Weekly Threats N. 31 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• SBU: chiusa una bot farm e smantellata una rete di agenti dell’FSB
• Ransomware: emerse nuove minacce
• Taiwan: attacchi DDoS colpiscono diversi siti governativi

Nell’ambito delle attività di risposta alle minacce nel contesto del conflitto russo-ucraino, nell’ultima settimana il Servizio di Sicurezza di Kiev (SBU) ha annunciato di aver portato a termine due importanti operazioni. La prima ha riguardato la chiusura di una bot farm da oltre un milione di bot utilizzata per diffondere disinformazione su internet con l’obiettivo di screditare la leadership del Paese e destabilizzare la situazione sociopolitica. La seconda, invece, ha portato allo smantellamento di una rete di agenti dell’FSB russo – gestita da un individuo soprannominato il Professore – che operava in diverse regioni dell’Ucraina per raccogliere informazioni strategiche.

Passando al panorama ransomware, sono emerse diverse nuove minacce. In primis segnaliamo un malware custom, chiamato Industrial Spy, sviluppato dall’omonimo team nel maggio 2022 dopo aver sperimentato per un breve periodo di tempo il ransomware Cuba. In secundis, è stata portata alla luce una variante del ransomware Yashma, rilevata sotto il nome di SolidBit e utilizzata per prendere di mira gli utenti di popolari videogiochi e piattaforme di social media. In terzo luogo, invece, ricercatori di sicurezza hanno scoperto una nuova famiglia ransomware, denominata GwisinLocker, che prende di mira realtà industriali e farmaceutiche sudcoreane. Nello specifico, la minaccia è stata sviluppata da un gruppo ransomware soprannominato Gwisin, identificato per la prima volta nel 2021 e presumibilmente legato al Governo di Pyongyang. Infine, ROADSWEEP è il nome di un’ulteriore nuova famiglia ransomware distribuita da un presunto avversario di matrice iraniana per condurre nel luglio 2022 un’operazione politicamente motivata contro i siti web statali e i servizi pubblici del Governo albanese.

Sempre in ambito governativo, poco prima della visita a Taipei della Presidente della Camera dei Rappresentanti USA, Nancy Pelosi, il portale istituzionale dell’Ufficio presidenziale di Taiwan, oltre a quelli del Ministero degli Esteri, del Ministero della Difesa Nazionale e del più grande aeroporto del Paese, il Taiwan Taoyuan International, sono stati colpiti da diversi attacchi DDoS provenienti dall’estero. Vista la tipologia delle offensive, si presume che i responsabili siano avversari hacktivisti cinesi e non un gruppo state-sponsored di Pechino.