Questa settimana segnaliamo nel panorama italiano alcune notizie. Intanto, continuano le attività del collettivo LulZSecITA: dopo la segnalazione del breach ai danni del San Raffaele, gli hacktivisti hanno pubblicato radiografie sottratte a un ospedale di cui non è stato rivelato il nome e, a distanza di pochi giorni, hanno sibillinamente annunciato l’avvio di una non meglio precisata OpBigBrother.
Inoltre, è stata tracciata una campagna di distribuzione del ransomware Unicorn; la minaccia si è spacciata per l’applicazione Immuni, della quale è stato rilasciato il codice sorgente e che verrà nelle prossime settimane adottata su base volontaria per il tracciamento delle infezioni da Coronavirus. Anche una nuova campagna di phishing ha cavalcato l’onda della pandemia da COVID-19, abusando del logo dell’INPS, per distribuire un trojan bancario per sistemi Android; gli avversari hanno registrato un dominio il cui nome somiglia a quello dell’istituto di previdenza sociale, in cui si millanta la possibilità di ottenere una indennità per COVID-19. Phishing anche ai danni di utenti Aruba, che hanno ricevuto comunicazioni PEC o di posta elettronica ordinaria che li hanno indotti a inserire le proprie credenziali su un sito malevolo.
A livello internazionale, torna a far parlare di sé l’NSO Group. La firma di sicurezza che ha sviluppato il tool Pegasus avrebbe recentemente creato una falsa pagina di accesso a Facebook per trarre in inganno le sue vittime e indurle ad installare spyware sui propri dispositivi. Nel frattempo, Facebook sta facendo causa al team israeliano per il presunto utilizzo di un exploit 0-day per WhatsApp (di proprietà di Facebook) contro almeno 1.400 device mobili, sempre per distribuire Pegasus.
Sono due gli APT di matrice russa che hanno ricevuto l’attenzione degli analisti: Turla e Sandworm. Del primo sono state analizzate recenti varianti delle minacce ComRAT e Kazuar. Sandworm, invece, è stato preso in causa da due documenti governativi. Un alert dell’NSA (National Security Agency) gli addebita una serie di attacchi avviati nell’agosto 2019 contro i server di posta elettronica statunitense e basati sull’exploit della vulnerabilità critica CVE-2019-10149 del message transfer agent (MTA) Exim. I servizi di intelligence tedeschi, inoltre, lo ritengono il responsabile di operazioni di cyberspionaggio contro compagnie tedesche dei settori dell’energia e idrico.
Passando al versante crime, segnaliamo che sono in corso attacchi basati sul ransomware PonyFinal e sul trojan bancario per sistemi Android DEFENSOR ID; Valak, invece, prende di mira i server Microsoft Exchange per rubare dati aziendali. Non si fermano le campagne ricondotte sotto il nome di Aggah; fra le numerose vittime registrate in tutto il mondo compaiono anche aziende manifatturiere italiane.
Sul versante vulnerabilità, oltre a segnalare bollettini di sicurezza schedulati e straordinari – Apple, Microsoft Edge, Apache Tomcat, Fortinet, LibreOffice, Kantech, Inductive Automation – abbiamo dato conto anche della scoperta di due nuove tecniche di attacco. Unc0ver 5.0.0 è il nome assegnato al software di jailbreak che consente di eseguire il root e sbloccare tutti i dispositivi iOS, anche quelli che adottano la versione più recente del sistema operativo (v13.5). RangeAmp permetterebbe di abusare dei pacchetti HTTP per amplificare il traffico web e causare un DoS a siti web e server CDN (content delivery network).
Inoltre, una falla critica nella configurazione di EHTERAZ, l’app per il tracciamento dei contatti COVID-19 del Qatar, ha potenzialmente esposto i dati degli utenti; la scoperta si deve al Security Lab di Amnesty International.
Chiudiamo con un arresto e una denuncia. L’FBI ha ottenuto l’estradizione di un cittadino ucraino accusato di essere fra gli appartenenti al gruppo crime russo FIN7; Denys Iarmak, questo è il nome dell’uomo, è accusato di concorso in “computer hacking”, concorso in frodi bancarie, furto delle identità, accesso e danneggiamento di computer protetti a fini di frode.
Ricercatori di sicurezza sono riusciti a risalire all’identità reale di un avversario noto soprattutto con il nick VandaTheGod e lo hanno segnalato alle Autorità; attivo dal 2013, VandaTheGod, un cittadino brasiliano di cui sono state rivelate solo le iniziali del nome, ha rivendicato vandalizzazioni di siti governativi e campagne di natura esclusivamente criminosa e si è dichiarato appartenente a gruppi di matrice neonazista.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi