DDoS colpiscono l’Italia, le ultime dai conflitti tra Russia e Ucraina e Israele e Hamas, novità in campo ransomware

NoName057(16): rivendicati attacchi al Bel Paese

Nel corso dell’ultima settimana il collettivo hacktivista NoName057(16) ha rivendicato una serie di offensive DDoS contro i portali di diverse realtà italiane. Stando a quanto dichiarato dagli avversari, gli attacchi arrivano a seguito della telefonata intercorsa tra il Presidente del Consiglio Meloni e il Presidente ucraino Zelensky, dove i due hanno parlato di nuove sanzioni alla Russia e ulteriori aiuti economici a Kiev da parte di Roma. Tra le vittime figura proprio il sito internet di Giorgia Meloni, alcuni sottodomini dell’Agenzia delle Dogane e dei Monopoli (ADM), la pagina di CONSOB (Commissione nazionale per le società e la borsa), di ASSOSIM (Associazione Intermediari Mercati Finanziari) e dell’Autorità Garante della Concorrenza e del Mercato (AGCM). A questi si aggiungono i siti internet dell’Autorità di Sistema Portuale del Mare Adriatico Orientale (Porto di Trieste), di Sinfomar (software di gestione per il traffico navale) e dell’Autorità di Sistema Portuale del Mar Ionio (Porto di Taranto). Ciononostante, il gruppo filorusso ha preso di mira anche portali finlandesi, tedeschi, lettoni, lituani, olandesi, rumeni, cechi, ucraini e canadesi.

Russia-Ucraina e Israele-Hamas: novità dal dominio cibernetico

Nell’ambito del conflitto russo-ucraino, ricercatori di sicurezza hanno rilevato un worm USB denominato LitterDrifter, attribuibile all’APT russo Gamaredon Group e distribuito contro diverse entità ucraine. Tuttavia, a causa della natura del malware, emergono segnali di possibili infezioni in diverse nazioni, tra cui Stati Uniti, Vietnam, Cile, Polonia e Germania, oltre a prove di compromissioni a Hong Kong. Ciò potrebbe suggerire che, simile ad altri worm USB, LitterDrifter si sia diffuso al di là dei target inizialmente previsti. Spostandoci in Medio Oriente, invece, sono state scoperte nuove varianti della backdoor multipiattaforma SysJoker – precedentemente non attribuita pubblicamente a nessun attaccante noto – che si ritiene siano state usate da un APT affiliato ad Hamas per colpire Israele. In particolare, l’analisi delle versioni recentemente individuate (tra cui una scritta in Rust) ha rivelato legami con sample non divulgati in precedenza dell’Operation Electric Powder, una serie di attacchi mirati contro organizzazioni israeliane che hanno avuto luogo tra il 2016 e il 2017 e sono stati associati all’APT palestinese Molerats.

Ransomware: tracciate varianti di Phobos e attività di 8BASE e LockBit Team

Nel panorama ransomware sono state tracciate diverse varianti di Phobos. Tra queste figurano: Eking, attiva almeno dal 2019 e solitamente distribuita contro utenti dell’Asia Pacifica; Eight; veicolata tramite Smoke Loader nell’ambito di una campagna di lunga durata gestita da 8BASE Team; Elbie, rivolta contro utenti della regione APAC e attiva dal 2022; Devos, in azione dal 2019; Faust, identificata a partire dal 2022; e, infine, un’ulteriore versione alla quale non è stato dato un nome che coinvolge il noto gruppo infosec vx-underground. Si valuta che Phobos sia probabilmente gestito da un’autorità centrale che controlla la chiave di decriptazione privata del ransomware e che tiene traccia di chi ha usato l’encryptor in passato, non permettendo ad alcun operatore di cifrare file che sono stati precedentemente criptati da altri affiliati. Dal canto suo, LockBit Team ha sfruttato CVE-2023-4966, denominata Citrix Bleed, nei dispositivi Citrix NetScaler ADC e Gateway. La falla è stata impiegata dall’avversario anche nell’attacco contro Boeing. Infine, diverse entità italiane sarebbero cadute vittime di offensive rivendicate dagli stessi 8BASE Team e LockBit Team. Il primo ha dichiarato di aver colpito La Contabile S.p.A. e Cold Car S.p.A., mentre il secondo Art-Eco S.r.l. e Officina Verde Design.