Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Italia: nuove offensive colpiscono il Bel Paese
  • APT: fermento in Asia
  • KillNet: colpiti portali greci e statunitensi
  • From Russia with Love: distribuito il ransomware Somnia

Apriamo la rassegna di questa settimana con diverse offensive che hanno interessato l’Italia. Il gruppo KelvinSecurity ha messo in vendita su un noto forum underground oltre 11 GB di dati della società TEL.ENE. TELEPHONY & ENERGY CONSULTING. Sempre nell’underground è stato pubblicato un annuncio di vendita di circa 5 milioni di record di utenti dei due portali di gioco bet9ja.com e goldbet.it, che sembrerebbero essere frutto di una passata violazione del famigerato ALPHV Team. Dal canto suo, la Compagnia Valdostana delle Acque – C.V.A. S.p.A, operante nel settore della produzione di energia elettrica da fonti rinnovabili, ha rilevato sui propri sistemi informatici elementi che possono essere ricondotti a un attacco proveniente da fonti esterne. Inoltre, anche Autovie Venete S.p.A sembrerebbe essere stata compromessa, mentre il Comune campano di Torre del Greco (NA) ha subito un’offensiva ransomware che ha causato il blocco dell’attività degli uffici municipali.

Passando al panorama state-sponsored, si è registrato particolare fermento nel versante asiatico. Il nordcoreano Lazarus Group sta estendendo le proprie operazioni distribuendo attivamente la backdoor Dtrack contro target localizzati in Europa e America Latina. Per quanto riguarda la Cina, Lotus Blossom ha preso di mira un’Autorità di Certificazione (CA), Agenzie governative e organizzazioni della Difesa in diversi Paesi asiatici. Mustang Panda, invece, ha condotto diversi attacchi di spear phishing rivolti contro entità dei settori governativo, accademico, dell’istruzione e della ricerca in tutto il mondo. Infine, due campagne di spionaggio di lunga data basate su spyware per Android – rispettivamente BadBazaar e MOONSHINE – hanno colpito la minoranza uigura nella Repubblica Popolare Cinese e all’estero.

Concludiamo con alcune notizie riguardati il conflitto russo-ucraino che arrivano dal fronte hacktivista. Negli ultimi giorni, il gruppo filorusso KillNet ha rivendicato sul proprio canale Telegram un’offensiva contro alcuni portali greci e del Governo statunitense, tra cui quello della Casa Bianca. Parallelamente, il CERT-UA ha rilevato una campagna di distribuzione di un nuovo ransomware chiamato Somnia attribuibile al collettivo russo From Russia with Love (FRwL), noto anche come Z-Team.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi