Questa settimana le notizie di maggior interesse riguardano soprattutto campagne crime e APT motivate finanziariamente. In merito alle vulnerabilità, resta alta l’attenzione su un bug della compagnia F5. Infine, sono state sgominate due reti cybercrime di cui una particolarmente pericolosa.

Il versante ransomware risulta particolarmente ricco. Avaddon sembra aver preso di mira soprattutto aziende localizzate in Italia. Le vittime hanno ricevuto email che si fingevano comunicazioni dell’Ispettorato del Lavoro in merito alla normativa sul COVID-19; chi ha scaricato gli allegati malevoli ha di fatto consentito l’infezione delle proprie macchine.
Ragnar Locker sarebbe invece il responsabile dell’attacco subito dalla partner portoghese della EDP Renewables North America (EDPR NA), attiva nel settore energetico. Quanto alla DXC Technology, che fornisce servizi e soluzioni IT, è stata confermata la compromissione dei sistemi della sussidiaria Xchanging; ma resta ignoto il nome del malware.
Emergono, infine, due nuovi cryptor battezzati Try2Cry e Conti. Il primo può anche avvalersi di funzionalità di worm e viene distribuito attraverso drive USB e file LNK; l’altro, che potrebbe rivelarsi come il sostituto di Ryuk, dispone di funzionalità che gli consentono una selezione molto mirata dei target e una esecuzione della cifratura particolarmente rapida.

Quanto agli attori che rubano dati di pagamento sfruttando script con funzioni di skimmer, si registrano longeve campagne firmate dall’APT nordcoreano Lazarus e da Keeper, corrispondente al “Group 8” della galassia Magecart. In entrambi i casi i siti che hanno subito injection di JavaScript malevoli si contano nell’ordine delle centinaia.
Più recente invece è il tracciamento di una operazione basata su uno skimmer che colpisce siti che adottano una versione vulnerabile di ASP.NET (nello specifico, la versione 4.0.30319); questa minaccia è stata tracciata a partire dalla metà di aprile 2020 e ha già mietuto decine di vittime, fra portali di organizzazioni sportive, della salute, e di associazioni comunitarie.

Rimaniamo in campo finanziario per segnalare la scoperta di un team cybercrime russo chiamato Cosmic Lynx. Questi avversari stanno realizzando frodi di tipo BEC (business email compromise) di alto profilo, ponendosi di fatto in concorrenza con realtà nigeriane come SilverTerrier, che fino ad oggi detenevano quasi l’esclusiva in queste attività.

Passiamo alle vulnerabilità. La falla RCE che impatta l’application delivery controller (ADC) BIG-IP della F5 Networks – tracciata con codice CVE-2020-5902 (CVSS 10.0) – risulta sfruttata in the wild; a tre giorni dal rilascio delle patch, infatti, sono state pubblicate alcune PoC dell’exploit e anche appositi scanner per individuare attraverso Shodan gli ADC ancora vulnerabili. Nel frattempo la compagnia ha corretto anche un secondo bug, meno grave del precedente; questa volta si tratta di un Cross Site Scripting (XSS) identificato con CVE-2020-5903 e che ha ricevuto uno score CVSS di 7.5.
Fra i bollettini di sicurezza rilasciati in questi giorni ricordiamo quelli schedulati da Google per Android e Pixel; ad essi aggiungiamo le segnalazioni per prodotti NVIDIA, Palo Alto Networks, Vmware, Citrix.

Chiudiamo con le notizie di due arresti. Un’operazione condotta dalla Polizia Postale italiana e dalle Forze di Polizia rumene, supportate da Europol e Eurojust, ha smantellato una organizzazione criminale impegnata in frodi finanziarie, cybercrime e riciclaggio di denaro. Infine, il DoJ (Department of Justice) statunitense ha messo sotto accusa un cittadino kazako di 37 anni che risponde al nome di Andrey Turchin. L’uomo è ritenuto responsabile della creazione di un gruppo cyber crime motivato finanziariamente che ha utilizzato l’alias “Fxmsp”. Almeno a partire da ottobre 2017 e fino a dicembre 2018 questo team ha lanciato offensive contro centinaia di target in oltre 40 paesi; fra di essi si annoverano un’autorità portuale degli USA, una linea aerea con base a New York, un Ministero delle Finanze africano, catene di alberghi, servizi finanziari.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi