Weekly Threats N. 4 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• LockBit Team: colpiti il Ministero di Giustizia francese e La Ponte Marmi S.r.l.
• Tiscali: messe in vendita 2.000 credenziali di accesso alle mailbox
• Russia: attacchi incrociati in Bielorussia, Ucraina e Canada
• Apple: corretto uno 0-day sfruttato ITW

Anche questa settimana si segnalano vittime eccellenti dei ransomware.
Il LockBit Team ha colpito, fra gli altri, il Ministero di Giustizia francese e l’azienda veronese La Ponte Marmi S.r.l. Inoltre, un ransomware non ancora individuato ha procurato disservizi ai sistemi del Comune di Rivoli, in Piemonte.

Sempre in ambito nazionale, in un forum underground sono stati messi in vendita poco più di 2.000 credenziali di accesso alle mailbox Tiscali dall’utente Mont4na, che nei mesi scorsi aveva offerto sul mercato presunte vulnerabilità SQL-injection dei sistemi della telco italiana.

L’area ex-sovietica continua ad essere al centro dell’attenzione internazionale.
Il gruppo dissidente Belarusian Cyber-partisans ha rivendicato via Twitter un attacco ransomware contro i sistemi ferroviari della Bielorussia. Le due condizioni specifiche indicate per il rilascio delle chiavi di decifrazione sono la scarcerazione di 50 prigionieri politici e l’impedimento dell’ingresso di unità militari russe sul territorio nazionale.
Quanto all’Ucraina, un utente soprannominato FreeCivilian ha annunciato su un noto forum underground la vendita di dati personali di milioni di cittadini ucraini che sarebbero stati in parte esfiltrati dal portale di servizi amministrativi Diia. Nel frattempo, il CERT ucraino sostiene che il wiper WhisperGate, distribuito nei recenti attacchi ai siti governativi, sia derivato dal ransomware WhiteBlackCrypt – che in passato i russi avevano tendenziosamente attribuito alle Special Operations Forces (SSO) ucraine. Kiev ipotizza quindi un tentativo di depistaggio da parte di Mosca.
Si sospetta la matrice russa anche per un attacco ransomware subito il 19 gennaio dal Dipartimento degli Affari Esteri canadese. Si tratterebbe di una ritorsione contro le posizioni apertamente filoucraine assunte da Ottawa in questo periodo di forti tensioni politiche.
Intanto, il Global Engagement Center del Dipartimento di Stato americano ha delineato ruolo e funzioni di Russia Today e Sputnik, due media chiave su scala internazionale per il Cremlino, nelle attività di propaganda estera e disinformazione architettate dalla Russia.

Il 27 gennaio Apple ha rilasciato aggiornamenti per i propri sistemi operativi e per Safari. Tra i bug sanati vi è anche uno 0-day già sfruttato In The Wild (CVE-2022-22587) che permette l’esecuzione di codice con privilegi kernel.