Fermato LockBit, individuato un presunto leak legato a Pechino e attività APT inedite, nuove offensive in Italia

LockBit Team: operazione di polizia internazionale interrompe le attività del gruppo

Un’operazione di polizia internazionale che ha coinvolto la National Crime Agency (NCA) del Regno Unito, l’FBI, Europol, Eurojust e le Forze dell’Ordine di 10 Paesi, denominata Operation Cronos, ha portato all’interruzione dei servizi dell’operatore ransomware LockBit Team e al sequestro del suo blog. L’azione di contrasto ha compromesso la piattaforma primaria del gruppo e altre infrastrutture critiche che hanno consentito l’impresa criminale. Ciò include la rimozione di 34 server nei Paesi Bassi, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito e di oltre 14.000 account responsabili dell’attività di esfiltrazione o relativi all’infrastruttura. In aggiunta, sono stati congelati più di 200 account di criptovaluta legati all’operatore, due affiliati sono stati arrestati in Polonia e Ucraina e sono stati emessi dalle autorità giudiziarie francesi e statunitensi tre mandati di arresto internazionali e cinque rinvii a giudizio. L’NCA ha preso il controllo dell’ambiente di amministrazione principale di LockBit, che consentiva agli affiliati di organizzare e portare a termine gli attacchi, e del sito dei leak, sul quale in precedenza l’operazione RaaS (Ransomware-as-a-Service) ospitava, e minacciava di pubblicare, i dati rubati alle vittime. L’Agenzia britannica ha anche ottenuto il codice sorgente della piattaforma LockBit e una vasta quantità di informazioni dai loro sistemi sulle attività e sui loro collaboratori che hanno utilizzato i servizi per danneggiare organizzazioni a livello globale. Attualmente, una grande quantità di dati raccolti durante l’indagine è in possesso delle Forze dell’Ordine; questi verranno utilizzati per supportare le operazioni in corso focalizzate sull’individuazione dei leader del gruppo, nonché di sviluppatori, affiliati, infrastrutture e beni ad esso collegati. Per di più, con il supporto di Europol, la polizia giapponese, l’NCA e l’FBI hanno sviluppato strumenti per la decryption, disponibili gratuitamente sul portale No More Ransom, che potrebbero consentire a centinaia di vittime in tutto il mondo di recuperare i file criptati con il ransomware LockBit.

State-sponsored: presunto leak relativo a un’azienda privata appaltatrice del MPS cinese e nuove attività di gruppi russi e coreani

Su GitHub è emersa una presunta massiccia fuga di dati provenienti da un’azienda privata appaltatrice del Ministero della Pubblica Sicurezza (MPS) cinese, nota come iSoon (conosciuta anche come Anxun). I dati trapelati nel presunto leak comprendono 66 link su un repository GitHub chiamato I-S00N e includono una serie di contenuti, tra cui, ma non solo, spyware, dettagli su operazioni di spionaggio e persino riferimenti a una presunta piattaforma di monitoraggio di Twitter, oltre a una moltitudine di conversazioni, rapporti, piani governativi ufficiali, articoli, numeri di telefono, nomi, informazioni di contatto. Tuttavia, la loro autenticità non è stata confermata. In particolare, in una sezione del leak si fa riferimento all’infiltrazione di iSoon in dipartimenti governativi d’oltremare, compresi quelli di India, Thailandia, Vietnam, Corea del Sud, Paesi NATO e altri ancora. Restando sempre nell’Asia Pacifica, il Bundesamt für Verfassungsschutz (BfV) tedesco e il National Intelligence Service (NIS) della Corea del Sud hanno rilasciato un advisory congiunto nel quale descrivono due campagne di spionaggio attribuite ad avversari nordcoreani, uno dei quali Lazarus Group, e rivolte contro aziende e centri di ricerca del settore della Difesa. Si ritiene che le offensive mirino a rubare informazioni su tecnologie militari avanzate e ad aiutare la Corea del Nord a modernizzare gli armamenti convenzionali e a sviluppare nuove capacità militari. D’altro canto, a partire dall’inizio di ottobre 2023 e perlomeno fino a metà dello stesso mese, ricercatori di sicurezza hanno osservato l’APT filorusso Winter Vivern sfruttare vulnerabilità di tipo Cross-Site Scripting (XSS) nei server webmail di Roundcube prendendo di mira almeno 80 organizzazioni in diversi Paesi in Europa, principalmente in Georgia, Polonia e Ucraina, oltre ad ambasciate iraniane in Russia e nei Paesi Bassi e l’ambasciata della Georgia in Svezia. Nello specifico, condotta per servire gli interessi di Bielorussia e Russia, l’operazione mira a raccogliere informazioni sulle attività politiche e militari europee. Tra i target figurano entità governative e militari ed enti legati alle infrastrutture nazionali. Infine, un nuovo malware chiamato TinyTurla-NG attribuibile al russo Turla Group è stato utilizzato contro organizzazioni non governative (ONG) polacche, delle quali almeno una sostiene l’Ucraina.

Italia: segnalate rivendicazioni DDoS e ransomware e campagne di phishing

Nel weekend del 17-18 febbraio, il collettivo hacktivista filorusso NoName057(16) ha reclamato ulteriori offensive contro target italiani, tra questi sono presenti: Mediobanca, BPER Banca, Aeronautica Militare, Sinfomar, Banca Popolare di Sondrio, Porto di Taranto, Guardia di Finanza, CONSOB, Autorità Garante della Concorrenza e del Mercato, Gruppo Torinese Trasporti, CTM S.p.A., Trentino Trasporti e Marina Militare. D’altro lato, sono state registrare anche rivendicazioni da parte di due gruppi ransomware. Nello specifico, un nuovo operatore chiamato Trisec ha annunciato sul proprio sito dei leak la compromissione dell’Associazione Italiana Veterinari Igienisti (AIVI); mentre Qilin Team quella di LORAN S.r.l. Infine, hanno mirato al Bel Paese nuove campagne di phishing, tra queste una ai danni di utenti INPS, una seconda verso i clienti del Sistema Pubblico di Identità Digitale (SPID) ed una terza contro imprese private e pubbliche amministrazioni. La prima ha sfruttato SMS (Smishing) contenenti un link con un dominio creato ad-hoc e ospitato su un server portoghese, che riprende l’acronimo dell’Istituto Nazionale di Previdenza Sociale. Se cliccato, il collegamento rimanda a una serie di portali malevoli che riproducono la grafica dell’INPS e richiedono al target l’inserimento di informazioni e copie di documenti personali. La seconda, invece, attraverso un falso avviso sulla scadenza dell’identità SPID tentava di indurre le vittime a inserire le proprie credenziali bancarie. In particolare, l’offensiva mirava a carpire le credenziali di accesso di 11 istituti bancari, tra cui: BNP, Credem, Fineco, ING, InBank, Intesa Sanpaolo, Mediobanca, Mediolanum, Poste Italiane, Sella e Unicredit. Infine, la terza ha sfruttato loghi e finte comunicazioni di Agenzia delle Entrate e Riscossione al fine di sottrarre i codici di accesso del portale dell’ente.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.