DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW

Italia: rivendicazioni hacktiviste e ransomware ai danni di realtà italiane

Nel corso dell’ultima settimana, offensive di diversa natura hanno colpito alcune realtà italiane. In particolare, a partire dal 12 febbraio l’hacktivista filorusso NoName057(16) ha rinnovato il suo interesse per l’Italia, reclamando la responsabilità di numerosi DDoS sferrati in supporto delle proteste degli agricoltori italiani, alcuni dei quali fanno parte di una più ampia serie di attacchi che vede impegnati anche i gruppi People’s CyberArmy, 22C e CyberDragon. Tra le vittime figurano portali di: Agenzia delle Dogane e dei Monopoli, Guardia di Finanza, Commissione nazionale per le società e la borsa (CONSOB), BiciPA, BPER Banca, Credito Emiliano (Credem Banca), Sinfomar, Siena Mobilità, Gruppo Torinese Trasporti, AMAT Palermo S.p.A., CTM S.p.A., Trentino Trasporti, sito web ufficiale di Giorgia Meloni, Azienda Napoletana Mobilità S.p.A., AMT Genova, Banca Monte dei Paschi di Siena (MPS), Agenzia delle Entrate, Gruppo Mediobanca, Banca Popolare di Sondrio, Aeroporto di Milano Linate, Aeroporto di Milano Malpensa e Trenord. Sul versante ransomware, invece, LockBit Team ha annunciato la compromissione di Gruppo Camarotto (Borgo Roma Camarotto S.r.l.) e Teca S.r.l.; Black Basta Team ha proclamato la violazione di Patrizia Pepe; mentre Rhysida Team ha rivendicato la compromissione di ASP Basilicata, ASM Matera e IRCCS CROB (Istituto di Ricovero e Cura a Carattere Scientifico), presumibilmente legata alla recente offensiva che ha colpito gli Enti del Servizio Sanitario Regionale della Basilicata.

USA: neutralizzata una rete di centinaia di router SOHO usata da Sofacy

A seguito di un’operazione autorizzata da un tribunale del Dipartimento di Giustizia degli Stati Uniti (DOJ) nel gennaio 2024, è stata neutralizzata una botnet composta da centinaia di router SOHO (Small Office Home Office) che il russo Sofacy legato al GRU ha impiegato per nascondere le proprie attività malevole, tra cui campagne di spear phishing e raccolta di credenziali contro obiettivi di interesse per l’intelligence di Mosca, quali governi statunitensi e stranieri e organizzazioni militari, di sicurezza e aziendali. Stando a quanto analizzato, la botnet si basa sul malware Moobot, installato da criminali informatici esterni al GRU su router Ubiquiti Edge OS che utilizzavano password di amministrazione predefinite pubblicamente note. La minaccia è stata poi usata dall’APT di Mosca per installare i propri script e file custom che hanno riprogrammato la botnet, trasformandola in una piattaforma di spionaggio informatico globale. L’attività condotta dagli USA ha previsto lo sfruttamento dello stesso Moobot per copiare ed eliminare dati e file dai router compromessi. Inoltre, per neutralizzare l’accesso di Sofacy ai device fino a quando le vittime non sono riuscite a mitigare la violazione e a riottenere il pieno controllo, sono state modificate in modo reversibile le regole del firewall dei router per bloccare l’accesso alla gestione remota dei dispositivi. L’attività svolta ha inoltre consentito la raccolta temporanea di informazioni di routing non contenutistiche che avrebbero smascherato i tentativi del GRU di vanificare l’operazione stessa.

Microsoft, Fortinet, Roundcube e Ivanti: segnalate falle sfruttate ITW

Come di consueto, martedì Microsoft ha rilasciato il Patch Tuesday per il mese di febbraio che ha risolto, tra gli altri, tre problemi di sicurezza sfruttati come 0-day. Tracciato con codice CVE-2024-21412, il primo è di tipo Security Feature Bypass ed è stato utilizzato da un APT chiamato DarkCasino per condurre attacchi volti alla distribuzione del malware DarkMe contro trader dei mercati finanziari. Sempre di tipo Security Feature Bypass, ma noto come CVE-2024-21351, il secondo permette a un utente malintenzionato di iniettare codice in SmartScreen e potenzialmente ottenere l’esecuzione di codice, il che potrebbe comportare l’esposizione di alcuni dati e/o la mancanza di disponibilità del sistema. Infine, identificato come CVE-2024-21410, il terzo è classificato come Elevation of Privilege, riguarda Exchange Server e può consentire a un attaccante remoto non autenticato di trasmettere l’hash Net-NTLMv2 trapelato di un utente a un server Exchange vulnerabile e autenticarsi come tale. Dal canto suo, dopo aver riscontrato evidenze di uno sfruttamento attivo, la CISA ha aggiunto al suo catalogo delle vulnerabilità sfruttate ITW CVE-2024-21762 di Fortinet FortiOS e CVE-2023-43770 di Roundcube Webmail, confermando così l’abuso della prima enunciato come potenziale dal vendor. Tuttavia, in entrambi i casi al momento non sono noti ulteriori dettagli sugli attacchi in cui le vulnerabilità vengono usate. Da ultimo, sono emerse novità riguardati CVE-2024-22024 e CVE-2024-21893 di Ivanti. Nello specifico, sono stati osservati tentativi di sfruttamento di massa di CVE-2024-22024 a seguito della pubblicazione di exploit Proof-of-Concept (PoC); mentre CVE-2024-21893 è stata adoperata per veicolare una backdoor soprannominata DSLog, che viene iniettata nello script Perl di registrazione legittimo DSLog[.]pm dal quale prende il nome.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.