Dic 06, 2024 Marina Londei Approfondimenti, Attacchi, Attacchi, Campagne malware, In evidenza, Malware, Minacce, Minacce, Minacce, News, Ransomware, RSS 0

---

Sempre più gruppi hacker stanno sfruttando gli eventi geopolitici per colpire nuovi obiettivi. Tra questi c’è anche CyberVolk, un gruppo di hacktivisti originario dell’India e pro-Russia.

I ricercatori dei SentinelLabs hanno approfondito le origini e le modalità di azione del gruppo, il quale ha lanciato il proprio Ransomware-as-a-Service lo scorso giugno. La gang, diventata in breve tempo uno dei player più noti del mondo del cybercrimine, utilizza sia attacchi ransomware che DDoS per ostacolare le operazioni contro la Russia.

Il team di SentinelLabs spiega che CyberVolk è particolarmente abile a sfruttare il malware esistente e modificarlo in base alle proprie esigenze, rendendolo più sofisticato. “Il collettivo CyberVolk è uno dei principali esempi di come attaccanti esperti possono accedere e sviluppare builder di ransomware pericolosi come AzzaSec, Diamond, LockBit, Chaos e altri” scrivono i ricercatori.

Attivo da maggio 2024, ma già noto da prima con altri nomi, il gruppo ha legami con LAPSUS$, Anonymous e i Moroccan Dragons, oltre a collaborare con NONAME057(16) e altri gruppi filo-russi. Il ransomware creato dalla gang deriva dal codice di AzzaSec, un altro gruppo pro-Russia, anti-Israele e anti-Ucraina.

Il ransomware è in grado di terminare qualsiasi processo di Microsoft Management Console o del Task Manager prima di cominciare con la cifratura dei dati. Per la cifratura il malware inizialmente usava l’algoritmo AES, mentre per la generazione delle chiavi utilizzava lo SHA512; il gruppo in seguito ha aggiornato i propri metodi usando ChaCha20-Poly1305 insieme a AES, RSA e a degli algoritmi quantum resistant.

Nella nota del riscatto il gruppo chiede un pagamento di 1000 dollari in bitcoin contattando un canale Telegram specifico.

I gruppi legati a CyberVolk

CyberVolk conta diversi gruppi ransomware tra i suoi complici; tra essi c’è il Doubleface Team, una gang emersa ad agosto 2024, nata dalla convergenza ta CyberVolk e la Moroccan Black Cyber Army.

Questo gruppo utilizza il ransomware Invisible (conosciuto anche come Doubleface), dal funzionamento identico a quello di CyberVolk e anch’esso derivante da AzzaSec. Il codice di Invisible è stato distribuito gratuitamente su numerosi canali di cybercriminali, soprattutto su Telegram.

Tra i gruppi legati a CyberVolk c’è anche LAPSUS$ che ha utilizzato HexaLocker, un ransomware scritto in Golang specifico per sistemi Windows. Lo scorso 20 ottobre il manutentore del canale Telegram usato per distribuire il ransomware ha annunciato di abbandonare il progetto a causa dei rischi elevati dell’attività. Il malware è stato messo in vendita e al momento sembra che non sia utilizzato.

Tra gli affiliati più recenti spicca il gruppo di Parano Ransomware v1, annunciato come un “nuovo ransomware sviluppato con un algoritmo del tutto unico“, come si legge sul canale Telegram degli affiliati. Il ransomware offre anche altre funzionalità malevole oltre a quelle base, compreso un infostealer scritto in Python in grado di esfiltrare dati del browser, dettagli degli account Discord e informazioni dei portafogli di criptovalute.

L’attività di CyberVolk non si limita solo al ransomware: il gruppo sviluppa e distribuisce anche infostealer e webshell (quest’ultima disponibile da fine ottobre).

A novembre la gang è scomparsa da Telegram, ma non dal web: il gruppo ha annunciato che avrebbe continuato la propria attività tramite alcuni post su X, l’unico social dove è presente attualmente.

