Weekly Threats N. 51 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Italia: il Paese al centro di alcune offensive
• Sofacy e Gamaredon: nuove attività riconducibili ai due APT russi
• Russia-Ucraina: DDoS filorussi e phishing contro utenti del sistema militare Delta
• The Guardian: giornale colpito da un presunto attacco ransomware

Apriamo la rassegna di questa settimana con alcune offensive che hanno interessato l’Italia.
Il LockBit Team ha annunciato sul proprio sito dei leak la compromissione dell’Agenzia delle Entrate; tuttavia, da una prima analisi del materiale divulgato sono emersi diversi riferimenti allo Studio GST di Verona, il che fa supporre che la reale vittima non sia l’Agenzia, bensì lo Studio menzionato. Dal canto suo, Royal Team ha rivendicato un attacco contro l’azienda CONFORM S.c.a.r.l. Su un noto forum underground, invece, il gruppo cybercriminale Adrastea ha pubblicato un annuncio di vendita riguardante dati precedentemente esfiltrati al Ministero della Difesa italiano, oltre che alla NATO, a MBDA e ai Servizi Segreti filippini. Sempre nell’underground è stato diffuso un archivio contenente credenziali di autenticazione per il pannello di controllo di siti WordPress, tra cui quelle di diverse pagine, anche istituzionali, con dominio .it.

Passando al panorama state-sponsored, il russo Sofacy è stato individuato all’interno di una rete satellitare statunitense. In particolare, l’offensiva sembrerebbe aver coinvolto un provider di comunicazioni via satellite scelto da diverse infrastrutture critiche americane. Quanto a Gamaredon Group, alcuni ricercatori di sicurezza hanno mappato oltre 500 nuovi domini, 200 sample di malware e altri IoC utilizzati negli ultimi 10 mesi dall’avversario legato all’FSB. Si ritiene che l’APT stia cercando di incrementare la raccolta di informazioni e l’accesso alle reti target contro gli alleati dell’Ucraina e della NATO.

Nel contesto russo-ucraino, invece, il CERT-UA ha rilevato una campagna di phishing rivolta contro utenti del sistema militare ucraino Delta al fine di veicolare infostealer. Spostandoci sul fronte hacktivista filorusso, il collettivo NoName057(16) ha rivendicato DDoS contro portali polacchi, lettoni, lituani e inglesi. Tra i target di maggior rilievo figurano la Financial Intelligence Unit e la Polizia di Stato della Lettonia, la società energetica lituana Eso, la Corte di Appello di Rzeszów (Polonia) e la società inglese BAE Systems.

Concludiamo con un attacco di natura presumibilmente ransomware che ha colpito il quotidiano britannico The Guardian. L’incidente, verificatosi martedì 20 dicembre 2022, ha impattato parti dell’infrastruttura IT aziendale determinando disservizi nelle attività, ad eccezione di quelle riguardanti l’editoria online.