Le ultime dall’Italia, breach ai danni di target in Russia e Francia, nuove offensive in ambito APT 

Italia: nuovi attacchi DDoS, ransomware e di phishing 

Continuano in Italia le offensive da parte del collettivo hacktivista filorusso NoName057(16). In particolare, sono stati rivendicati DDoS ai danni dei seguenti target: Intesa Sanpaolo; Siena Mobilità; Gruppo Torinese Trasporti; Aeroporto di Milano Malpensa; Aeroporto di Milano Linate; Porto di Trieste; Sinfomar; Ministero dell’Interno; Ministero delle infrastrutture e dei trasporti; Guardia di Finanza; Ministero delle Imprese e del Made in Italy; Aeronautica Militare; Ministero degli Affari Esteri e della Cooperazione Internazionale; Benelli; Unipol; Fiocchi Munizioni; Regione Emilia-Romagna; Regione Autonoma Valle d’Aosta; Comune di Aosta; Regione Piemonte; Comune di Portoferraio; Comune di Taranto; Comune di Roma; Regione Lazio; Comune di Milano; Comune di Varese; Aeroporto di Bergamo-Orio al Serio; Provincia di Trapani; Provincia di Ragusa; Provincia di Caltanissetta; Enna Magazine; Regione Puglia; Comune di Catania; Comune di Adrano; Comune di Verona; Consiglio Regionale della Valle d’Aosta; Regione Abruzzo; Regione Basilicata; Comune di Potenza; Regione Marche; Regione Molise; Comune di Allein; Comune di Aymavilles; Comune di Giugliano in Campania; Comune di Reggio Emilia; Regione Autonoma Friuli Venezia Giulia; Comune di Brescia; Regione Lombardia; Comune di Parma; Comune di Perugia; Regione Umbria; Comune di Ravenna; Comune di Rimini; Ordine Dei Giornalisti; Comune di Bionaz; Comune di Pescara; Gruppo Maggioli; Consiglio Superiore della Magistratura; Comune di Etroubles; Comune di Brusson; Comune di Challand-Saint-Anselme; Comune di Challand-Saint-Victor; Comune di Chamois; Comune di Champorcher; Comune di Fontainemore; Comune di Gaby; Comune di Doues. Passando al versante ransomware, Cactus Team ha annunciato la compromissione di Everel Group S.p.A.; Akira Team di Infordata S.p.A. e Cerved Group S.p.A.; e TA505 di Tesisquare S.p.A. Per quanto riguarda le attività di phishing, invece, è stata rilevata una nuova campagna di smishing rivolta contro utenti INPS che, a differenza di quelle precedentemente documentate, invece di promettere benefici o rimborsi, minaccia presunte conseguenze penali per omissioni nella dichiarazione dei redditi.

Data breach: violati il provider russo LANIT e l’operatore francese Orange 

Il fornitore russo di servizi IT e software LANIT, importante azienda considerata il più grande integratore di sistemi del Paese, ha subito una violazione notificata agli interessati il 21 febbraio 2025. Stando a quanto riferito dal NKTsKI (Russian Federal Security Service’s National Coordination Center for Computer Incidents), l’offensiva ha potenzialmente colpito LLC LANTER e LLC LAN ATMservice, entrambe parte del gruppo LANIT e specializzate in software per attrezzature bancarie, sistemi di pagamento e sportelli automatici (ATM). La clientela del provider comprende entità di spicco come il Ministero della Difesa russo e i principali attori del complesso militare-industriale, tra cui Rostec. Quanto a Orange, operatore di telecomunicazioni e provider di servizi digitali francese, un avversario noto con lo pseudonimo Rey – membro del gruppo ransomware HellCat – sostiene di aver rubato migliaia di documenti interni dai sistemi della società. L’attaccante sostiene che i dati rubati provengono principalmente dalla filiale rumena e comprendono 380.000 indirizzi e-mail unici, codice sorgente, fatture, contratti, informazioni su clienti e dipendenti. Rey ha inoltre riferito di aver avuto accesso ai sistemi di Orange da oltre un mese e che la compromissione non è un’operazione ransomware di HellCat. L’avversario afferma di aver rubato quasi 12.000 file per un totale di circa 6.5 GB dopo aver violato i sistemi sfruttando credenziali compromesse e vulnerabilità nel software Jira dell’azienda per il tracciamento di bug/problemi, nonché nei portali interni. Orange ha confermato a una fonte giornalistica che le operazioni in Romania sono state oggetto di un attacco informatico. In aggiunta, ha dichiarato di aver preso provvedimenti immediati, di star lavorando duramente per valutare la portata della violazione e minimizzare l’impatto dell’incidente, e, da ultimo, che la violazione si sarebbe verificata su un’applicazione non critica.

