Weekly Threats N. 43 2020

Questa settimana sono emerse novità interessanti nel panorama APT, soprattutto di matrice russa; nel contesto italiano continuano ad essere tracciate campagne malware e di phishing; a livello internazionale proseguono le numerose attività dei ransomware ed emergono due minacce mirate contro il Brasile; da segnalare poi un databreach di dimensioni significative e alcuni bollettini di sicurezza schedulati e straordinari.

Email che si fingono comunicazioni dell’INPS o dell’Agenzia delle Entrate continuano a distribuire Ursnif a utenti italiani; Emotet invece sfrutta false segnalazioni tecniche su aggiornamenti di Microsoft; il logo di Enel viene abusato invece per campagne di phishing.

Sandworm è finito nel mirino delle autorità americane in almeno due occasioni. Il 15 ottobre il Dipartimento di Giustizia di Pittsburgh ha emanato un atto di accusa contro 6 cittadini russi, membri dell’Unità 74455 del GRU (Russian Main Intelligence Directorate) – l’agenzia di intelligence militare dello Stato maggiore delle forze armate. Nei documenti del tribunale si afferma che i sei individui – ritenuti afferenti a Sandworm – hanno condotto attacchi “distruttivi” per conto e su ordine del Governo russo con l’intento di destabilizzare altri Paesi, interferire nella loro politica interna e causare caos e danni economici. Pochi giorni dopo un alert congiunto di CISA ed FBI ha riferito in merito a compromissioni associabili sempre a questo avversario contro entità governative locali e dell’aviazione; parte di esse sarebbero andate a buon fine.
Un secondo alert di CISA ed FBI riguarda invece operazioni condotte da avversari iraniani mirate a destabilizzare il clima elettorale nel Paese. Sarebbero state inviate email con indirizzi spoofati e contenenti messaggi propagandistici antiamericani o informazioni depistanti sulle modalità del voto. Le compromissioni avrebbero avuto inizio almeno ad agosto 2019 e sarebbero avvenute grazie anche agli exploit per le falle CVE-2020-5902 e CVE-2017-9248.
Ancora un alert USA, questa volta dell’NSA, riferisce di attività sponsorizzate da Pechino e basate sugli exploit di ben 25 vulnerabilità. Fra i target vi sarebbero il National Security Systems (NSS), la US Defense Industrial Base (BIB) ed i sistemi informatici del Dipartimento di Difesa (DoD).

Il panorma ransomware è sempre in fermento. Egregor Team ha rivendicato attacchi contro le compagnie di videogame Ubisoft e Crytek, rilasciando sul proprio sito una parte di informazioni a scopo estorsivo. Il LockBit Team ha firmato 8 attacchi contro piccole organizzazioni. Ryuk sembra essere il responsabile dell’incidente occorso alla francese Sopra Steria Group SA, leader nel campo della consulenza informatica che vanta clienti come BNP Paribas, HSBC, Crédit Agricole, RBS, Huyndai Capital e Bank of China. Infine, ThunderX torna in una nuova versione rinominata Ranzy Locker; anche questo ransomware dispone di un portale, chiamato eloquentemente Ranzy Leak.

In Brasile sono state tracciate due nuove minacce di ambito finanziario. Si tratta nello specifico dei trojan Vizom, che si basa su attacchi overlay per rubare account bancari, e l’omologo BOM, che viene distribuito grazie al framework SolarSys.

Si torna a parlare di databreach con la messa in vendita di 3 milioni di numeri di carte di credito sottratti ai sistemi PoS della Dickey’s Barbecue Pit, una catena di fast-food americana; il materiale è disponibile sulla famosa piattaforma Joker’s Stash.

Fra i bollettini di sicurezza rilasciati in questi giorni spicca quello di Google per Chrome; la versione 86 del browser corregge fra gli altri un bug già sfruttato in the wild (CVE-2020-15999). Microsoft ha poi rilasciato patch straordinarie per due RCE: CVE-2020-17022 (Windows Codecs) e CVE-2020-17023 (Visual Studio Code). Oracle ha risolto un totale di 402 bug nei propri prodotti. Adobe ha pubblicato 10 advisory che contemplano falle perlopiù critiche. Aggiornamenti rilevanti anche per JunosOS e altre soluzioni di Juniper.