“Il numero di famiglie di ransomware associate al gruppo di hacktivisti CyberVolk evidenzia la capacità di questo gruppo di cambiare rapidamente rotta, basandosi su strumenti esistenti per soddisfare le proprie esigenze e promuovere le proprie cause” avvertono i ricercatori dei SentinelLabs. Il gruppo si sta evolvendo velocemente, riuscendo ad adattarsi alle risposte delle organizzazioni.

CyberVolk continuerà a sfruttare tool pubblici per modificarli e aumentarne la complessità, così da superare più facilmente le difese aziendali e colpire con successo le sue vittime. “Le operazioni di ransomware non faranno che diventare più complesse e aumentare la quantità di informazioni che i team di cybersecurity dovranno monitorare per rimanere aggiornati sugli eventi dell’ecosistema del crimine informatico” concludono i ricercatori.

---

---

---

https://www.securityinfo.it/2024/12/06/cybervolk-la-ricerca-di-sentinellabs-sul-gruppo-hacktivista-filo-russo/?utm_source=rss&utm_medium=rss&utm_campaign=cybervolk-la-ricerca-di-sentinellabs-sul-gruppo-hacktivista-filo-russo

Over the past decade, a new class of infections has threatened Windows users. By infecting the firmware that runs immediately before the operating system loads, these UEFI bootkits continue to run even when the hard drive is replaced or reformatted. Now the same type of chip-dwelling malware has been found in the wild for backdooring Linux machines.

Researchers at security firm ESET said Wednesday that Bootkitty—the name unknown threat actors gave to their Linux bootkit—was uploaded to VirusTotal earlier this month. Compared to its Windows cousins, Bootkitty is still relatively rudimentary, containing imperfections in key under-the-hood functionality and lacking the means to infect all Linux distributions other than Ubuntu. That has led the company researchers to suspect the new bootkit is likely a proof-of-concept release. To date, ESET has found no evidence of actual infections in the wild.

Be prepared

Still, Bootkitty suggests threat actors may be actively developing a Linux version of the same sort of unkillable bootkit that previously was found only targeting Windows machines.

“Whether a proof of concept or not, Bootkitty marks an interesting move forward in the UEFI threat landscape, breaking the belief about modern UEFI bootkits being Windows-exclusive threats,” ESET researchers wrote. “Even though the current version from VirusTotal does not, at the moment, represent a real threat to the majority of Linux systems, it emphasizes the necessity of being prepared for potential future threats.”

A rootkit is a piece of malware that runs in the deepest regions of the operating system it infects. It leverages this strategic position to hide information about its presence from the operating system itself. A bootkit, meanwhile, is malware that infects the boot-up process in much the same way. Bootkits for the UEFI—short for Unified Extensible Firmware Interface—lurk in the chip-resident firmware that runs each time a machine boots. These sorts of bootkits can persist indefinitely, providing a stealthy means for backdooring the operating system even before it has fully loaded and enabled security defenses such as antivirus software.

The bar for installing a bootkit is high. An attacker first must gain administrative control of the targeted machine, either through physical access while it’s unlocked or somehow exploiting a critical vulnerability in the OS. Under those circumstances, attackers already have the ability to install OS-resident malware. Bootkits, however, are much more powerful since they (1) run before the OS does and (2) are, at least practically speaking, undetectable and unremovable.

https://arstechnica.com/security/2024/11/found-in-the-wild-the-worlds-first-unkillable-uefi-bootkit-for-linux/

Nov 26, 2024 Marina Londei Attacchi, Hacking, In evidenza, Malware, News, RSS 0

---

Di recente i ricercatori di Trellix hanno scoperto una nuova campagna malware che usa un driver di un anti-rootkit di Avast per disabilitare le difese dei sistemi e prenderne il controllo. Di fatto gli attaccanti sfruttano i software di sicurezza come un’arma per ottenere il controllo del sistema ed eseguire altre azioni malevole.

La catena di attacco comincia proprio con la diffusione del driver dell’anti-rootkit di Avast. Trishaan Kalra, ricercatore della compagnia, spiega che invece di usare un driver creato appositamente, gli attaccanti usano un driver kernel legittimo; in questo modo, i software di sicurezza non sollevano alert all’utente.

Una volta che il driver è stato installato ed è in esecuzione, il malware ottiene accesso di livello kernel al sistema e procede con l’interruzione dei processi di sicurezza in esecuzione. Il malware è in grado di terminare ben 142 processi legati ad antivirus e soluzioni EDR ampiamente usati accedendo a una lista di nomi hard-coded.

Dopo l’esecuzione iniziale, il malware comincia ad acquisire screenshot di tutti i processi attivi del sistema. Una volta ottenuto l’intero elenco, il malware confronta i nomi dei processi con quelli presenti nella lista hard-coded; se uno o più nomi corrispondono, il malware crea un handle per ciascun processo e sfrutta il driver Avast per terminarlo. 

Per contrastare questa minaccia, Kalra consiglia di definire delle regole nei tool di sicurezza per identificare e bloccare i driver vulnerabili in base alla loro firma o hash. “L’integrazione di questa regola in una soluzione EDR antivirus garantisce che anche i driver legittimi con vulnerabilità vengano bloccati efficacemente, aggiungendo un livello cruciale di protezione contro gli attacchi avanzati basati sui driver” spiega Kalra.

---

---

---

https://www.securityinfo.it/2024/11/26/hacker-usano-un-anti-rootkit-di-avast-per-disabilitare-le-difese-dei-sistemi/?utm_source=rss&utm_medium=rss&utm_campaign=hacker-usano-un-anti-rootkit-di-avast-per-disabilitare-le-difese-dei-sistemi

Nov 19, 2024 Marina Londei Attacchi, In evidenza, Malware, Minacce, News, RSS 0

---

I ricercatori di Sekoia hanno individuato una nuova variante del ransomware Helldown che colpisce i sistemi Linux. Scoperto lo scorso agosto, inizialmente il ransomware colpiva solo sistemi Windows, mentre ora ha esteso il suo raggio d’azione.

Helldown è un ransomware a doppia estorsione che sfrutta vulnerabilità note per accedere alle reti aziendali e diffondere il malware. Dalle analisi di Sekoia emerge che il gruppo ha sfruttato alcuni bug nelle appliance Zyxel per l’accesso iniziale e in seguito rubare credenziali e creare tunnel SSL VPN per la comunicazione.

Nei suoi attacchi, il gruppo ha ottenuto grandi volumi di dati, per una media di 70 GB per vittima, con picchi anche di 431 GB. “Questo approccio differisce dalla strategia tipica di altri gruppi ransomware, i quali di solito preferiscono esfiltrazioni più selettive e mirate per rimanere discreti e massimizzare il potenziale danno nel caso di un leak” scrivono i ricercatori. I file sottratti sono di vario tipo, ma la maggior parte consiste di documenti PDF.

La variante Linux è stata scoperta il 31 ottobre. Il malware carica una configurazione XML hard-coded dove sono indicate specifiche azioni e relativi tag; in seguito, il ransomware itera sui path forniti come argomenti della funzione del programma e, quando trova un file con un’estensione di interesse, lo cifra totalmente o parzialmente, in base alla sua dimensione. Finita la fase di cifratura, viene creata la nota di riscatto. Per la chiave di cifratura viene usato RSA PKCS1.

Il ransomware è anche in grado di accedere alla lista di macchine virtuali in esecuzione e interrompere i singoli processi. 

Secondo i dati dei ricercatori, Helldown è particolarmente attivo: solo negli ultimi tre mesi il ransomware ha colpito con successo 31 vittime. Gli obiettivi più colpiti sono realtà medio-piccole degli Stati Uniti, anche se tra le vittime si annoverano business europei. I settori più colpiti sono quelli dei servizi IT, delle telecomunicazione, il manifatturiero e il sanitario.

Al momento non ci sono prove che il gruppo sia legato ad altre gang più note. I ricercatori di Sekoia ritengono che Helldown possa avere qualche connessione con Darkrace o Donex per via delle similarità tra i ransomware, anche se è ancora difficile confermare l’esistenza di una relazione.

---

---

---

https://www.securityinfo.it/2024/11/19/scoperta-una-nuova-variante-del-ransomware-helldown-che-colpisce-linux/?utm_source=rss&utm_medium=rss&utm_campaign=scoperta-una-nuova-variante-del-ransomware-helldown-che-colpisce-linux

Credit: haxrob

The malware resides in the userspace portion of the interbank switch connecting the issuing domain and the acquiring domain. When a compromised card is used to make a fraudulent translation, FASTCash tampers with the messages the switch receives from issuers before relaying it back to the merchant bank. As a result, issuer messages denying the transaction are changed to approvals.

The following diagram illustrates how FASTCash works:

Credit: haxrob

The switches chosen for targeting run misconfigured implementations of ISO 8583, a messaging standard for financial transactions. The misconfigurations prevent message authentication mechanisms, such as those used by field 64 as defined in the specification, from working. As a result, the tampered messages created by FASTCash aren’t detected as fraudulent.

“FASTCash malware targets systems that ISO8583 messages at a specific intermediate host where security mechanisms that ensure the integrity of the messages are missing, and hence can be tampered,” haxrob wrote. “If the messages were integrity protected, a field such as DE64 would likely include a MAC (message authentication code). As the standard does not define the algorithm, the MAC algorithm is implementation specific.”

The researcher went on to explain:

FASTCash malware modifies transaction messages in a point in the network where tampering will not cause upstream or downstream systems to reject the message. A feasible position of interception would be where the ATM/PoS messages are converted from one format to another (For example, the interface between a proprietary protocol and some other form of an ISO8583 message) or when some other modification to the message is done by a process running in the switch.

CISA said that BeagleBoyz—one of the names the North Korean hackers are tracked under—is a subset of HiddenCobra, an umbrella group backed by the government of that country. Since 2015, BeagleBoyz has attempted to steal nearly $2 billion. The malicious group, CISA said, has also “manipulated and, at times, rendered inoperable, critical computer systems at banks and other financial institutions.”

The haxrob report provides cryptographic hashes for tracking the two samples of the newly discovered Linux version and hashes for several newly discovered samples of FASTCash for Windows.

https://arstechnica.com/security/2024/10/north-korean-hackers-use-newly-discovered-linux-malware-to-raid-atms/

Ott 14, 2024 Stefano Silvestri Attacchi, Hacking, Intrusione, Malware, Minacce, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

---

Nell’ultima settimana, il CERT-AGID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha condotto un’analisi della sicurezza informatica in Italia.

Complessivamente, sono state identificate 28 campagne malevole, di cui 18 mirate specificamente a obiettivi italiani e 10 di natura più generica ma comunque con un impatto significativo sul nostro paese.

Nel corso di questa attività di monitoraggio e analisi, il CERT-AGID ha individuato 378 indicatori di compromissione (IoC), prontamente condivisi con gli enti accreditati per rafforzare le loro difese contro le minacce informatiche.

I temi della settimana

Nell’ultima settimana, le campagne malevole sul territorio italiano hanno sfruttato 13 temi per ingannare le vittime.

Tra questi, immancabilmente, il Banking è emerso come uno degli obiettivi principali, con attacchi di smishing mirati ai clienti di istituti come Intesa Sanpaolo, Crédit Agricole e Zenith Bank. Questo tema è stato anche utilizzato per diffondere il malware SpyNote attraverso file APK inviati via SMS.

Il tema dei Pagamenti è stato sfruttato in una campagna di phishing contro gli utenti di Hostinger, oltre a essere impiegato per distribuire i malware FormBook e SnakeKeylogger.

Le campagne incentrate sui Documenti hanno preso di mira servizi come Adobe, Outlook e cPanel, mentre il tema del Rinnovo è stato utilizzato per attacchi contro clienti di Aruba e Wix.

Oltre a questi, sono stati identificati altri temi utilizzati per veicolare diverse tipologie di malware e campagne di phishing.

Tra gli eventi di particolare rilievo, si segnala una campagna di phishing che ha sfruttato il nome e il logo della Polizia di Stato per rubare le credenziali email degli utenti.

Inoltre, il CERT-AGID ha individuato due campagne di phishing a tema INPS, mirate a sottrarre dati sensibili con la promessa di erogazioni di denaro. In questi casi, le vittime sono state indotte a fornire informazioni personali dettagliate, inclusi IBAN, selfie e documenti d’identità.

 Malware della settimana

Nel corso dell’ultima settimana, l’Italia è stata interessata da attività malevole riconducibili a cinque diverse famiglie di malware, ciascuna con le proprie caratteristiche e modalità di diffusione.

Il malware FormBook si è distinto per la sua versatilità, essendo stato veicolato attraverso multiple campagne. Una di queste, specificamente mirata al contesto italiano, ha sfruttato il tema dei Pagamenti, diffondendosi tramite email contenenti allegati VBS.

Parallelamente, sono state identificate due campagne di portata più ampia, anch’esse incentrate sui temi Pagamenti e Ordine, che hanno utilizzato email con allegati RAR come vettore di diffusione.

SpyNote, un’altra minaccia significativa, ha preso di mira il settore bancario italiano. Questa famiglia di malware ha adottato una strategia di diffusione basata sull’invio di APK malevoli tramite SMS, sfruttando la crescente dipendenza degli utenti dai servizi bancari mobili.

Snake Keylogger ha fatto la sua comparsa in una campagna specifica per l’Italia, ancora una volta sfruttando il tema dei pagamenti. In questo caso, il malware è stato distribuito attraverso email contenenti allegati in formato XZ.

Le ultime due famiglie di malware identificate, LummaC e RedLine, hanno mostrato un approccio più generico.

Mentre per LummaC non sono stati forniti dettagli specifici sulla sua campagna, RedLine si è distinto per una campagna incentrata sul tema Preventivo.

Questa ultima minaccia ha utilizzato una strategia di diffusione basata su email contenenti allegati sia in formato PDF che ISO, dimostrando una certa flessibilità nelle sue tattiche d’infezione.

Phishing della settimana

 Nel corso dell’ultima settimana, le campagne di phishing hanno preso di mira un totale di 17 marchi noti, sfruttando la loro reputazione e familiarità presso il pubblico per ingannare le potenziali vittime.

Questo dato evidenzia la persistente minaccia del phishing nel panorama della sicurezza informatica italiana e la necessità di una costante vigilanza da parte degli utenti.

Tra i vari obiettivi, tre brand in particolare sono emersi come bersagli principali delle attività di phishing, distinguendosi per la frequenza e l’intensità degli attacchi.

L’INPS (Istituto Nazionale della Previdenza Sociale) si è trovato in cima a questa lista, riflettendo la tendenza dei cybercriminali a sfruttare la fiducia dei cittadini nelle istituzioni pubbliche.

Intesa Sanpaolo è stato anch’esso bersaglio di numerose campagne di phishing. Ciò sottolinea come il settore finanziario continui a essere un obiettivo privilegiato per i criminali informatici, data la possibilità di accedere direttamente a informazioni finanziarie sensibili e potenzialmente a fondi delle vittime.

Infine, cPanel, una popolare piattaforma di gestione di hosting web, ha completato il trio dei brand più colpiti. Questo suggerisce un interesse crescente dei malintenzionati verso le credenziali di accesso a servizi di hosting, probabilmente con l’intento di compromettere siti web per ulteriori attività malevole.

 Formati e canali di diffusione

L’esame delle recenti attività malevole ha messo in luce la versatilità dei cybercriminali nell’impiego di diversi formati di file per le loro campagne d’attacco.

L’analisi ha identificato l’uso di 8 distinte tipologie di file, evidenziando una strategia diversificata volta a massimizzare le possibilità di successo delle loro operazioni.

Il formato PDF si è distinto come il più frequentemente utilizzato, comparendo in 3 e diverse occasioni.

Seguono i formati APK e RAR, ciascuno impiegato due volte, mentre altri formati come VBS, XZ, ISO, ZIP e HTML sono stati riscontrati una sola volta ciascuno.

Per quanto concerne i metodi di diffusione, le email si confermano il canale preferito, essendo state utilizzate in ben 25 occasioni. Questo dato sottolinea la persistente efficacia del phishing via email nonostante la crescente consapevolezza degli utenti.

Gli SMS, impiegati due volte, indicano un interesse verso gli attacchi basati su dispositivi mobili, mentre l’uso singolo della PEC suggerisce tentativi di sfruttare la percezione di sicurezza associata a questo sistema di posta certificata.

---

---

---

https://www.securityinfo.it/2024/10/14/cert-agid-5-11-ottobre-378-ioc-e-una-campagna-di-phishing-che-basata-sulla-polizia-di-stato/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-5-11-ottobre-378-ioc-e-una-campagna-di-phishing-che-basata-sulla-polizia-di-stato

This Reddit comment posted to the CentOS subreddit is typical. An admin noticed that two servers were infected with a cryptocurrency hijacker with the names perfcc and perfctl. The admin wanted help investigating the cause.

“I only became aware of the malware because my monitoring setup alerted me to 100% CPU utilization,” the admin wrote in the April 2023 post. “However, the process would stop immediately when I logged in via SSH or console. As soon as I logged out, the malware would resume running within a few seconds or minutes.” The admin continued:

I have attempted to remove the malware by following the steps outlined in other forums, but to no avail. The malware always manages to restart once I log out. I have also searched the entire system for the string “perfcc” and found the files listed below. However, removing them did not resolve the issue. as it keep respawn on each time rebooted.

Other discussions include: Reddit, Stack Overflow (Spanish), forobeta (Spanish),  brainycp (Russian), natnetwork (Indonesian), Proxmox (Deutsch), Camel2243 (Chinese), svrforum (Korean), exabytes,>virtualmin,>serverfault and many others.

After exploiting a vulnerability or misconfiguration, the exploit code downloads the main payload from a server, which, in most cases, has been hacked by the attacker and converted into a channel for distributing the malware anonymously. An attack that targeted the researchers’ honeypot named the payload httpd. Once executed, the file copies itself from memory to a new location in the /temp directory, runs it, and then terminates the original process and deletes the downloaded binary.

Once moved to the /tmp directory, the file executes under a different name, which mimics the name of a known Linux process. The file hosted on the honeypot was named sh. From there, the file establishes a local command-and-control process and attempts to gain root system rights by exploiting CVE-2021-4043, a privilege-escalation vulnerability that was patched in 2021 in Gpac, a widely used open source multimedia framework.

https://arstechnica.com/security/2024/10/persistent-stealthy-linux-malware-has-infected-thousands-since-2021/

Nel contesto dell’era digitale, le minacce informatiche rappresentano una delle sfide più complesse per le aziende. Non si tratta più soltanto di proteggere i dati, ma di garantire la continuità operativa di intere organizzazioni in un panorama globale sempre più interconnesso. Il Threat Landscape 2024 di ENISA, l’Agenzia Europea per la Cybersecurity, traccia una panoramica dettagliata delle minacce informatiche attuali, analizzando tendenze, attori malevoli e soluzioni per la difesa.

Dal report emerge come ormai la cybersecurity non è più solo una preoccupazione tecnica, ma una parte fondamentale della strategia aziendale. Con l’aumento degli attacchi informatici e la loro crescente sofisticazione, le aziende devono essere pronte a difendersi in un contesto che cambia rapidamente.

Panoramica delle Minacce Informatiche

Nel 2024, le minacce informatiche sono aumentate sia in termini di volume che di sofisticazione. Attacchi come il ransomware, il malware e i Distributed Denial of Service (DDoS) stanno colpendo duramente settori critici come la sanità, la finanza e la pubblica amministrazione. Secondo ENISA, le minacce informatiche principali che le aziende devono affrontare includono ransomware, malware, attacchi di ingegneria sociale, violazioni di dati e attacchi alla supply chain.

