Weekly Threats N. 25 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• tracciate varie campagne malevole in Italia,
• VPN e firewall ZyXell nel mirino di un avversario sofisticato,
• numerose novità e aggiornamenti dal panorama ransomware,
• milioni di dispositivi Dell vulnerabili ad exploit chain,
• esposto per mesi database del registrar APNIC,
• condannato un cittadino ucraino membro di FIN7.

Negli ultimi giorni numerose campagne cybercrime hanno mietuto vittime in Italia: diverse operazioni globali basate su SnakeKeylogger hanno raggiunto anche utenze mail del nostro Paese, Ursnif continua ad usare come esca comunicazioni del corriere BRT, LokiBot e FormBook distribuiscono ZIP malevoli.

Il phishing, invece, ha cavalcato i temi del rimborso Eni Gas e Luce e delle proposte di vendita. Va segnalato anche un caso di frode nel quale le vittime sono indotte a trasferire denaro direttamente agli avversari: una finta comunicazione della Direzione generale delle dogane richiede il pagamento di cifre che vanno fino a 100 euro tramite Paysafecard.

Desta una certa preoccupazione la segnalazione diffusa da Zyxel in merito a un attore sofisticato che sembra sfruttare attivamente vulnerabilità di appliance aziendali come firewall e VPN. L’avversario prova ad accedere ai sistemi via WAN e, se ci riesce, aggira l’autenticazione e stabilisce tunnel SSL VPN con account di utenti ignoti per arrivare a manipolare le configurazioni del dispositivo. Sono state già fornite raccomandazioni per la mitigazione dei rischi.

Nel frattempo, si sta verificando un altro incidente, i cui contorni sono tutti da chiarire, che coinvolge My Book Live: molti possessori di questi NAS stanno riscontrando la totale cancellazione dei dati archiviati sui loro sistemi. Il produttore Western Digital raccomanda di disconnettere gli apparati dalla rete fino a nuova comunicazione da parte dell’azienda.

Il panorama ransomware riserva le maggiori novità di questa settimana. Si ipotizza che il portale della Municipalità di Liegi, che ha subito numerosi e pesanti disservizi, sia stato colpito da Ryuk di FIN6. RagnarLocker Team ha messo a segno un’azione contro ADATA, produttore taiwanese di chip di archiviazione e RAM, e da circa un mese continua a far pressioni sulla vittima rilasciando parte degli 1,5 TB di dati sottratti.

Clop, nonostante l’arresto di 6 individui accusati di far parte del gruppo che distribuisce questa minaccia (TA505), sembra aver messo a segno altre due violazioni negli Stati Uniti; il dubbio è che si tratti di attacchi precedenti all’operazione di Polizia resa nota dalle Autorità ucraine.

In Israele è stato scoperto un cryptor non ancora documentato ma attivo almeno dalla metà del 2020 chiamato EVER101. Un dettaglio curioso, il 18 maggio 2020, un movimento in bitcoin di circa 590 dollari associabile al ransomware è stato inviato alla piattaforma RubRatings che offre massaggi erotici nelle maggiori città degli Stati Uniti. Alcuni analisti hanno rilevato sample di LV che presentano numerose similitudini con REvil il quale, dal canto suo, ha appena rivendicato il breach al retailer britannico FCUK.

Nuova veste per il codice di DJVU, che continua però a spacciarsi per crack di popolari software, e nuove funzionalità per MountLocker, che ora sfrutta VM VirtualBox per eludere la detection; descritte nel dettaglio le TTP di FIVEHANDS, associato al gruppo individuato con la sigla UNC2447; il Pysa team ha introdotto nel proprio arsenale il sofisticato RAT ChaChi.

Nel campo vulnerabilità segnaliamo problemi per Dell e Atlassian. Nel caso di Dell, milioni di dispositivi della compagnia statunitense sono impattati da 4 bug della feature del BIOS chiamata BIOSConnect. Se fruttati in chain (CVE-2021-21571, CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) possono consentire di eseguire codice arbitrario in ambiente pre-boot. Il problema che riguarda il sito è stato corretto il 28 maggio; la soluzione degli altri 3 richiede l’update del BIOS/UEFI, ma al momento si raccomanda di non usare BIOSConnect per l’aggiornamento del firmware e di procedere all’esecuzione dell’update dopo aver confrontato manualmente i rispettivi hash con quelli pubblicati da Dell.Quanto ad Atlassian, ricercatori di sicurezza hanno scoperto nel sito della compagnia una serie di vulnerabilità che, se concatenate, possono essere utilizzate per prendere il controllo di un account e gestire alcune delle applicazioni collegate tramite SSO con lo scopo di portare avanti attacchi supply chain.

Chiudiamo con le notizie di un potenziale breach e di una condanna definitiva.

APNIC, il registro degli indirizzi internet per la regione Asia-Pacifico, ha esposto per almeno tre mesi gli hash delle password degli amministratori di un database, mettendo a rischio di corruzione o falsificazione i dati di Whois. In questo caso, però, non sono state rilevate evidenze che ciò sia avvenuto.

Infine, il cittadino ucraino Andrii Kolpakov, arrestato in Spagna il 28 giugno 2018, è stato condannato negli Stati Uniti a 7 anni di carcere e ad un risarcimento di 2,5 milioni di dollari. Veniva chiamato “il pentester” per via del suo compito in FIN7. Anche grazie al suo operato è stata possibile l’esfiltrazione dei dati di 20 milioni di carte di credito/debito poi rivendute in marketplace underground.