Weekly Threats: N. 03 2019

Questa settimana è stata segnata in primo luogo da un data breach di dimensioni epocali: un ricercatore ha infatti reso noto di aver scoperto in rete una raccolta, ribattezzata Collection #1, contenente oltre 2,5 miliardi di record tra cui 773 milioni di indirizzi mail unici e 22 milioni di password. Successive indagini, che sono ancora in corso, hanno consentito di ampliare il panorama; alcuni record sono sicuramente datati o già noti, ma moltissimi altri sono invece recenti e relativi ad account ancora attivi.

Ancora una volta il panorama hacktivista italiano è stato dominato da Anonymous Italia (alias LulzSec, AntiSecItalia). Ad inizio settimana i suoi membri hanno realizzato infatti un’azione dimostrativa sul tema delle morti bianche, sia con alcuni defacement che con un leak di dati appartenenti a diverse categorie di professionisti e centri per l’impiego. Alcuni giorni dopo, è seguito il dump del portale della Conferenza Stato-Città, che comprende anche username e password in chiaro.

Sempre italiani sono i target di una campagna BEC (business email compromise) che ha mietuto vittime all’interno della sezione indiana della società Tecnimont spa, operante nei settori ingegneristico, edile, tecnologico ed energetico. I criminali, di origine cinese, hanno inviato al capo della sezione indiana una richiesta di fondi da un indirizzo email che spoofava quello del CEO italiano della compagnia riuscendo a rubare quasi 20 milioni di dollari.
Colpisce in Italia anche il noto trojan bancario Gootkit con un’operazione che ha preso di mira in particolare le caselle di posta elettronica certificate (PEC).

Sul versante delle minacce, segnaliamo altre due campagne. La prima ha visto protagonista il gruppo russo GRIM SPIDER nella distribuzione del ransomware Ryuk – derivato dal codice di Hermes – che ha colpito numerose società con sede in USA, Canada e Regno Unito. La seconda si è servita di una nuova famiglia di infostealer identificata come AVE_MARIA, sfruttato per contro target in diversi paesi, tra cui figura nuovamente l’Italia.

Ancora una volta è stata tracciata un’operazione ascrivibile al panorama di Magecart. Il maggior numero di infezioni è stato registrato in quest’occasione fra Germania e Francia, seguite da Spagna, Italia e Australia. A differenza dei casi già noti, questa volta gli attaccanti hanno inizialmente compromesso una libreria di terze parti, la Adverline, la quale a sua volta ha infettato un totale di 227 siti di viaggio, prenotazioni di voli e alcuni portali di e-commerce.

La settimana si conclude con una compromissione alla rete interbancaria cilena Redbanc riconducibile al celebre gruppo APT nordcoreano Lazarus. Grazie ad un falso annuncio di lavoro che ha tratto in inganno un ignaro impiegato, gli attaccanti sono riusciti a penetrare nei sistemi target e ad infettarli con il malware bancario PowerRatankba.