L’Italia nel mirino di NoName057(16), attacco e tool inediti nel panorama APT, le ultime dal versante cybercrime

NoName057(16): presi di mira target italiani e non solo

Il collettivo hacktivista filorusso NoName057(16) è tornato a colpire portali italiani a seguito della proroga delle forniture di attrezzature militari a Kiev per tutto il 2025 da parte dell’Italia. Nello specifico, tra il 25, il 26 e il 27 dicembre 2024 il gruppo ha rivendicato offensive DDoS contro le pagine del Ministero delle Infrastrutture e dei Trasporti, del Ministero delle Imprese e del Made in Italy, della Guardia di Finanza, del Ministero della Difesa, dell’Aeronautica Militare, dell’Arma dei Carabinieri, della Marina Militare, della società Acqua Novara.VCO, dell’azienda Acque Veronesi, della Banca MPS, del Gruppo BCC Iccrea, di RelaxBanking e di Intesa Sanpaolo. Tuttavia, l’Italia non è stata l’unico bersaglio, a questi target se ne aggiungono altri in Belgio, Repubblica Ceca, Ucraina, Israele e Moldavia. Trai settori colpiti figurano quelli governativo, finanziario, dei trasporti, chimico, delle telecomunicazioni, dell’Oil&Gas e dei media.

APT: identificato un presunto attacco russo all’Ucraina e un tool inedito di Red October

Presunti avversari russi hanno sferrato uno dei più grandi attacchi informatici ai servizi statali ucraini degli ultimi tempi, stando a quanto dichiarato dal Vice Primo Ministro e Ministro della Giustizia del Paese, Olha Stefanishyna. L’offensiva ha preso di mira i registri statali ucraini, che sono sotto la giurisdizione del Ministero della Giustizia e conservano vari tipi di documenti ufficiali, tra cui importanti informazioni sui cittadini ucraini, come quelle relative a nascite, decessi, matrimoni e proprietà immobiliari. A seguito dell’accaduto, i registri sono stati temporaneamente sospesi. Il Servizio di Sicurezza di Kiev (SBU) sospetta che dietro l’offensiva ci siano attaccanti russi legati al Servizio di Intelligence militare del Paese (GRU). Giovedì 19 dicembre, il collettivo filorusso XakNet Team ha rivendicato la responsabilità dell’attacco sul proprio canale Telegram, riferendo di essere riuscito a infiltrarsi nell’infrastruttura del Ministero della Giustizia attraverso un appaltatore che gestisce i registri, l’impresa statale National Information Systems (NAIS). Quanto al gruppo state-sponsored Red October, ricercatori di sicurezza hanno fatto luce su una nuova campagna iniziata nell’agosto 2023, nell’ambito della quale l’APT ha apportato modifiche al proprio toolset e adoperato una backdoor inedita denominata VBCloud. Quest’ultima raccoglie informazioni sul sistema, ruba file e utilizza un cloud storage pubblico come C2.

Cybercrime: accusato il presunto sviluppatore di LockBit e vendita e divulgazione di dati nell’underground

Il Dipartimento di Giustizia (DOJ) degli Stati Uniti ha reso pubblica una denuncia che accusa un cittadino di doppia nazionalità russa e israeliana di essere lo sviluppatore del ransomware LockBit. L’individuo è Rostislav Panev, di 51 anni, arrestato ad agosto in Israele in seguito a una richiesta di arresto provvisorio degli USA in vista dell’estradizione. Panev è attualmente in custodia in Israele in attesa di essere estradato per le accuse contenute nella denuncia. Stando a quanto riportato, l’imputato ha agito come sviluppatore di LockBit Team dalla sua nascita, intorno al 2019, fino ad almeno febbraio 2024. Negli interrogatori rilasciati alle autorità israeliane dopo il suo arresto, Panev ha ammesso di aver svolto attività di codifica, sviluppo e consulenza per il gruppo, di aver ricevuto pagamenti regolari in criptovaluta per tale lavoro, di aver scritto e mantenuto il codice del ransomware e, infine, di aver fornito indicazioni tecniche alla banda. Spostandoci nell’underground, sabato 21 dicembre sono stati pubblicati su un noto forum due diversi annunci. Il primo, il cui autore si chiama HolySouls, riguarda la vendita di un presunto accesso GitLab e VNet VPN riconducibile a Petrobras, compagnia brasiliana di ricerca, estrazione, raffinazione, trasporto e vendita di petrolio con sede a Rio de Janeiro. Il secondo, invece, è di natohub e riguarda la divulgazione di un presunto data leak riconducibile all’Organizzazione delle Nazioni Unite (ONU). Il set di dati trapelato include informazioni sui delegati dell’ONU, come nomi, cognomi, indirizzi e-mail, ID, numeri di telefono e altro ancora. Nel dettaglio, il leak coinvolgerebbe 3 database, il primo contenente dati relativi a 11.000 utenti, il secondo a 9.734, mentre il terzo a 3.795.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence