Weekly Threats N. 42 2021

22 Ottobre 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Everest Team colpisce la SIAE
DDoS contro Regione Lombardia e Canton San Gallo in Svizzera
Continuano le campagne malware in Italia
Doppia compromissione del Desorden Group colpisce sistemi Acer in Asia
L’FBI ha smantellato i server del REvil TEam e altri aggiornamenti dal mondo ransomware
I russi FIN6 e FIN7 cambiano strategie
Twitter sospende account di un APT nordcoreano
È pubblica la Poc per un bug dei tablet Surface Pro 3 di Microsoft
“Easy Merchant for Money”: rete criminale del Palermitano manipolava pagamenti PoS

Questa settimana è stata caratterizzata da diverse notizie provenienti dall’Italia. Il giorno 20 i sistemi della SIAE sono stati bloccati dal ransomware dell’Everest Team. Gli avversari hanno rivendicato sul proprio sito la sottrazione di 60Gb di informazioni e hanno richiesto un riscatto di 3 milioni di euro in bitcoin. Il Direttore Generale della Società Italiana degli Autori ed Editori, Gaetano Blandini, ha dichiarato che non verrà dato seguito alla richiesta e che, come da prassi, è stata sporta una denuncia alla Polizia Postale e al Garante della Privacy. Risulterebbero esposti 28 mila documenti, fra cui carte di identità, contratti tra artisti e società, riconoscimenti di opere, codici IBAN.
Due diversi attacchi DDoS hanno interessato il portale della Regione Lombardia. Il primo è stato lanciato nella mattinata di venerdì 15 e si è protratto fino alle prime ore del pomeriggio. Il secondo risale alla notte fra martedì 19 e mercoledì 20 ed ha un’intensità tre volte superiore (circa 1,2 milioni di pacchetti UDP al secondo). In entrambi i casi gli IP di origine erano localizzati all’estero. ARIA S.p.A., l’Agenzia regionale per l’innovazione e gli acquisti, ha dichiarato che non si è corso alcun rischio per la riservatezza e l’integrità dei dati dei cittadini e che entrambe le ondate sono state prontamente bloccate. Sono in corso le indagini del caso.
Si segnala, a margine, un attacco DDoS anche contro i portali del Canton San Gallo e della Municipalità di San Gallo che lunedì 18 ha temporaneamente precluso i servizi online ai cittadini svizzeri.
Infine, non va abbassata la guardia sulle ormai quotidiane campagne malware contro utenze mail del nostro Paese. Il trojan bancario Ursnif è stato distribuito da false comunicazioni di Enel Energia. Invece, messaggi di posta che presentano una versione fraudolenta di firma digitale Dike InfoCert sono stati indirizzati principalmente verso domini della Pubblica Amministrazione e hanno veicolato Atera Agent, un tool legittimo di controllo remoto che può essere sfruttato a fini malevoli.

Novità di particolare interesse continuano ad arrivare dal panorama ransomware.
Acer ha subito nell’arco di una settimana due compromissioni da parte del Desorden Group. La prima ha interessato i sistemi indiani e l’altra quelli taiwanesi. Il team ha richiesto un solo riscatto, specificando che la seconda compromissione è servita a dimostrare il mancato intervento di sicurezza da parte della compagnia. Il rischio è che i comparti di Malesia e Indonesia siano ancora esposti.
Il REvil Team, invece, è stato costretto a interrompere le attività per la seconda volta nel giro di un mese. Un affiliato che si firma 0_neday ha reso noto sul forum underground XSS che avversari non identificati hanno compromesso il portale di pagamento Tor e il sito dei leak del gruppo. La notizia, pubblicata qualche giorno fa, ha trovato conferma nelle ultime ore. Secondo un’esclusiva di Reuters, l’FBI – in collaborazione con lo USCYBERCOM e le Forze di Intelligence anche di altri Paesi – avrebbe iniziato una serie di azioni distruttive contro operatori ransomware e il REvil Team sarebbe il primo obiettivo raggiunto.
Nel frattempo, però, si palesano ancora nuovi operatori e i vecchi cambiano strategie. Il BlackByte Team – che non attacca Paesi dell’ex-Unione Sovietica – distribuisce una minaccia di cui sembra sia già disponibile pubblicamente un decryptor. Atom Silo, noto per aver sfruttato la vulnerabilità RCE CVE-2021-26084 di Altassian Confluence, ha adottato la strategia della doppia estorsione. Evil Corp Team (TA505), il cui malware era stato raggiunto da sanzioni dirette del Governo americano, ha ora iniziato a distribuire il nuovo Macaw Locker.
Il cybercrime di alto livello non si limita però allo sfruttamento di ransomware. Il famigerato gruppo russo FIN6, che distribuisce TrickBot e BazarLoader, sembra aver stretto accordi di partenariato con il noto Shathak (TA551) e un non meglio precisato Hive0107. Questa inedita joint venture criminale sembra finalizzata al potenziamento e alla differenziazione della fase di distribuzione.
L’altro gruppo russo Anunak, alias FIN7, ha invece cominciato a spacciarsi per una società fantasma chiamata “Bastion Secure Ltd”, sul cui sito vengono pubblicate false offerte di lavoro nel campo della cybersecurity. Dietro ad esso, però, si cela il tentativo di distribuire i tool di post-exploitation Carbanak e Lizar/Tirion, già usati in passato per distribuire ransomware o effettuare attacchi ai sistemi PoS.

