Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Five Eyes: advisory congiunto su possibili attacchi russi
  • Ucraina: tracciate ulteriori attività malevole
  • KillNet: il gruppo risponde all’esercitazione NATO Locked Shields 2022
  • REvil Team: tornano attivi i server del gruppo
  • Italia: segnalate nuove offensive ransomware

Nell’ultima settima, le Autorità di sicurezza informatica dell’Alleanza Five Eyes (composto da Stati Uniti, Australia, Canada, Nuova Zelanda e Regno Unito) hanno rilasciato un advisory congiunto per avvertire i responsabili delle infrastrutture critiche riguardo un aumento del rischio di esposizione a possibili attacchi informatici da parte di avversari russi. Il comunicato, rivolto anche alla più ampia comunità internazionale, riporta i rischi dovuti al conflitto tra Russia e Ucraina in corso e, soprattutto, al supporto materiale fornito a Kiev e alle sanzioni economiche senza precedenti imposte dall’Occidente a Mosca.
Sul fronte ucraino, il russo Gamaredon Group continua a prendere di mira organizzazioni ucraine in un’intensa campagna di spionaggio basata su nuove varianti del malware custom Pteredo. Il CERT-UA, inoltre, ha rilevato come il cluster UAC-0098 distribuisse e-mail contenenti un documento XLS con una macro malevola per veicolare Cobalt Strike contro organizzazioni statali.
Spostandoci in Estonia, il gruppo russo KillNet ha rivendicato attraverso i propri canali un’offensiva contro alcuni portali estoni e verso il sito istituzionale del CCDCOE (il Centro di Eccellenza per la difesa cyber dell’Alleanza Atlantica) quale rappresaglia all’esercitazione NATO Locked Shields 2022.

Passando al panorama ransomware, l’FBI ha rilasciato un alert sul gruppo cybercrime ALPHV Team nel quale ne descrive le TTP, e ricercatori di sicurezza hanno tracciato una variante Linux del ransomware Conti che prende di mira i server ESXi.
Dal canto suo, il REvil Team torna a far parlare di sé. I server del gruppo sulla rete Tor sono tornati in funzione dopo mesi d’inattività e ora reindirizzano a una nuova operazione RaaS lanciata di recente.
In aggiunta, si segnala che è stato rilasciato un decryptor gratuito per le vittime del ransomware Yanluowang.

Restando in tema ransomware ma concentrandoci sull’Italia, nuove offensive hanno colpito il nostro Paese. LockBit Team ha colpito l’Azienda Sanitaria Provinciale (ASP) di Messina e le S.p.A. Jannone Ferro Tubi e Ingegneria & Software Industriale. Inoltre, la rete informatica della società Civitavecchia Servizi Pubblici S.r.l. (CSP) ha subito un attacco ransomware che ha causato la sospensione delle attività.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi