WEEKLY THREATS

Weekly Threats N. 5 2023

03 Febbraio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ransomware: colpite vittime italiane e la FinTech ION Group
  • Sandworm, Gamaredon Group e Winter Vivern: le ultime dal conflitto russo-ucraino
  • IT Army of Ukraine, NoName057(16), KillNet e Anonymous Russia: rivendicate offensive sul fronte hacktivista

Questa settimana apriamo la nostra rassegna riportando alcune offensive di natura ransomware che hanno interessato diverse entità italiane e una realtà internazionale. Tra le vittime del Bel Paese figurano: la multiutility ACEA, presumibilmente violata da Black Basta Team; la Società Italiana Brevetti S.p.A. compromessa da Vice Team; e il Gruppo Tonoli colpito da LockBit Team. In ambito internazionale, invece, la FinTech ION Group è caduta vittima anch’essa di LockBit in un’offensiva che ha impattato la divisione di ION Markets, ION Cleared Derivatives. Si segnala inoltre che il 30 gennaio 2023 Royal Team ha rivendicato l’attacco del novembre 2022 rivolto contro il Comune di Torre del Greco (NA).

Passando alle attività malevole nel contesto russo-ucraino, il CERT-UA ha rilevato 5 wiper impiegati da Sandworm nell’attacco all’Agenzia di stampa nazionale Ukrinform del 17 gennaio. Nello specifico, si tratta di CaddyWiper, ZeroWipe, AwfulShred, BidSwipe e l’utility SDelete. In aggiunta, alcuni ricercatori di sicurezza hanno scoperto un ulteriore wiper chiamato NikoWiper utilizzato nell’ottobre 2022 sempre dall’APT di Mosca in un’offensiva rivolta contro un’azienda ucraina del settore energetico. Dal canto suo, Gamaredon Group ha sferrato un’operazione di spear phishing contro il Ministero della Difesa lettone spacciandosi per l’omologo dicastero ucraino, oltre ad attacchi – ancora in corso – mirati alle Autorità pubbliche e alle infrastrutture IT critiche di Kiev. Infine, un cluster identificato come Winter Vivern (UAC-0114) ha bersagliato entità governative ucraine e polacche utilizzando una pagina web che imita quella legittima del Ministero degli Affari Esteri ucraino al fine di indurre i target a scaricare un presunto software antivirus.

Concludendo con il fronte hacktivista, il collettivo IT Army of Ukraine ha compromesso ed esfiltrato dati dalla multinazionale del settore energetico-minerario Gazprom, controllata dal Governo di Mosca. Il leak comprenderebbe un archivio da 1.5 GB con oltre 6.000 file delle società riguardanti attività finanziarie ed economiche. D’altra parte, i filorussi KillNet e Anonymous Russia si sono concentrati su strutture sanitarie norvegesi, tedesche, britanniche e statunitensi; mentre NoName057(16) ha rivendicato operazioni DDoS contro target appartenenti ai settori governativo, energetico, sanitario, metallurgico e manifatturiero.

[post_tags]