Apriamo la rassegna di questa settimana con la consueta panoramica sulla scena italiana. Il gruppo hacktivista LulzSecITA ha colpito il portale ufficiale della Provincia di Foggia. Nel frattempo, email malevole che sembravano spedite dall’Università di Roma La Sapienza hanno distribuito LokiBot e due diverse ondate di malspam hanno invece veicolato Agent Tesla. Vittime italiane si segnalano anche per la campagna di distribuzione del ransomware Phobos, che ha prodotto i danni maggiori in Cina e Francia.

Numerosi sono i ransomware che negli ultimi giorni hanno fatto parlare di sé. Fra le novità più interessanti, AgeLocker, che sfrutta lo strumento per la crittografia di Age. Inedito risulterebbe anche Exorcist, capace di operare anche in assenza di connessioni internet e di compromettere i file attraverso la porta ICOP2 con una combinazione di AES256 e RSA4096.
Più che noti, invece, sono Nefilim che ha colpito la Orange France e Sodinokibi che ha preso di mira la maggiore compagnia di telecomunicazioni in Argentina. WastedLocker – associato al team TA505 – è invece sospettato di essere il responsabile della compromissione ai danni della Garmin, leader mondiale nella tecnologia GPS per l’automobilistica.
Infine, è stato scoperto e analizzato un server sfruttato da quello che gli analisti hanno identificato come SNOW e che sembra essere uno degli affiliati del Maze Team.

Sul versante APT, continuano a colpire l’iraniano OilRig con il tool RDAT e il nordcoreano Lazarus con il framework multipiattaforma MATA; il primo contro società delle telecomunicazioni in Medio Oriente, l’altro contro vari settori industriali in diversi angoli del globo.
Ma la Cina si aggiudica il podio, con numerose campagne e la notizia di un arresto. Due operazioni basate sulla minaccia MgBot hanno recentemente preso di mira target ad Hong Kong e in India; altre più longeve e più articolate hanno colpito diversi enti statali in Kazakistan, nonché reti aziendali in Kirghizistan.
Intanto, gli USA hanno messo sotto accusa due cittadini cinesi che collaborano con il Ministero della Sicurezza di Pechino per una serie di azioni malevole condotte almeno dal 2009 contro aziende attive nei settori sanitario (anche in ambito COVID-19), dell’alta tecnologia, dei software aziendali, dell’energia, e della difesa.

Fra i leak di informazioni, quello di maggior entità ha coinvolto la CouchSurfing; il servizio online che consente di trovare alloggi gratuiti, ha scoperto di aver subito una compromissione in seguito alla messa in vendita su alcuni hacking forum e su canali Telegram di dati relativi a 17 milioni di utenti.
Problemi seri anche per la Invest Bank; ricercatori di sicurezza hanno rilevato nella darknet un database di 7 GB contenente 29 cartelle con dati anche finanziari appartenenti agli utenti della compagnia emiratina.

Chiudiamo come sempre con qualche segnalazione di rilievo sulle vulnerabilità. Microsoft ha aggiornato Edge per correggere un bug di tipo elevation of privilege (CVE-2020-1341). Citrix ha risolto una RCE in Workspace (CVE-2020-8207). Cisco ha rilasciato patch per una falla in ASA e FTD (CVE-2020-3452); in quest’ultimo caso, a seguito del rilascio della PoC dell’exploit, si registrano attacchi in corso.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi