WEEKLY THREATS

Weekly Threats N. 44 2022

04 Novembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Italia: attacchi ransomware contro Landi Renzo e Belletti Ascensori
  • Vodafone Italia: data breach al partner commerciale FourB
  • UNC3524: continuano le campagne di spionaggio industriale
  • OPERA1ER: nuovo avversario africano motivato finanziariamente
  • ScarCruft: colpite aziende nel settore dell’energia nucleare
  • Ucraina: distribuiti Romcom RAT e il nuovo Azov Ransomware
  • OpenSSL: declassata la falla critica annunciata

Apriamo la rassegna di questa settimana con alcune notizie che interessano l’Italia.
Hive Team ha rivendicato una compromissione all’azienda Landi Renzo S.p.A., che produce impianti per veicoli a GPL e metano. LockBit Team, inoltre, ha minacciato di pubblicare i dati della Belletti Ascensori S.r.l. il prossimo 8 novembre.
Nel frattempo, Vodafone Italia ha notificato ai propri clienti business una violazione di dati personali dovuta a un attacco informatico che, nella prima settimana di settembre, ha interessato il partner commerciale FourB S.p.A.

Ci spostiamo nel panorama internazionale con alcune campagne di diversa natura.
Il gruppo UNC3524 (Cranefly), già noto per aver condotto operazioni di spionaggio aziendale mirate ai settori strategici e della sicurezza, continua a colpire. Grazie a una sofisticata tecnica che consente di controllare le minacce attraverso log su server Microsoft IIS, sono stati distribuiti il nuovo dropper Geppei e il malware Danfuan.
Ha finalità prettamente finanziarie, invece, l’avversario OPERA1ER. Il team, composto da individui francofoni che operano dall’Africa, risulta attivo dal 2018 e ha mietuto vittime nel continente africano, in Asia e America Latina. In una trentina di attacchi contro banche, istituti finanziari e Telco, ha sottratto almeno 11 milioni di dollari.
Il nordcoreano ScarCruft, dal canto suo, ha colpito con la nota backdoor Missim aziende correlate a impianti di energia nucleare.

Continuano ad essere tracciate operazioni che coinvolgono a vario titolo l’Ucraina.
Le più significative, basate su Romcom RAT, hanno interessato target localizzati proprio in Ucraina e in alcuni Paesi di lingua inglese, tra cui il Regno Unito. La minaccia è stata distribuita da versioni trojanizzate di app come SolarWinds NPM, KeePass e PDF Reader Pro.
Infine, ha dichiarate finalità di protesta la distribuzione del nuovo Azov Ransomware. La minaccia, i cui autori si fingono ricercatori di sicurezza, non fornisce contatti utili per recuperare le chiavi di decrittazione.

Chiudiamo con OpenSSL che aveva annunciato nei giorni scorsi un intervento per una vulnerabilità critica. Tracciata con codice CVE-2022-3602, sarebbe stata la prima con questa severity risolta nel progetto dal 2016. Tuttavia, con l’uscita della versione 3.0.7, si è scoperto che i problemi sanati sono due (l’altro è CVE-2022-3786), ed hanno entrambi un impatto alto.

[post_tags]