Weekly Threats N. 53 2020

Questi giorni festivi sono stati segnati da diversi incidenti che hanno coinvolto realtà italiane; continuano gli attacchi ransomware a livello globale; dal mondo cybercrime si registrano campagne di cryptomining fraudolento e l’emersione di minacce e avversari non ancora documentati.

Snaitech, uno dei principali operatori di gioco in Italia, ha subito una compromissione che ha determinato il blocco dei servizi per il portale e l’applicazione ufficiale.
La compagnia Irbm, che sta collaborando con Oxford alla realizzazione del vaccino contro il COVID19, ha denunciato possibili attacchi contro i propri sistemi; sono in corso le indagini della Polizia Postale.
Una campagna malware ha invece distribuito, oltre a false applicazioni di Credem, Amazon, Ebay, Fineco, Intesa San Paolo, Paypal, anche un APK malevolo che imita Immuni, l’utility per il tracciamento della pandemia da Coronavirus; le vittime sono state raggiunte da uno spyware per Android derivato da Anubis.
Data breach, invece, per ho Mobile, il provider italiano di telefonia che fa parte del gruppo Vodafone; sarebbero stati messi in vendita in un forum underground 2,5 milioni di record degli utenti comprendenti, fra gli altri dati, email, codice fiscale, numero di telefono, ICCID (Integrated Circuit Card Identity) della SIM, indirizzo, città.

A livello internazionale si segnala un altro breach ai danni di un provider di telecomunicazioni; T-Mobile ha confermato l’esposizione delle customer proprietary network information (CPNI) relative a un numero limitato di clienti.
Dal versante crime giungono anche notizie di due operazioni mirate a distribuire il noto miner per Monero XMRig. Una ha compromesso Active Directory di numerosi network aziendali; l’altra, sfruttando un dropper in Golang, ha preso di mira database MySQL ed i pannelli di amministrazione Tomcat e Jenkins con password deboli presenti su piattaforme Linux e Windows.
I ransomware restano comunque fra le minacce più sfruttate. Nefilim ha rivendicato la violazione dei sistemi della Whirlpool; gli avversari avrebbero intrattenuto con la vittima lunghe trattative sul pagamento del riscatto e, non essendo riusciti a giungere ad un accordo, sarebbe stato avviato il rilascio di una parte delle informazioni esfiltrate.
Hades ha raggiunto la Forward Air Corporation, società americana specializzata nel settore della logistica e del trasporto aereo; sono stati coinvolti i sistemi operativi ed informatici contenenti i documenti necessari per il rilascio dei carichi dalle dogane, e ciò ha causato ritardi nel servizio.
FIN6 ha rivendicato un’azione basata sul cryptor Conti ai danni del Leon Medical Centers della Florida.
Ignota la causa di un cyberattacco contro la giapponese Kawasaki; il fatto, si legge in un comunicato ufficiale rilasciato dalla compagnia, è emerso a seguito di un audit interno.
Restano tutte da stabilire le dinamiche di un altro attacco, subito dal Parlamento Finlandese, sul quale sta al momento investigando il National Bureau of Investigation.

Chiudiamo la nostra rassegna con due novità in campo cybercrime. È stato tracciato un gruppo dedito allo sfruttamento di script con funzioni di skimmer; attivo almeno dal 2015 e ribattezzato UltraRank, il team si differenzia dagli altri della stessa tipologia perché non cede a terzi i dati rubati, ma ha creato un proprio sito web sul quale mette in vendita quanto esfiltrato.
Infine, è stato scoperto un DaaS (dropper as a service) chiamato Brunhilda che è stato distribuito sfruttando applicazioni presenti nel Google Play Store e ha diffuso il trojan bancario Alien.

[post_tags]