Continuiamo a dar conto di team strutturati, passando sul versante state-sponsored.
Harvester, un a realtà non ancora documentata, ha colpito soprattutto in Afghanistan con la backdoor custom Graphon.
L’iraniano OilRig ha arricchito il proprio arsenale con nuovi strumenti, fra cui le backdoor Kevin e James; queste nuove armi cyber sono state usate per lo spionaggio contro target in Tunisia.
UNC1945 (LightBasin), attivo almeno dal 2016 e noto per aver preso di mira principalmente server Linux e Solaris, continua da almeno un paio di anni ad attaccare Telco in tutto il mondo.
Nel frattempo, Twitter, su segnalazione del TAG di Google, ha sospeso due profili associati ai nordcoreani che a gennaio e marzo 2021 hanno realizzato una sofisticata operazione contro il comparto della cyber security. Gli avversari hanno tentato di infettare i sistemi di ricercatori in tutto il mondo. Sfruttando un blog e i profili social registrati appositamente, fingevano di distribuire PoC di exploit per vulnerabilità pubbliche.
È invece autentica la PoC rilasciata negli ultimi giorni per l’exploit di un bug che impatta i tablet Surface Pro 3 di Microsoft (CVE-2021-42299). La falla è stata corretta con un intervento out-of-band ed apre ad attacchi particolarmente complessi chiamati dai ricercatori di Google “TPM Carte Blanche2. Eventuali attaccanti possono manipolare i registri TPM e PCR per ottenere false convalide Device Health Attestation. Microsoft ha inoltre segnalato che altri dispositivi che utilizzano un simile BIOS, compresi quelli di altri produttori, possono essere vulnerabili.
Infine, sono stati rilasciati advisory per prodotti e soluzioni dei seguenti vendor: Mitsubishi Electric, Schneider Electric, Delta Electronics, Intel, Apache, AUVESY, Cisco, Google (Chrome).

Concludiamo la nostra rassegna con la notizia di una operazione della Polizia italiana chiamata “Easy Merchant for Money”.
Il Compartimento Polizia Postale e delle Comunicazioni Sicilia Occidentale della Polizia di Stato ha notificato 14 avvisi di conclusione indagini della Procura di Palermo nei confronti di cittadini palermitani indagati per avere creato false società di autonoleggio e B&B. L’obiettivo era quello di entrare in possesso di PoS abilitati ad operare sui più importanti circuiti di pagamento per effettuare transazioni fittizie con codici di carte di credito (perlopiù estere) rubati.

[post_tags]

Anunak Atera Agent Atom Silo BlackByte Team Carbanak CVE-2021-26084 CVE-2021-42299 Desorden Group Everest Team Evil Corp Team FIN6 FIN7 Hive0107 James Kevin LightBasin Lizar OilRig REvil team Shathak TA505 TA551 UNC1945 Ursnif

Contenuti correlati

Le campagne filoiraniane in Albania contestano la presenza dei mujaheddin

L’impatto delle campagne a fini estorsivi nei casi eclatanti di TA505 e PLAY Team

L’Italia nel mirino di nuove offensive, tracciate attività state-sponsored in Asia, CVE sfruttate da avversari ransomware