WEEKLY THREATS

Weekly Threats N. 27 2021

09 Luglio 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:
– REvil Team sfrutta 0-day del software Kaseya e compromette i sistemi di oltre 1.000 compagnie in mezzo mondo;
– in Italia continuano ad essere tracciate campagne malevole di varia tipologia;
– novità e ritorni nel panorama ransomware;
– tracciate numerose campagne APT;
– nuovo 0-day PrintNightmare di Windows sfruttato in the wild;

Questa settimana è stata letteralmente monopolizzata dalla vicenda REvil/Kaseya. Un affiliato al REvil Team ha sfruttato lo 0-day CVE-2021-30116 in Kaseya VSA e ha realizzato la compromissione di oltre mille aziende per un totale di oltre un milione di macchine. Kaseya VSA è un IT Management Software che permette di gestire le macchine in maniera centralizzata. La vulnerabilità che è stata sfruttata era stata già scoperta e segnalata da alcuni ricercatori nei Paesi Bassi. Non ci sono indizi che fanno pensare ad una fuga di notizie relative ad essa, bensì si ipotizza che gli avversari l’abbiano individuata autonomamente.
Sfruttando una falla su un software con permessi così elevati è stato possibile violare un elevato numero di macchine in un lasso di tempo molto breve. L’attacco è avvenuto simultaneamente negli Stati Uniti, nell’Unione Europea, in Australia e in America Latina.
L’avversario ha offerto a Kaseya un decriptor universale al prezzo di 70 milioni di dollari (abbassato poi a 50 milioni).
Ad oggi Kayesa non ha risolto il problema. Nel frattempo, sono state tracciate campagne che, sfruttando proprio il clima di generale attesa degli aggiornamenti, hanno distribuito malware come Dridex e Cobalt Strike spacciandoli per update di Kayesa VSA.

Il panorama cybercrime è stato poi segnato, a livello nazionale, da una serie di campagne mirate alla distribuzione di malware o al phishing: FickerStealer e Hancitor hanno sfruttato il tema DocuSign; FormBook e anche sLoad sono stati veicolati da più ondate di e-mail; un’operazione globale di LokiBot ha raggiunto anche utenze italiane con allegati in formato gz. In un caso gli avversari hanno invece preferito un tool legittimo per la gestione remota, Atera Agent, distribuito tramite messaggi di posta elettronica a tema Dike-InfoCert.
Segnaliamo anche campagne di phishing sui temi più disparati: Intesa Sanpaolo, Monte dei Paschi di Siena, Banca Mediolanum, ING, PayPal, Decathlon e Disney+.

Torniamo ai ransomware. Il Babuk Locker Team, che sembrava anche aver cambiato modello di business dopo aver rilasciato il builder della prima versione, pare essere ritornato sui suoi passi. Non si dedicherà, quindi, solo alla minaccia di leak, ma riprenderà a cifrare i dati con una nuova versione del codice malevolo.
Un sample di Ryuk utilizzato dal gruppo russo FIN6, tracciato di recente, sembra essere stato progettato per colpire nello specifico i web server. La minaccia dispone di alcune funzionalità ingegnose che mirano a mettere pressione alla vittima.
Guai invece per DarkSide: la Polizia olandese avrebbe sequestrato un server utilizzato da questo ransomware associato ad Anunak. Si ipotizza che proprio questa operazione abbia determinato la perdita di controllo sui server denunciata dal gruppo nel maggio di quest’anno.
Sul versante APT sono state tracciate diverse campagne. I russi di APT29 avrebbero violato i sistemi informatici del Comitato Nazionale Repubblicano (RNC) statunitense e i connazionali UNC1151, gli stessi ai quali si attribuiscono le campagne GhostWriter, avrebbero lanciato attacchi contro entità governative in Polonia che hanno portato alla compromissione di 4.350 account mail di cui 100 appartenenti a membri del Governo.
Continuano le operazioni di SideCopy, un gruppo la cui identità resta ancora sfumata, ma che sembra associabile al pachistano Barmanou. Si registrano vittime nel settore militare in India e altre in Pakistan. Continuano anche quelle della campagna WildPressure: gli avversari hanno usato in Medio Oriente il trojan cross-platform denominato Guard e l’omologo per Windows Tandis (entrambi probabilmente di nuova realizzazione).
Una qualche entità riconducibile alla variegata galassia cinese Axiom ha invece lanciato offensive contro, fra gli altri, l’Istituto di ricerca sulla tecnologia industriale (ITRI) di Taiwan, Nepal Telecom e il Dipartimento di tecnologia dell’informazione e delle comunicazioni filippino.

In ambito crime internazionale, sono stati pubblicati i dettagli di Bandidos, una campagna attiva dal 2015 e rivolta ad aziende latinoamericane, principalmente del Venezuela, che utilizza nuove versioni del RAT Bandook a fini di spionaggio.
Chiudiamo con la notizia di un nuovo 0-day di Windows sfruttato in the wild, riconducibile alla tipologia PrintNightmare. Il bug, codificato come CVE-2021-34527 e simile al già segnalato CVE-2021-1675, è di tipo Remote Code Execution (RCE) e interessa principalmente i domain controller. Sull’efficacia delle patch rilasciate nel frattempo da Microsoft sono stati sollevati alcuni dubbi.

[post_tags]