WEEKLY THREATS

Weekly threats N.26

30 Giugno 2023

Selezione dei principali eventi raccolti quotidianamente dal Cyber Intelligence Operations Centre di TS-Way per il piano BASIC di TS-Intelligence. 

In sintesi: 

  • Italia: offensive ransomware colpiscono il Paese 
  • APT: analizzate nuove attività di gruppi iraniani, cinesi e nordcoreani 
  • Russia: compromesso il provider di comunicazioni satellitari Dozor-Teleport e tracciato il ransomware Wagner 

La settimana appena trascorsa ha registrato una serie di nuovi attacchi ransomware che hanno preso di mira l’Italia. In particolare, NoEscape Team ha rivendicato sul proprio sito dei leak la compromissione dell’italiana Credit Team S.r.l., azienda di consulenza e servizi aziendali con sede a Brescia; Black Basta Team ha preso di mira il gruppo italiano Giambelli, che si occupa della progettazione, costruzione e vendita di complessi residenziali e commerciali nella città e provincia di Milano; mentre 8BASE Team ha colpito Legalilavoro, federazione italiana di 10 studi legali dislocati sul territorio nazionale, specializzata in Diritto del Lavoro. Ad aggiungersi alle vittime è anche lo Studio Legale Pessi e Associati, il quale ha riportato in una nota pubblicata sul proprio sito web di essere stato oggetto di un attacco informatico di tipo ransomware, non ancora rivendicato da un avversario noto. 

Passando al panorama state-sponsored, sono emerse alcune novità riguardo gruppi cinesi, nordcoreani e iraniani. Nello specifico, è stata rilevata una campagna di spear phishing attribuibile all’iraniano Charming Kitten volta alla distribuzione di una versione aggiornata della backdoor modulare CharmPower; mentre è stato individuato un malware precedentemente non documentato denominato EarlyRat attribuibile al nordcoreano Lazarus Group. Infine, è stata analizzata in dettaglio un’operazione attribuita al gruppo cinese Volt Typhoon, il quale ha rivelato nuove TTP del cluster. 

Concludiamo con delle notizie riguardanti la Russia. Un gruppo finora sconosciuto ha rivendicato la responsabilità di un attacco informatico contro il provider russo di comunicazioni satellitari Dozor-Teleport, utilizzato da aziende energetiche e dai servizi di Difesa e sicurezza del Paese. L’avversario dietro l’offensiva sostiene di essere affiliato al famigerato Gruppo Wagner, i mercenari che si sono ammutinati la settimana scorsa e hanno marciato verso Mosca. Tuttavia, diversi esperti hanno espresso scetticismo riguardo il loro coinvolgimento. L’attaccante sostiene di aver danneggiato alcuni terminali satellitari e di aver fatto trapelare e distrutto informazioni riservate conservate sui server dell’azienda. Infine, sempre in riferimento al Gruppo è stato tracciato un nuovo ransomware chiamato Wagner, la cui nota di riscatto, invece di richiedere denaro, esorta gli utenti a unirsi alla compagnia militare privata e li invita a dichiarare guerra al Ministro della Difesa russo Sergei Kuzhugetovich Shoigu.