Weekly Threats N. 24 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi

– Il database con informazioni su 7 milioni di cittadini italiani vaccinati è stato venduto
– Allarme per un disservizio di Prolexic Routed di Akamai
– Arrestati alcuni sospetti operatori del ransomware Clop e un individuo per la botnet Khelios
– Tracciate numerose campagne ransomware
– Descritte operazioni APT di varia matrice
– Corretti bug 0-day di Chrome e iOS già sfruttati in the wild

La vicenda che ha visto coinvolti i dati di oltre 7 milioni di italiani vaccinati per il COVID19 ha continuato ad essere oggetto di speculazioni da parte degli analisti e non solo. L’autore del dump, che si firma Mastiff, ha dichiarato di aver raccolto i record da diversi database a cui avrebbe avuto accesso sfruttando vulnerabilità o debolezze dei sistemi che li ospitano; il materiale avrebbe trovato acquirenti e non è più disponibile. Il breach avrebbe riguardato diversi portali regionali (si parla di 5-6 applicazioni per le prenotazioni), perlopiù del centro-sud Italia; il principale sospettato è quello della Campania, dal quale sarebbero stati esfiltrati oltre 4 milioni di contatti grazie a una falla SQL-injection.

Nel frattempo, continuano le indagini sull’attacco subito da Luxottica nel settembre 2020 e rivendicato da Nefilim Team; disposte perquisizioni domiciliari e informatiche in molte regioni, con particolare concentrazione in Veneto ed Emilia Romagna.

Scoperta la causa dei disservizi occorsi il 17 giugno a Prolexic Routed 3.0 di Akamai che hanno avuto ricadute su organizzazioni come la Commonwealth Bank of Australia, Westpac, American Airlines, Southwest Airlines e l’Hong Kong Stock Exchange. Si deve tutto a un’errata configurazione di una tabella di routing del servizio di protezione da attacchi DDoS, che ha impedito l’accesso a numerosi siti web.

Due sono le notizie provenienti dal DoJ (Department of Justice) statunitense. La prima riguarda la Corte Federale di Hartford che ha messo sotto accusa un cittadino estone naturalizzato russo, un 41enne che risponde al nome di Oleg Koshkin, per aver fornito sistemi di protezione alla botnet Khelios. L’altra riguarda l’FBI che, in collaborazione con le Autorità di Olanda, Romania e Germania, ha smantellato il market online Slilpp. Questo portale, attivo almeno dal 2012, ha facilitato la commercializzazione di coordinate e dati bancari mettendo a disposizione un forum e un apparato per le transazioni.
Inoltre, un’operazione di Polizia che ha visto l’interazione delle Forze di Ucraina, Repubblica Ceca e Stati Uniti si è conclusa con l’arresto di 6 individui accusati di essere fra gli operatori del ransomware Clop, associato al gruppo cybercrime TA505; confiscati anche 5 milioni di grivnie cash (circa 185.000 dollari).

Ma il panorama ransomware continua ad essere segnato da campagne anche di alto livello e dall’emersione di nuove minacce.
REvil team ha rivendicato la compromissione della multinazionale per le energie rinnovabili Invenergy; la società, che ha base negli Stati Uniti, non pagherà il riscatto, nel rispetto delle leggi sui data breach.
Mentre gli analisti continuano a fornire dettagli sempre più precisi sulle TTP di ransomware come Conti, Hades, gli stessi Clop e REvil, vengono alla luce nuovi codici malevoli, più o meno sofisticati.
DarkRadiation, che dispone anche di pericolose funzionalità worm, prende di mira diverse distribuzioni Linux e sfrutta exploit per falle di Red Hat e CentOS (come ad esempio CVE-2017-1000253). Black Kingdom, sviluppato in modo incerto probabilmente da un non professionista, sfrutta le recenti vulnerabilità ProxyLogon di Microsoft Exchange Server e ha già raggiunto qualche vittima in Italia e Giappone.

Per un gruppo che sembra segnare una battuta di arresto, ce c’è un altro che inizia a differenziare le proprie attività. Una mail che finge di provenire dall’FBI ha distribuito oltre mille chiavi di decrittazione per Avaddon e il relativo sito .onion per le contrattazioni risulta offline. Il team UNC2465, uno fra quelli che avrebbero distribuito DarkSide negli ultimi tempi, ha messo a segno un attacco supply chain abusando del portale di un provider di videocamere di sicurezza CCTV; i payload finali non sono noti, ma i ricercatori non hanno trovato tracce nei sistemi colpiti di alcun ransomware.

Sono senza sosta anche le operazioni APT. ll sottogruppo di Lazarus noto come Andariel ha ripreso ad attaccare in Corea del Sud dopo un periodo di relativo silenzio. In Polonia si segnalano attacchi contro entità governative che avrebbero raggiunto anche Michal Dworczyk, il direttore del programma vaccinale.
L’Iran fa parlare di sé con due compagini. Ferocius Kitten, che non è chiaramente riconducibile a realtà note, ha condotto dal 2015 una campagna di spionaggio in Medio Oriente con il malware MarkiRAT. Il celeberrimo APT OilRig ha distribiuto Karkoff e SideTwist a un’organizzazione militare e una telco in Libano. I palestinesi Molerats, dal canto loro, hanno arricchito l’arsenale con l’infostealer LastConn.

Negli utlimi giorni sono stati rilasciati advisory per QNAP, Firefox, SonicWall, Cisco e per il plugin di WordPress WooCommerce Stock Manager. Ma la maggiore attenzione va prestata ai bollettini di Google per Chrome e di Apple per iOS. Il browser risolve, fra gli altri, il bug CVE-2021-30554, già sfruttato in the wild; la versione 12.5.4 del sistema operativo contiene la patch anche per CVE-2021-30761 e CVE-2021-30762, anch’esse già sfruttate in attacchi reali.