Negli ultimi giorni abbiamo dato conto di campagne che hanno interessato utenti italiani basate principalmente sulle minacce Agent Tesla, FormBook e Ursnif.
Ma il versante che ha destato maggior interesse nel nostro Paese è stato quello hacktivista. I team associati LulzSecITA e Anonymous Italia hanno messo a segno diverse violazioni e annunciano nuovi sviluppi. Fra le vittime più recenti vi sono l’Agenzia nazionale per i servizi sanitari regionali (Agenas) e il Dipartimento di Epidemiologia del Servizio Sanitario Regionale del Lazio (DEP).
Non finiscono, poi, i guai per tutti i portali che adottano il content management system di ISWEB. Gli hacktivisti – che hanno già compromesso i sistemi di Agid, Camera di Commercio di Roma e Istituto Poligrafico e Zecca dello Stato italiano (IPZS) sfruttando una vulnerabilità di quel CMS – hanno annunciato di aver scoperto un nuovo 0-day che starebbero già utilizzando.

Sulla scena internazionale, invece, continuano ad operare numerosi ransomware noti e inediti. Ensiko emerge ora sulle scene. È una web shell PHP dotata di numerose funzionalità: scansiona i server alla ricerca di altre web shell, invia e-mail in massa, opera defacement, lancia attacchi di brute-forcing, scarica altri malware; come cryptor usa RIJNDAEL 128 in modalità CBC e appende ai documenti l’estensione .bak.
Phobos continua ad agire in una nuova variante. Nefilim ha messo a segno un’azione contro la multinazionale tedesca Dussmann Group. NetWalker è invece finito nel mirino dell’FBI che, in un alert recente, mette in guardia gli utenti di Pulse VPN nelle versioni vulnerabili alla CVE-2019-11510 e di Telerik UI esposta alla CVE-2019-18935; il ransomware avrebbe sfruttato anche questi bug per colpire organizzazioni governative negli Stati Uniti e in altri paesi, compagnie private, il settore dell’educazione e quello della sanità.
Quanto a ProLock, la minaccia procura guai inaspettati alle vittime che pagano il riscatto; il problema risiederebbe nel processo di cifratura parziale di file piuttosto grandi, che induce il tool di decifrazione a danneggiare i record.
Ancora in ambito cybercrime, è stato scoperto un gruppo mercenario russo di tipo hacker-for-hire – denominato Deceptikons – che ha come principali target studi legali e società fintech europee. Attivo da quasi un decennio, sembra mirare perlopiù a segreti commerciali e finanziari.

Sempre russa, ma decisamente di matrice state-sponsored, è invece la campagna di disinformazione Ghostwriter, che da almeno 3 anni opera in Lituania, Lettonia e Polonia.
Nel frattempo, l’Unione Europea ha emesso sanzioni all’indirizzo di Mosca, Pyongyang e Pechino per attività APT subite dalle proprie istituzioni e da quelle dei Paesi membri.

Un gravissimo potenziale data leak ha coinvolto decine di compagnie e istituti bancari di primo piano, fra cui Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Mercury Trade Finance Solutions e BNL. Ricercatori hanno scoperto in rete i codici sorgente di queste compagnie, esposti all’interno di repository con errate configurazioni nella relativa infrastruttura.
La compromissione dei token OAuth per GitHub e GitLab della piattaforma Waydev è invece alla base del data breach che ha coinvolto portali come Dave[.]com, il cui materiale – insieme a quello di altre 17 compagnie – è stato rilasciato gratuitamente dal gruppo ShinyHunters.

Oltre ai bollettini di Google per Chrome, di Mozilla e Cisco per diverse soluzioni, di Adobe per Magento, segnaliamo la risoluzione della vulnerabilità “BootHole” (CVE-2020-10713) di tipo buffer overflow, che impatta miliardi di sistemi Linux e Windows, e la pubblicazione di due gravi 0-day che affliggono Tor network e Tor browser. Il ricercatore che ha scoperto questi ultimi due bug ha annunciato il rilascio imminente di 3 ulteriori 0-day.

Chiudiamo con una notizia per “addetti ai lavori”: il team che gestisce il malware as-a-service Cerberus, efficace su sistemi Android, si scioglie e ha messo all’asta l’intera attività.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi