Weekly Threats N. 2 2022
14 Gennaio 2022Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:
- Offensive ransomware colpiscono diverse realtà italiane
- Log4Shell continua ad essere sfruttata da molteplici avversari
- Pegasus: violati i dispositivi di 35 giornalisti e attivisti di El Salvador
- Attacco informatico su larga scala colpisce diversi siti governativi dell’Ucraina
Questa settimana l’Italia è stata oggetto di diverse offensive. LockBit Team ha annunciato la compromissione dell’azienda italiana MCS Morandi, il Gruppo Arcese è caduto vittima di Conti Team e l’Azienda Sanitaria Locale Napoli 3 Sud è stata colpita da un attacco informatico. Risulta inoltre in vendita un database di circa un milione di record dell’app napoletana DigiTaxi.
Continuano ad essere tracciate le consuete campagne basate sui malware sLoad, RedLine Stealer, Remcos, Agent Tesla, FormBook e Ursnif.
Log4Shell attira ancora l’attenzione su di sè. La vulnerabilità è stata sfruttata dall’iraniano Charming Kitten per distribuire CharmPower e dall’operatore ransomware cinese Nightsky per colpire i server VMware Horizon. Questi ultimi, come ha annunciato il National Health Service (NHS), sembrano essere bersaglio anche di un altro gruppo ancora ignoto.
Sempre sul versante state-sponsored, un advisory congiunto di FBI, CISA e NSA, rivolto agli operatori di infrastrutture critiche fornisce dettagli sulle TTP comunemente osservate e utilizzate da avversari di matrice russa, suggerendo l’implementazione di diverse azioni di rilevamento e mitigazione.
Inoltre, il CyberCommand degli USA ha attribuito l’attività dell’APT iraniano MuddyWater al Ministero dell’Intelligence iraniano (MOIS).
Curiosa invece la vicenda dell’indiano Dropping Elephant, che si è erroneamente infettato con il proprio RAT permettendo ai ricercatori di acquisire importanti informazioni.
Continuano le indagini sullo spyware Pegasus, che hanno portato alla luce la compromissione di 37 dispositivi appartenenti a 35 giornalisti e attivisti di El Salvador. Sempre la scorsa settimana, l’FBI ha affermato che negli ultimi mesi Anunak ha inviato dispositivi USB malevoli ad aziende statunitensi nei settori dei trasporti, delle assicurazioni e della difesa allo scopo di distribuire malware nei sistemi target.
Per quanto riguarda il contesto europeo, in Ucraina numerosi siti del Governo sono temporaneamente fuori servizio a causa di un attacco informatico su larga scala subito nella notte tra il 13 e il 14 gennaio.