Le notizie italiane dominano la rassegna di questa settimana; tornano a colpire compagini APT note ed emerge un nuovo gruppo cybercrime strutturato; confermato data breach da uno dei maggiori provider di soluzioni cloud; bollettini di sicurezza schedulati e straordinari correggono numerose falle tra cui anche due 0-day sfruttati.

Nel nostro Paese non conoscono pause le campagne di distribuzione malware – soprattutto ransomware – e quelle finalizzate al phishing.
Il team che distribuisce il ransomware Avaddon ha raggiunto i sistemi del Comune di Villafranca d’Asti; inoltre, sebbene avesse intenzione di colpire l’Unione di Comuni Colli del Monferrato con un attacco DDoS, in realtà ha raggiunto l’Unione dei Colli DiVini nel Cuore del Monferrato; sul proprio portale dei leak gli avversari sostengono di detenere documenti finanziari e bancari, accordi, contratti, fatture di pagamento, domande, permessi di soggiorno, carte d’identità, cartelle cliniche, documenti personali e molto altro.
Il DarkSide Team, invece, ha messo a segno una compromissione contro la Banca di Credito Cooperativo di Roma (gruppo ICCREA): ne hanno fatto le spese 188 filiali.
Il Babuk Locker Team, infine, ha rivendicato la sottrazione di 10TB di dati alla multinazionale farmaceutica italiana Zambon; durante l’attacco, che si è protratto per circa 7 mesi, sono state fatte copie dei server (sono state pubblicate anche foto dei dischi virtuali VHDX); la compagnia sostiene di aver arginato l’incidente in poco tempo e riconosce un blocco della produzione di 5 giorni.
Nel frattempo, Agent Tesla ha abusato del nome di una compagnia spagnola; Mekotio è stato veicolato da email che sembravano inviate da un fantomatico “Governo italiano”; FormBook ha sfruttato il brand DHL. Quanto al phishing, sono state tracciate email a tema Fideuram e Bartolini.
Spicca poi un caso di BEC (business email compromise), scoperto dalla Polizia postale di Gorizia, che si è concluso con l’arresto di un soggetto accusato di essere stato il “money mule” (colui che mette a disposizione il proprio conto bancario per l’accredito fraudolento di denaro) in almento due episodi criminali.
Ancora un italiano sembra essere l’autore e il gestore di alcuni malware as-a-service. ComplexCodes, questo il nickname che adotta nei forum underground, ha realizzato e distribuito di recente WeSteal (che sottrae wallet di cryptovaluta) e WeControl (una ibridazione di RAT e botnet).

Anche sul versante crime globale sono protagonisti i ransomware. Un gruppo strutturato e motivato finanziariamente – individuato con la sigla UNC2447 – ha distribuito il crypter FIVEHANDS (che sembra essere una derivazione diretta di DEATHRANSOM e un parente stretto di HelloKitty) in associazione con SombRAT e il dropper WARPRISM. Tali minacce potrebbero essere nella disponibilità di diversi team affiliati che agiscono anche autonomamente. È ricomparso AgeLocker, il ransomware che adotta Age (Actually Good Encryption), un software progettato per sostituire GPG e basato sugli algoritmi X25519, ChaCha20-Poly1305 e HMAC-SHA256: la minaccia mira a compromettere i NAS QNAP. Un attacco supply-chain contro il gestore di password “Passwordstate“ ha consentito agli attaccanti di procurarsi tutte le credenziali salvate, oltre che informazioni come username, nome del dominio, processi in esecuzione e quello corrente con relativi ID, servizi in esecuzione, indirizzo del server proxy dell’istanza Passwordstate.
Data breach anche per il provider DigitalOcean; l’incidente è stato confermato ufficialmente. Risultano esposti dati di alcuni clienti come nome, indirizzo, ultime 4 cifre del numero di carta di pagamento, relativa data di scadenza e intestatario; restano da stabilire le dimensioni del caso.
La storia di Emotet, la cui rete è già stata smantellata a seguito di un’operazione internazionale guidata dall’Europol, ora si avvia verso la conclusione; la stessa agenzia europea ha avviato il 25 aprile il killswitch che, grazie alla libreria EmotetLoader.dll e a server C&C approntati dalla Germania, ha portato alla rimozione della minaccia da tutti i sistemi infettati.

Nel panorama delle operazioni state-sponsored, continua a colpire la campagna di matrice russa GhostWriter, volta perlopiù a manipolare l’opinione pubblica delle Repubbliche baltiche contro l’operato della NATO; nel mirino delle operazioni più recenti sono finiti militari, politici e figure del Governo della Polonia.
Fra giugno 2019 e marzo 2021 l’APT cinese NAIKON ha lanciato una campagna di spionaggio contro entità governative del sudest asiatico utilizzando, fra l’altro, le backdoor RainyDay e Nebulae.
I nordcoreani di Lazarus hanno attaccato una grande casa farmaceutica di cui non è stato rivelato il nome. L’incidente risale al settembre 2020; tecniche di social engineering che hanno coinvolto LinkedIn e Telegram sono servite per avere l’accesso iniziale; poi, in 4 giorni gli avversari hanno preso il controllo parziale dei sistemi sfruttando tool custom e disponibili pubblicamente riuscendo ad esfiltrare informazioni.

Chiudiamo con alcune segnalazioni di vulnerabilità. Gli aggiornamenti di Apple correggono nel complesso oltre 80 bug; fra di essi compaiono due 0-day già sfruttati in the wild: uno è CVE-2021-30657, che coinvolge Gatekeeper, utilizzato per la distribuzione del malware Shlayer; l’altro è CVE-2021-30661. Rilasciati update e patch anche per Jenkins, Eaton, Horner Automation, Citrix, Chrome, Cisco, F5 Networks, Fortinet, NVIDIA, PHP composer e per la falla CVE-2020-28588 del kernel Linux.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi