Weekly Threats: N. 21 2018

La settimana appena trascorsa si conclude con l’annuncio, da parte del dipartimento di Giustizia statunitense, di tre arresti di individui di nazionalità ucraina, accusati di appartenere alla sofisticata organizzazione cyber-criminale nota come FIN7 (alias Anunak o Carbanak).

Il gruppo avrebbe rubato negli ultimi cinque anni oltre 15 milioni di numeri di carte di credito. Le informazioni ottenute sarebbero poi state vendute sul dark web a scopo di lucro. Tra le vittime figurano grandi compagnie USA, ma sono state prese di mira anche aziende in UK, Australia e Francia e numerose istituzioni bancarie e finanziarie in tutto il mondo per quasi 1 miliardo di dollari.

Vittima di un data breach, avvenuto fra il 14 e il 18 giugno scorso, sarebbe stata invece la nota piattaforma di news e intrattenimento Reddit. Attaccanti non identificati sarebbero infatti riusciti ad accedere agli account di numerosi impiegati bypassando l’autenticazione a due fattori e a rubare quindi informazioni come indirizzi di posta elettronica, registro dei log e il backup di un database del 2007 contenente password in formato hash e messaggi sia pubblici che privati.

Amnesty International, stando a quanto dichiarato dalla stessa ONG e da Citizen Lab,  sarebbe invece  finita nel mirino di una campagna – con possibile attribuzione al governo saudita – basata sullo sfruttamento della minaccia mobile Pegasus, sviluppata e venduta dall’israeliana NSO. Nello specifico un ricercatore di Amnesty, e diversi dissidenti sauditi con base all’estero, avrebbero ricevuto sms e messaggi whatsapp sospetti, contenenti dei link a domini risultati poi associati all’infrastruttura del malware di NSO almeno dal 2016.

Sarebbero nuovamente utenti italiani i target di una campagna di malspam –proveniente da un indirizzo del dominio istruzione.it – che distribuisce l’ormai famoso trojan bancario Ursnif. I messaggi di posta malevoli, scritti in italiano, riportano in oggetto “richiesta invio fattura” e “Ft.02 31/07/2018”.

Tra la metà di maggio e l’inizio di giugno, secondo gli esperti, il gruppo financially-motivated identificato come Cobalt avrebbe tessuto le fila di alcune campagne di distribuzione malware. Nonostante fra le stringhe analizzate ne sia stata rilevata una in cui l’attaccante dichiara esplicitamente di non aver nulla a che fare con le campagne, il modus operandi appare – sotto numerosi punti di vista – corrispondente a quello del gruppo.

Gli attacchi spesso diretti contro istituzioni finanziarie, come nel caso della European Banking Federation, cominciano con mail di phishing il cui contenuto è preso perlopiù da messaggi legittimi che trattano argomenti rilevanti per l’organizzazione prescelta.

In ultimo, caso di “successo” indiscusso sembrerebbe quello del ransomware SamSam, il quale avrebbe fatto guadagnare ai suoi creatori più di 5,9 milioni di dollari dalla fine del 2015 a oggi. Tracciando tutti gli indirizzi Bitcoin cui sono stati in grado di risalire, i ricercatori hanno stimato che almeno 233 utenti hanno pagato il riscatto richiesto. Tra le vittime- per i ¾ delle quali localizzate negli Stati Uniti. Secondo i ricercatori è probabile che la minaccia potrebbe non essere opera di un gruppo ma di un singolo individuo.

[post_tags]