Weekly Threats N. 31 2020

Negli ultimi giorni abbiamo dato conto di campagne che hanno interessato utenti italiani basate principalmente sulle minacce Agent Tesla, FormBook e Ursnif.
Ma il versante che ha destato maggior interesse nel nostro Paese è stato quello hacktivista. I team associati LulzSecITA e Anonymous Italia hanno messo a segno diverse violazioni e annunciano nuovi sviluppi. Fra le vittime più recenti vi sono l’Agenzia nazionale per i servizi sanitari regionali (Agenas) e il Dipartimento di Epidemiologia del Servizio Sanitario Regionale del Lazio (DEP).
Non finiscono, poi, i guai per tutti i portali che adottano il content management system di ISWEB. Gli hacktivisti – che hanno già compromesso i sistemi di Agid, Camera di Commercio di Roma e Istituto Poligrafico e Zecca dello Stato italiano (IPZS) sfruttando una vulnerabilità di quel CMS – hanno annunciato di aver scoperto un nuovo 0-day che starebbero già utilizzando.

Sulla scena internazionale, invece, continuano ad operare numerosi ransomware noti e inediti. Ensiko emerge ora sulle scene. È una web shell PHP dotata di numerose funzionalità: scansiona i server alla ricerca di altre web shell, invia e-mail in massa, opera defacement, lancia attacchi di brute-forcing, scarica altri malware; come cryptor usa RIJNDAEL 128 in modalità CBC e appende ai documenti l’estensione .bak.
Phobos continua ad agire in una nuova variante. Nefilim ha messo a segno un’azione contro la multinazionale tedesca Dussmann Group. NetWalker è invece finito nel mirino dell’FBI che, in un alert recente, mette in guardia gli utenti di Pulse VPN nelle versioni vulnerabili alla CVE-2019-11510 e di Telerik UI esposta alla CVE-2019-18935; il ransomware avrebbe sfruttato anche questi bug per colpire organizzazioni governative negli Stati Uniti e in altri paesi, compagnie private, il settore dell’educazione e quello della sanità.
Quanto a ProLock, la minaccia procura guai inaspettati alle vittime che pagano il riscatto; il problema risiederebbe nel processo di cifratura parziale di file piuttosto grandi, che induce il tool di decifrazione a danneggiare i record.
Ancora in ambito cybercrime, è stato scoperto un gruppo mercenario russo di tipo hacker-for-hire – denominato Deceptikons – che ha come principali target studi legali e società fintech europee. Attivo da quasi un decennio, sembra mirare perlopiù a segreti commerciali e finanziari.

Sempre russa, ma decisamente di matrice state-sponsored, è invece la campagna di disinformazione Ghostwriter, che da almeno 3 anni opera in Lituania, Lettonia e Polonia.
Nel frattempo, l’Unione Europea ha emesso sanzioni all’indirizzo di Mosca, Pyongyang e Pechino per attività APT subite dalle proprie istituzioni e da quelle dei Paesi membri.

Un gravissimo potenziale data leak ha coinvolto decine di compagnie e istituti bancari di primo piano, fra cui Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Mercury Trade Finance Solutions e BNL. Ricercatori hanno scoperto in rete i codici sorgente di queste compagnie, esposti all’interno di repository con errate configurazioni nella relativa infrastruttura.
La compromissione dei token OAuth per GitHub e GitLab della piattaforma Waydev è invece alla base del data breach che ha coinvolto portali come Dave[.]com, il cui materiale – insieme a quello di altre 17 compagnie – è stato rilasciato gratuitamente dal gruppo ShinyHunters.

Oltre ai bollettini di Google per Chrome, di Mozilla e Cisco per diverse soluzioni, di Adobe per Magento, segnaliamo la risoluzione della vulnerabilità “BootHole” (CVE-2020-10713) di tipo buffer overflow, che impatta miliardi di sistemi Linux e Windows, e la pubblicazione di due gravi 0-day che affliggono Tor network e Tor browser. Il ricercatore che ha scoperto questi ultimi due bug ha annunciato il rilascio imminente di 3 ulteriori 0-day.

Chiudiamo con una notizia per “addetti ai lavori”: il team che gestisce il malware as-a-service Cerberus, efficace su sistemi Android, si scioglie e ha messo all’asta l’intera attività.

[post_tags]