Piuttosto articolato risulta il panorama delle minacce protagoniste di questa settimana. 
Sulla scena italiana è stata rilevata una campagna malware basata sul trojan bancario Ursnif. Utenti privati e grandi aziende e organizzazioni sono stati raggiunti da un’ondata di email contenenti allegati malevoli, mirata proprio al nostro territorio nazionale e incentrate sul tema della fatturazione elettronica.
In campo globale, invece, si segnalano eventi di portata più ampia. È stata scoperta una backdoor russa su oltre 2.000 database insicuri appartenenti ad aziende i cui affari o interessi risultano in qualche modo collegati a Mosca; si tratta perlopiù di piattaforme che gestiscono transazioni finanziarie
Negli Stati Uniti, invece, il Dipartimento di Giustizia ha annunciato che è stata mappata la botnet Joanap, realizzata dal gruppo APT nordcoreano Lazarus, e che sono in corso attività finalizzate alla sua distruzione. Poiché risultano ancora numerose macchine infette, FBI e autorità delle Nazioni coinvolte sono al lavoro per notificare il fatto a tutti gli utenti coinvolti.
Continuando sul versante APT, abbiamo visto il ritorno del gruppo state-sponsored iraniano Chafer e di quello indiano noto come WindShift o Bahamut. Il primo sta sfruttando il tool Remexi per monitorare enti diplomatici stranieri con base in Iran, mentre l’altro sta colpendo organizzazioni governative e l’infrastruttura critica in Medio Oriente.
Quanto alle vulnerabilità, si segnalano due casi di sfruttamento che hanno interessato il plugin Total Donations di WordPress e due modelli di router Cisco
Una falla 0-day individuata nel plugin del noto CMS è stata abusata in-the-wild per ottenere accesso amministrativo ai portali target. Due gravi bug riscontrati nei dispositivi RV320 e RV325 sono stati sfruttati per eseguire codice malevolo da remoto; i device che risultano ancora vulnerabili, localizzati perlopiù negli StatiUniti, sarebbero circa 10.000.
 Data breach per l’azienda costruttrice di automobili e aerei civili Airbus. La compagnia ha recentemente reso noto il fatto, spiegando che è stato coinvolto il sistema di informazione del settore “CommercialAircraft Business“. Gli attaccanti sono riusciti a esfiltrare dati sensibili di numerosi dipendenti europei e partner commerciali.
Intanto da Facebook e Instagram sono stati rimossi quasi 800 fra account, gruppi e pagine registrati in Iran e mirati a diffondere disinformazione in favore del Governo di Teheran.  

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi