Weekly Threats N. 16 2022

22 Aprile 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Five Eyes: advisory congiunto su possibili attacchi russi
Ucraina: tracciate ulteriori attività malevole
KillNet: il gruppo risponde all’esercitazione NATO Locked Shields 2022
REvil Team: tornano attivi i server del gruppo
Italia: segnalate nuove offensive ransomware

Nell’ultima settima, le Autorità di sicurezza informatica dell’Alleanza Five Eyes (composto da Stati Uniti, Australia, Canada, Nuova Zelanda e Regno Unito) hanno rilasciato un advisory congiunto per avvertire i responsabili delle infrastrutture critiche riguardo un aumento del rischio di esposizione a possibili attacchi informatici da parte di avversari russi. Il comunicato, rivolto anche alla più ampia comunità internazionale, riporta i rischi dovuti al conflitto tra Russia e Ucraina in corso e, soprattutto, al supporto materiale fornito a Kiev e alle sanzioni economiche senza precedenti imposte dall’Occidente a Mosca.
Sul fronte ucraino, il russo Gamaredon Group continua a prendere di mira organizzazioni ucraine in un’intensa campagna di spionaggio basata su nuove varianti del malware custom Pteredo. Il CERT-UA, inoltre, ha rilevato come il cluster UAC-0098 distribuisse e-mail contenenti un documento XLS con una macro malevola per veicolare Cobalt Strike contro organizzazioni statali.
Spostandoci in Estonia, il gruppo russo KillNet ha rivendicato attraverso i propri canali un’offensiva contro alcuni portali estoni e verso il sito istituzionale del CCDCOE (il Centro di Eccellenza per la difesa cyber dell’Alleanza Atlantica) quale rappresaglia all’esercitazione NATO Locked Shields 2022.

Passando al panorama ransomware, l’FBI ha rilasciato un alert sul gruppo cybercrime ALPHV Team nel quale ne descrive le TTP, e ricercatori di sicurezza hanno tracciato una variante Linux del ransomware Conti che prende di mira i server ESXi.
Dal canto suo, il REvil Team torna a far parlare di sé. I server del gruppo sulla rete Tor sono tornati in funzione dopo mesi d’inattività e ora reindirizzano a una nuova operazione RaaS lanciata di recente.
In aggiunta, si segnala che è stato rilasciato un decryptor gratuito per le vittime del ransomware Yanluowang.

Restando in tema ransomware ma concentrandoci sull’Italia, nuove offensive hanno colpito il nostro Paese. LockBit Team ha colpito l’Azienda Sanitaria Provinciale (ASP) di Messina e le S.p.A. Jannone Ferro Tubi e Ingegneria & Software Industriale. Inoltre, la rete informatica della società Civitavecchia Servizi Pubblici S.r.l. (CSP) ha subito un attacco ransomware che ha causato la sospensione delle attività.

[post_tags]

ALPHV Team Cobalt Strike Conti ransomware Gamaredon Group KillNet LockBit Team Pteredo REvil team UAC-0098 Yanluowang

Contenuti correlati

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo