Weekly Threats N. 20 2021

Questa settimana:
• i ransomware hanno dominato la scena;
• sono state tracciate campagne malware e di phishing contro utenze italiane;
• il sito di una compagnia americana che opera in un settore critico è stato utilizzato come base di un attacco “watering hole”;
• nella striscia di Gaza è stato distrutto un edificio per sospette attività cyber contro lo stato di Israele;
• è stato diffuso il breach di un popolare provider di soluzioni software per la sicurezza;
• sono stati rivelati 0-day di Android già corretti;
• sono stati rilasciati bollettini per diversi prodotti.

Il panorama italiano continua ad essere segnato da campagne malevole veicolate via email su vari temi esca:
• Dridex si nasconde dietro finte fatture Quickbooks;
• FormBook viene diffuso tramite una e-mail che sembra spedita da una compagnia di Dubai;
• Tramite finte comunicazioni di Banca Mediolanum vengono sottratti dati personali alle vittime;
• QakBot, che con un tempismo non proprio perfetto viene distribuito via messaggi di auguri di Buona Pasqua, si guadagna il primato di essere il caso più curioso.

A livello internazionale sono due le notizie di maggior rilievo:
Emergono ora i dettagli di una campagna di watering hole risalente a dicembre 2020 che ha visto coinvolta una compagnia del settore idrico in Florida: gli avversari hanno infettato un sito della società con uno script che ha permesso loro di ottenere il fingerprinting dei browser degli utenti che visitavano il sito. L’ipotesi è che i dati legittimi esfiltrati possano essere utilizzati per mascherare le operazioni della botnet Tofsee.
Lo Stato di Israele ha rivendicato il bombardamento, lanciato fra il 14 e il 19 maggio, contro due edifici nella Striscia di Gaza. Secondo l’account Twitter ufficiale dell’Israel Air Force si sarebbe trattato di un sito di stoccaggio di attrezzature informatiche e di un appartamento che ospitava la sede operativa per attività informatica offensiva.

Passiamo alla vasta rassegna di attività ransomware.
Gli operatori di Darkside – probabilmente una crew nella quale parteciperebbe anche il team russo Anunak – dopo il colpo messo a segno contro la Colonial Pipeline e sulla scia delle ritorsioni annunciate dal Presidente Biden, hanno dichiarato di aver perso il controllo dell’infrastruttura. Il sospetto diffuso è che si tratti di un escamotage per coprire un cambio di strategia. Nel frattempo, anche Toshiba – nello specifico una sussidiaria francese del colosso giapponese – è stata colpita dal cryptor. In questo attacco, ricercatori di sicurezza hanno individuato una nuova variante di DarkSide, più sofisticata, che mira alle partizioni del disco.
Possibile annuncio di chiusura anche per Qlocker, minaccia che ha preso di mira esclusivamente appliance vulnerabili QNAP NAS. QNAP ha a sua volta rilasciato advisory di sicurezza su una vulnerabilità RCE in Roon Server già sfruttata in the wild e su possibili attacchi basati sul ransomware eCh0raix contro i propri dispositivi NAS.
Anche Avaddon ha mietuto una vittima eccellente: il colosso delle assicurazioni AXA Group ha confermato la compromissione dei sistemi IT dell’Asia Assistance in Tailandia, Filippine, Malesia, Hong Kong. L’Avaddon Team rivendica anche la sottrazione di 3 Tb di record e minaccia attacchi DDoS in caso di insolvenza.
Conti, associato al team russo FIN6, ha colpito duramente il settore sanitario irlandese paralizzando gli ospedali e arrivando a compromettere anche il Dipartimento della Salute (DoH); si parla che sia stato richiesto un riscatto di 10 milioni di dollari per i circa 700 GB di dati rubati dal malware. Tuttavia, il programma di vaccinazione per COVID19 non ha registrato battute d’arresto.
Sono state poi tracciate campagne basate su WastedLocker, in combinazione con l’exploit-kit RIG, e su Hentai Onichan, tramite false fatturazioni DocuSign.

Guai per Rapid7 che ha subito il breach di parti di codice relative al servizio MDR; l’accesso a parte dei relativi repository – contenenti strumenti interni fra cui anche credenziali – sarebbe avvenuto a seguito della compromissione del servizio Bash Uploader di Codecov.

Chiudiamo con alcuni bollettini di sicurezza.
Google ha aggiornato l’advisory di maggio per Android segnalando il possibile sfruttamento di 4 vulnerabilità, già risolte, nell’ambito di operazioni mirate e limitate: si tratta di CVE-2021-1905, CVE-2021-1906, che impattano componenti Qualcomm, e CVE-2021-28663, CVE-2021-28664 per componenti ARM.
Sono state rilasciate segnalazioni e correzioni anche per SonicWall, Kaymera (CipherBond), Rockwell Automation, Omron, Mozilla, Johnson Controls Sensormatic, OPC UA Foundation, Emerson, F5 Networks, Apple, Cisco, VMware.

[post_tags]