Weekly Threats N. 48 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Sandworm e Energetic Bear: presi di mira terminali GNL olandesi
• XakNet, Anonymous Russia e KillNet: rivendicate recenti operazioni
• Italia: nuove offensive colpiscono il Paese
• LastPass e GoTo: scoperto breach

Questa settimana è stata individuata un’ondata di attacchi associati all’APT russo Sandworm, volti alla distribuzione di un nuovo ransomware chiamato RansomBoggs contro diverse organizzazioni ucraine. Inoltre, l’avversario sarebbe stato osservato insieme a Energetic Bear condurre attività esplorative nei sistemi dei terminali GNL di Rotterdam della società olandese Gasunie. Tuttavia, non si esclude che tali operazioni possano aver interessato anche altre isole artificiali dell’azienda, come quelli di Eemshaven.

Sempre nell’ambito del conflitto russo-ucraino, continuano le offensive dal fronte hacktivista pro-Cremlino. Il collettivo XakNet ha annunciato sul proprio canale Telegram di aver violato il Ministero delle Finanze ucraino. Dal canto suo, Anonymous Russia ha preso di mira il portale del Centre for Cybersecurity Belgium (CCB). KillNet, invece, ha rivendicato un’offensiva contro il sito web del Ministero degli Affari Esteri lettone.

Nuovi attacchi hanno colpito anche l’Italia. Tra le vittime compaiono il Comune di Macerata e Camst group. A queste sembrerebbe aggiungersi anche il Vaticano, i cui siti sono risultati offline per alcune ore. D’altra parte, Everest Team ha pubblicato su un noto forum underground diversi annunci di vendita di dati appartenenti ad aziende italiane. Nello specifico, due riguardano informazioni esfiltrate alla Speroni S.p.A., già trafficate in passato, tra cui figurerebbero anche file sensibili inerenti a marchi e società con cui l’impresa collabora. Un terzo annuncio, invece, è inerente alla vendita dell’accesso VPN di un’azienda italiana operante nei settori automobilistico, motociclistico ed elettromeccanico. Infine, i vertici di Cassa depositi e prestiti (CDP) sarebbero sotto attacco in quanto oggetto di operazioni di spionaggio da parte di ignoti. Essendo l’istituzione del MEF al centro dei più importanti dossier economici del Paese, dalla Rete Unica per portare la banda larga in tutta Italia alla vicenda Autostrade, sono in molti i soggetti e gli enti, italiani e stranieri, che potrebbero desiderare di raccogliere informazioni sul Gruppo CDP.

Concludiamo con un nuovo breach che ha colpito LastPass. Sia la società interessata sia la sua affiliata GoTo, in un comunicato rilasciato sui rispettivi blog, hanno dichiarato di aver recentemente rilevato un’attività insolita all’interno di un servizio di cloud storage di terze parti condiviso da entrambe. Secondo LastPass, un soggetto non autorizzato, utilizzando le informazioni ottenute nella violazione dell’agosto 2022, sarebbe stato in grado di accedere ad alcuni elementi contenenti dati inerenti ai clienti.