Weekly Threats: N. 26 2018

La settimana appena trascorsa si è nuovamente conclusa con un colpo da parte di Anonymous Italia nei confronti dell’INAS (Istituto Nazionale Assistenza Sociale). Il collettivo è infatti riuscito ad esfiltrare oltre 37.000 informazioni di utenti. I dati resi noti sono nome, cognome, numero di telefono, impiego, e-mail e password. Tra gli utenti figurano addetti alla pubblica sicurezza, impiegati statali e membri delle forze dell’ordine. Secondo quanto pubblicato su Twitter dall’utente conosciuto in rete come R0gue_0, noto per aver più volte compromesso la piattaforma del Movimento 5 Stelle, lo stesso sarebbe nuovamente riuscito ad accedere al sito Rousseau e a esfiltrare dei dati, rendendo pubblico quello che potrebbe essere il probabile username dell’amministratore del database in possesso dell’attaccante. Se le dichiarazioni fossero reali, l’esfiltrazione ricadrebbe sotto la disciplina giuridica del GDPR. Silence è invece il nome che gli analisti hanno dato a un gruppo APT russofono, attivo almeno dal 2016 e particolarmente efficiente nella creazione di email di spear-phishing, che ha avuto come obiettivo istituzioni finanziarie – localizzate prevalentemente, anche se non esclusivamente, in Russia e in Europa dell’Est – con la capacità di esfiltrare 800.000$. Il gruppo potrebbe essere molto piccolo e composto da due figure determinate. Uno degli individui potrebbe aver lavorato o lavorare ancora nell’industria della cyber security. Ricercatori di sicurezza stanno inoltre monitorando la nuova attività del gruppo cyber-criminale noto come FIN6. Attivo nel furto di credenziali di carte di credito sui sistemi POS, nel corso della campagna in oggetto il team ha colpito esercizi commerciali localizzati in Europa e negli USA. Compromissione recente anche per la nota estensione per browser Chrome MEGA. La stessa è stata infatti sostituita con una variante malevola, al fine di rubare credenziali di login e chiavi di criptovaluta. Una volta installata, l’estensione fake comincia a ricercare e monitorare specifici form di login per Amazon, Microsoft, Github e Google. Gli utenti infetti potrebbero superare, secondo lo stesso ricercatore, 1,6 milioni. Nuova compromissione anche di oltre 7.500 dispositivi MikroTik, al fine di consentire a un attaccante di intercettare il traffico in arrivo e in partenza dai device target. Sarebbe stata nuovamente sfruttata la vulnerabilità CVE-2018-14847 (Winbox Any Directory File Read), già nota perché presente nel leak degli hacking tool della CIA Vault 7, verso cui risultano ancora vulnerabili oltre 37.000 dispositivi MikroTik. Infine la compagnia aerea di bandiera British Airways ha reso noto ieri di aver subito un furto di dati dal proprio sito e dalla propria applicazione mobile. I dati rubati, per un totale di 380.000 utenti, sarebbero di tipo personale e finanziario, ma non sulle informazioni di viaggio o sui passaporti. Si sa per certo che risultano affetti i clienti dell’azienda che hanno effettuato prenotazioni attraverso il sito o tramite l’app fra il 21 agosto e il 5 settembre scorso. [post_tags]

---