APT: osservate attività dalla Corea del Nord, Russia e Cina

Ricercatori di sicurezza hanno analizzato un’applicazione malevola per macOS camuffata da aggiornamento di Google Chrome, denominata DriverEasy, associata alla campagna di spionaggio nordcoreana Contagious Interview. La minaccia è scritta in Swift/Objective-C, è progettata per catturare la password dell’utente e utilizza credenziali API Dropbox per l’esfiltrazione. Sempre dalla Corea del Nord, l’FBI ha confermato la responsabilità di Lazarus Group dietro al furto di circa 1,5 miliardi di dollari in beni virtuali all’exchange di criptovalute Bybit. L’azienda ha comunicato sul proprio sito che, in data 21 febbraio 2025, ha rilevato un’attività non autorizzata all’interno di uno dei suoi cold wallet Ethereum (ETH), durante un processo di trasferimento di routine. L’Agenzia statunitense ha riferito che l’APT di Pyongyang sta agendo rapidamente e ha già convertito parte degli asset rubati in Bitcoin e altre criptovalute. Si prevede che questi asset verranno ulteriormente riciclati e, infine, convertiti in valuta fiat. Spostandoci in Russia, il Computer Emergency Response Team di Kiev ha identificato attacchi mirati di UAC-0212, sottogruppo di Sandworm, in linea con una precedente operazione malevola dell’APT di Mosca, volta a interrompere il funzionamento dei sistemi di informazione e comunicazione (ICS) di circa una ventina di aziende di fornitura di energia, acqua e riscaldamento in dieci regioni dell’Ucraina. Le offensive hanno previsto lo sfruttamento della vulnerabilità CVE-2024-38213 e dei malware SECONDBEST, EMPIREPAST, SPARK e CROOKBAG, oltre all’uso, in diversi casi, del tool open-source RSYNC per il furto di documenti nel lungo termine. Per quanto riguarda la Cina, è stata tracciata una campagna soprannominata Green Nailao – sospettata di provenire da un cluster di intrusioni cinesi – che si è basata sul DLL Search Order Hijacking per veicolare ShadowPad e PlugX contro organizzazioni europee, in particolare nel settore sanitario. L’operazione, che ha avuto luogo almeno tra giugno e ottobre 2024, è stata resa possibile grazie allo sfruttamento di CVE-2024-24919 su soluzioni Security Gateway di Check Point vulnerabili e ha previsto la distribuzione consecutiva di un payload ransomware precedentemente non documentato, chiamato NailaoLocker. Da ultimo, un gruppo di spionaggio informatico di origine non specificata, denominato Rezet, ha sferrato massicci attacchi colpendo imprese industriali russe del settore chimico, farmaceutico e alimentare. Spacciandosi per un’azienda specializzata nel supporto agli appalti governativi per la Difesa, l’avversario ha inviato e-mail che apparivano come inviti a seminari sulla standardizzazione dei prodotti per la Difesa, contenenti un file malevolo all’interno di un archivio protetto da password, che includeva un’esca sotto forma di documento PDF, oltre a un payload. Successivamente, ulteriori ondate prevedevano l’inclusione di due file malevoli, entrambi capaci di infettare il sistema all’apertura.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence