Weekly Threats: N. 04 2019

Sul versante minacce la scorsa settimana Anonymous Italia è tornato a far parlare di sé, rivendicando una nuova azione nell’ambito di #OpGreenRights. Sono state prese di mira compagnie attive nei settori industriali dell’energia, della chimica e del petrolchimico.
Il sito della SafCo Engineering – compagnia che opera nel campo dell’automazione industriale nei settori sopra indicati – ha infatti subito il defacement della homepage e il dump del database, incluse alcune credenziali protette tramite phpass. Solo dump di informazioni, invece, per i seguenti 6 portali: Euronova International, Optimus, Cabel Energy, Scott Petroleum Corporation, REP (Recherche Exploitation Produits, SES (Specialized Company For Energy Services). 

Una nuova famiglia di ransomware – identificata col nome Anatova – è stata di recente scoperta da ricercatori di sicurezza. Come per tutti i ransomware, il suo scopo principale è quello di cifrare i file presenti sul PC della vittima e fornire poi una chiave di decifrazione in cambio di un riscatto. La complessità del codice lascia pensare che sia stato scritto da autori le cui competenze sono sopra la media. La minaccia è infatti preparata per un’eventuale estensione modulare ed è dotata di forti protezioni anti-analisi.

Particolare attenzione è stata rivolta al settore finanziario. Nello specifico si fa riferimento a tre diverse minacce. Nel primo caso ricercatori di sicurezza hanno analizzato una recente campagna del gruppo TA505 che, sfruttando come vettore email di phishing contenenti documenti Excel malevoli, ha colpito istituzioni finanziarie. Tra le varie vittime anche una banca italiana. Secondo i ricercatori, il fatto che la maggior parte dei server siano localizzati in Ucraina, Moldavia e Russia e che i documenti risultano creati con Microsoft Office in lingua russa, lascia presupporre che gli attaccanti provengano dall’Est Europa.

Nel secondo caso numerosi istituti di credito russi hanno subito un attacco su larga scala lanciato dall’APT financially-motivated Silence. Gli attaccanti hanno inviato oltre 80.000 mail di phishing ai dipendenti delle banche target, enti finanziari di vario genere e servizi di pagamento. I messaggi malevoli riguardavano un evento organizzato dall’Associazione delle Banche Russe e da AIFM Media, il ventunesimo forum internazionale iFin-2019. La minaccia è pensata principalmente per fare screenshot del desktop della vittima allo scopo di raccogliere abbastanza informazioni per scalare i privilegi.

In ultimo emergono novità sul trojan bancario Emotet. Quest’ultimo nei mesi passati si è trasformato anche in loader di altri codici ed è stato protagonista di numerose campagne. Gli attaccanti hanno impiegato almeno due infrastrutture parallele e associate in un’unica botnet. Le vittime sono state raggiunte attraverso attività di ingegneria sociale da email di spam che generalmente contenevano allegati con macro malevole. Il tema delle comunicazioni fraudolente è stato spesso una richiesta di pagamento di fatture. Una delle attribuzioni più plausibili è ad attori russofoni; tuttavia sono emersi elementi di contatto anche con i cybercriminali che operano tramite Ursnif e BitPaymer. 

Per quanto riguarda le vulnerabilità, si segnala che l’utente Twitter vladimir_metnew ha pubblicato un post in cui afferma di aver scoperto una falla di tipo remote code execution nelle popolari piattaforme di messaggistica istantanea Skype, Whatsapp e Telegram. L’individuo afferma inoltre di aver segnalato l’esistenza della falla, il cui sfruttamento risulterebbe particolarmente semplice, alle società proprietarie dei servizi – Microsoft, Facebook e Telegram LCC – senza però ricevere una risposta o una ricompensa da lui ritenuta adeguata.