’appoggio all’interno dell’infrastruttura dei fornitori di servizi via cavo e a banda larga, che gli consenta di accedere ai dati archiviati dalle società di telecomunicazioni o di lanciare un attacco informatico. Inoltre, nell’agosto 2024, ricercatori di sicurezza hanno osservato il nordcoreano Lazarus Group sferrare attacchi contro tre diverse organizzazioni private negli Stati Uniti. Sebbene l’APT non sia riuscito a distribuire ransomware sulle reti di nessuna delle vittime, è probabile che le offensive abbiano avuto una motivazione finanziaria. Si presume che il gruppo continui a tentare di condurre attacchi a scopo di estorsione contro obiettivi negli USA. Oltre a ciò, l’FBI, lo U.S. Cyber Command – Cyber National Mission Force (CNMF), il Dipartimento del Tesoro americano e il National Cyber Security Centre (NCSC) del Regno Unito hanno rilasciato un advisory congiunto per evidenziare la continua attività informatica malevola da parte di gruppi che operano per conto del Corpo delle Guardie Rivoluzionarie Islamiche del governo iraniano (IRGC). Queste operazioni sono rivolte a individui che hanno un legame con gli affari iraniani e mediorientali, come attuali o ex alti funzionari governativi, personale di alto livello di think tank, giornalisti, attivisti e lobbisti. Più di recente, l’FBI ha osservato questi gruppi prendere di mira target associati a campagne politiche statunitensi, probabilmente a supporto di InfoOps. Infine, il Dipartimento di Giustizia degli Stati Uniti (DOJ) e la Digital Crimes Unit (DCU) di Microsoft hanno annunciato il sequestro di 107 domini – 41 sequestrati dal DOJ e 66 da Microsoft – utilizzati dal gruppo state-sponsored russo Callisto (alias Star Blizzard) per commettere frodi e abusi informatici negli Stati Uniti e in tutto il mondo.

Breach e arresti: violati AFP e Rackspace, svelata la terza fase dell’Operation Cronos

L’agenzia di stampa francese Agence France-Presse (AFP) ha rilasciato un comunicato stampa nel quale dichiara di aver rilevato venerdì 27 un attacco ai propri sistemi informatici, che ha colpito parte del suo servizio di diffusione ai clienti. Stando a quanto riportato, non sono ancora noti il responsabile e il movente dietro l’offensiva. Dal lato suo, il provider di cloud hosting Rackspace ha subito un data breach che ha esposto dati di monitoraggio limitati dei clienti, dopo che un attaccante ha sfruttato una vulnerabilità 0-day in uno strumento di terze parti utilizzato dalla piattaforma ScienceLogic SL1 (ex EM7). Europol ha svelato la terza fase dell’Operation Cronos riguardante una nuova serie di azioni contro LockBit Team, che ha coinvolto 12 Paesi ed Eurojust e ha portato a quattro arresti e al sequestro di server critici per l’infrastruttura del gruppo. Stando a quanto riportato, un sospetto sviluppatore del collettivo è stato fermato su richiesta delle autorità francesi, mentre quelle britanniche hanno posto in custodia due persone per aver sostenuto l’attività di un affiliato. Gli agenti spagnoli hanno sequestrato nove server, parte dell’infrastruttura del ransomware, e arrestato un amministratore del servizio Bulletproof hosting, utilizzato dalla banda ransomware. Inoltre, Australia, Regno Unito e Stati Uniti hanno implementato sanzioni contro un individuo che la National Crime Agency (NCA) ha identificato come affiliato prolifico di LockBit e fortemente legato a TA505 (Evil Corp). Quest’ultimo provvedimento arriva dopo che LockBit ha affermato che i due gruppi ransomware non lavorano insieme. Il Regno Unito ha sanzionato altri quindici cittadini russi per il loro coinvolgimento nelle attività criminali di TA505, mentre gli Stati Uniti ne hanno sanzionati sei e l’Australia due.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence