Weekly Threats: N. 27 2018

Settimana intensa, quella appena trascorsa, per l’Italia. È infatti in corso di tracciamento una campagna di distribuzione di email a scopo estorsivo. Le vittime vengono informate in modo fraudolento che per avere assicurata la cancellazione di tutto il materiale rubato, dovranno provvedere al pagamento di un riscatto pari a 300 dollari in BTC entro due settimane. L’IP da cui provengono le email risulta localizzato in Vietnam.

Alcune organizzazioni della Pubblica Amministrazione sono inoltre state recentemente coinvolte, da una campagna di malspam finalizzata alla distribuzione del trojan bancario Ursnif.

Esposte anche utenze governative italiane, fra cui alcune legate al ministero dell’Ambiente e del Tesoro, così come rivendicato attraverso un tweet pubblicato sul profilo @LulzSec_ITA, dal collettivo. Il data breach ha comportato la sottrazione di  4 tabelle il cui contenuto è il seguente: 193 transazioni le cui causali fanno pensare a delle donazioni; 241 account di accesso al sito comprendenti email, username e password, 455 dati di appartenenti alla RSU (rappresentanza sindacale unitaria) (nome cognome email cellulare);
521 account di accesso al sito comprendenti email, username e password in chiaro. Quest’ultima tabella raccoglie il maggior numero di informazioni associabili al Ministero del Tesoro.

Attenzione concentrata sui Paesi europei anche per un ransomware chiamato PyLocky, il quale si spaccia per il celebre Locky sebbene non sia ad esso collegato. Gli attaccanti hanno basato la distribuzione su email di spam, mirando soprattutto al settore del business.

Negli ultimi mesi, alcuni ricercatori di sicurezza hanno monitorato una campagna – da parte di un gruppo identificato come Partenerstroka – cosiddetta di “tech support scam”, vale a dire una frode basata su un semplice trucco: fingere di fornire agli utenti supporto tecnico per un determinato prodotto. Gli attaccanti si sono serviti del malvertising per reindirizzare le vittime verso pagine di popolari locker per browser di ultima generazione.

 Attività intensa anche in Iran. Ricercatori hanno recentemente scoperto che attori iraniani stanno conducendo un’ampia e mirata campagna di sorveglianza, denominata Domestic Kitten, in corso almeno dal 2016. I target dell’operazione includono sia nativi curdi e turchi che sostenitori dell’ISIS, tutti però di nazionalità iraniana. Gli analisti ipotizzano che la campagna sia condotta da organi del governo iraniano a fini di sorveglianza di gruppi considerati come una minaccia per la stabilità del regime di Teheran.

Inoltre Il noto gruppo filogovernativo iraniano OilRig ha recentemente condotto una nuova campagna che ha preso di mira un governo dell’area mediorientale con una versione aggiornata del trojan BONDUPDATER.

Sono stati invece resi noti alcuni dettagli relativi a una campagna di spionaggio – del gruppo Emissary Panda – che, nel marzo 2018, ha preceduto un meeting di alto livello fra rappresentanti delle nazioni dell’Asia centrale. I dettagli riguardano in particolare il RAT sfruttato, che risulta inedito.

In ultimo nel luglio scorso è stata tracciata un’operazione attribuita al gruppo cinese Stone Panda, alias APT10, mirata contro organizzazioni giapponesi attive nel settore dei media.

Mediante email di spear-phishing è stata distribuita la backdoor ANEL, ribattezzata recentemente anche col nome UPPERCUT. I messaggi di posta elettronica si spacciano per comunicazioni riguardanti temi diplomatici, nautici e di interesse politico sulla Corea del Nord e sull’America Latina e contengono allegati che richiedono l’abilitazione di macro malevole.

[post_tags]