Questa settimana, sul fronte Italia, segnaliamo campagne il cui protagonista è stato il ransomware Sodinokibi che, a causa dell’alto numero di infezioni rilevate in un breve arco di tempo, sembra aver ereditato il posto dell’ormai dismesso GandCrab. Le operazioni basate sulla minaccia stanno mietendo vittime in tutto il mondo tranne – questo emerge dai rilievi finora effettuati – nei paesi dell’ex-Unione Sovietica.
Sulla scena internazionale evidenziamo invece lo sfruttamento di una vulnerabilità 0-day di Microsoft da parte del gruppo di matrice russa Buhtrap: tracciata con CVE-2019-1132, che è stata corretta con il bollettino di sicurezza di luglio. A quanto pare, la falla è stata utilizzata per condurre campagne di spionaggio in Europa dell’Est e in Asia Centrale il cui target – diversamente dalle operazioni solitamente associate a questo gruppo – è risultato governativo.
Sotto la categoria “governativo” ricade anche un attacco, basato sull’invio di mail di spear phishing che hanno raggiunto impiegati del Governo croato, per il quale le autorità croate preposte hanno propagato due alert. Le minacce utilizzate in questo caso sono state Empire e il tool post-exploitation SILENTTRINITY.
Torna ancora una volta a far parlare di sé anche Magecart con tre diverse campagne: la prima ha comportato la compromissione di 962 siti e-commerce. Gli attaccanti hanno sottratto i dati relativi alle carte di pagamento degli utenti di tutti i portali coinvolti in meno di 24 ore. La seconda e la terza campagna, forse in parte sovrapponibili, hanno visto in un caso l’infezione di 17.000 domini ottenuta tramite la tecnica di massa della “supply chain” e in un altro la distribuzione molto più mirata di un codice fortemente offuscato.
Sono state poi rilevate di recente le versioni per Android e iOS del noto spyware FinSpy, derivato dal pacchetto di sorveglianza FinFisher e distribuito dalla tedesca GammaGroup. Entrambe sono pensate per esfiltrare informazioni private e/o riservate tramite varie applicazioni, in particolare piattaforme di messaggistica istantanea tra le quali citiamo FacebookMessenger, WhatsApp, Skype, Wechat e Signal.
Appena tre settimane dopo l’annuncio della futura creazione della moneta virtuale di Facebook, battezzata Libra, sono già cominciati i tentativi di frode che ne sfruttano il nome e la popolarità. Numerosi infatti i casi di registrazione di domini fake che tentano di imitare Calibra, il wallet ufficiale associato alla nuova criptovaluta, e di trarne profitto in svariati modi.
Ha fatto poi la sua comparsa sulla scena un nuovo ransomware, QNAPCrypt o eCh0raix, che colpisce dispositivi NAS con sistema operativo Linux prodotti dalla QNAP Systems di Taiwan. Da notare che, diversamente dalla maggior parte delle minacce di questo genere – progettate per la distribuzione di massa – QNAPCrypt è utilizzato per attacchi mirati.
Nutrito il panorama dei bollettini di sicurezza di questa settimana: sono stati infatti rilasciati aggiornamenti per i prodotti di SAP, Siemens, Schneider Electric, Rockwell Automation, Emerson, Intel, Mozilla, Microsoft, Adobe, VMware, Juniper Networks eAtlassian.
Di particolare rilievo sono le due falle che affliggono il software per videoconferenze Zoom, poiché consentirebbero di accendere la webcam delle macchine con sistema operativo macOS semplicemente inviando alla vittima il link ad una URL. Le due vulnerabilità sono state identificate con CVE-2019-13450 e CVE-2019–13449.
Concludiamo la rassegna settimanale dando notizia di due data breach: il primo ha riguardato un server Jenkins malconfigurato di GE Aviation, una sussidiaria di General Electrics leader nella produzione di motori aeronautici, e il secondo il Dipartimento di Pubblica Sicurezza della provincia di Jiangsu (Cina), che ha lasciato esposto un server ElasticSearch contenente oltre 90 milioni di record di carattere sia personale che aziendale.
[post_tags]
01 October 2021
29 January 2021