Weekly Threats N. 11 2022
18 Marzo 2022Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:
- Ucraina: non si ferma la guerra cibernetica
- Russia: Mosca minaccia gli asset delle aziende occidentali
- LockBit: il team torna a colpire in Italia
- Ransomware: individuate due nuove minacce
Come per il conflitto sul campo, anche questa settimana prosegue la guerra cibernetica tra Kiev e Mosca.
Emergono quindi nuovi dettagli in merito alla campagna di phishing attribuita al russo Lorec53. L’avversario ha colpito target ucraini con le minacce Cobalt Strike, GrimPlant e GraphSteel, mentre Vermin – associato alla Repubblica Popolare di Lugansk (LNR) – ha utilizzato il malware modulare SPECTR.
Si segnala inoltre l’identificazione di un nuovo wiper chiamato CaddyWiper e usato in operazioni contro organizzazioni ucraine.
Sul fronte hacktivista, Anonymous ha effettuato attacchi di tipo DDoS contro alcuni dei principali siti web istituzionali del Governo russo, tra cui quello del Cremlino e del Servizio Federale per la Sicurezza (FSB). Inoltre, la divisione tedesca del collettivo ha violato la compagnia energetica Rosneft Deutschland GmbH, filiale della russa Rosneft, esfiltrando quasi 20 terabyte di dati.
Venendo al neonato gruppo IT Army of Ukraine, ad esso è stato attribuito un attacco al sito web di Rostec, holding russa del settore aerospaziale e della Difesa di proprietà statale.
Dal canto suo, la Russia risponde alle sanzioni approvate dall’Occidente minacciando di sequestrare e nazionalizzare i beni delle aziende che hanno sospeso le attività nel Paese.
Passando poi al contesto italiano, continuano le offensive ransomware firmate LockBit Team. Le ultime vittime del gruppo sono il Comune di Villafranca di Verona, la società fornitrice di macchine agricole Matteoli S.r.l. e l’impresa edile emiliana Montanari Luigi S.r.l.
Rimanendo nel panorama ransomware, sono state individuate due nuove minacce. La prima, osservata per la prima volta a metà agosto 2021, è etichettata come LokiLocker e prende di mira vittime di lingua inglese e sistemi Windows. La seconda, tracciata come Pandora, sembrerebbe essere un rebranding di Rook.
[post_tags]