Le 7 Principali Minacce Informatiche del 2024

1. Ransomware: Una delle Maggiori Minacce Informatiche

Il ransomware rimane una delle minacce informatiche più gravi per le aziende e continua a essere uno dei principali vettori di attacco nel 2024, con tecniche sempre più raffinate e dannose. L’evoluzione di questi attacchi ha portato a un aumento delle strategie di doppia e tripla estorsione, in cui gli attaccanti non solo criptano i dati delle vittime, ma minacciano anche di rilasciarli pubblicamente o di attaccare nuovamente se il riscatto non viene pagato. Gli attacchi ransomware hanno colpito in particolare settori come i servizi sanitari e finanziari, dove i dati sensibili e le operazioni critiche sono bersagli perfetti per estorsioni di alto profilo.

Dal punto di vista tecnico, gli attacchi ransomware spesso sfruttano vulnerabilità nei sistemi legacy o approfittano di credenziali compromesse. I vettori di accesso iniziali più comuni includono phishing mirato (spear phishing), exploit di vulnerabilità note e accesso ottenuto tramite broker di accessi iniziali (IAB). Una volta dentro la rete, gli attori malevoli utilizzano tecniche avanzate di Living Off The Land (LOTL) per sfruttare strumenti di sistema legittimi, evitando di essere rilevati dalle soluzioni di sicurezza tradizionali.

Mitigazione del Rischio Ransomware

Per difendersi da questo tipo di attacchi, le organizzazioni devono implementare una serie di misure preventive:

• Backup regolari e testati: Gli attacchi ransomware puntano a compromettere i dati, quindi backup frequenti e separati dalla rete principale sono fondamentali.
• Segmentazione della rete: Suddividere la rete in segmenti separati riduce l’impatto potenziale di un attacco e limita la capacità degli attaccanti di muoversi lateralmente all’interno della rete.
• Autenticazione multifattore (MFA): Limitare l’accesso agli asset critici utilizzando autenticazioni multiple, impedendo così agli attori malevoli di accedere ai sistemi solo con credenziali compromesse.

2. Malware: L’Ascesa del Malware-as-a-Service (MaaS)

Il malware resta uno dei metodi più comuni di attacco, ma il panorama si è evoluto significativamente. L’ascesa di modelli di business come il Malware-as-a-Service (MaaS) ha abbassato la barriera d’ingresso per i cybercriminali meno esperti, che possono acquistare e distribuire malware personalizzati su misura per le loro vittime.

Questi software malevoli sono progettati per compromettere la riservatezza, l’integrità e la disponibilità dei sistemi attaccati. Esempi di malware comuni includono trojan bancari, spyware e worm, tutti progettati per sottrarre dati sensibili o propagarsi all’interno delle reti aziendali.

Tecniche di Difesa Contro il Malware

• Monitoraggio continuo: Implementare soluzioni di endpoint detection and response (EDR), che forniscono una visibilità avanzata su ciò che accade su ogni endpoint della rete.
• Patching tempestivo: Il malware spesso sfrutta vulnerabilità conosciute nei sistemi software. È essenziale implementare una gestione rigida delle patch per chiudere queste falle prima che possano essere sfruttate.
• Threat intelligence: L’utilizzo di servizi di threat intelligence in tempo reale può aiutare a identificare e mitigare potenziali minacce prima che colpiscano.

3. Ingegneria Sociale: Il Fattore Umano Come Vettore di Attacco

Nonostante le difese tecnologiche avanzate, il fattore umano rimane uno degli anelli deboli della sicurezza informatica. Le tecniche di ingegneria sociale, come il phishing, lo spear phishing e gli attacchi Business Email Compromise (BEC), sfruttano l’errore umano per accedere a informazioni sensibili. Questi attacchi possono ingannare i dipendenti a divulgare credenziali o a eseguire azioni dannose come trasferimenti di denaro non autorizzati.

Prevenzione degli Attacchi di Ingegneria Sociale

• Formazione e sensibilizzazione: È essenziale educare continuamente i dipendenti sui rischi degli attacchi di ingegneria sociale, inclusi i segnali di phishing e altre tecniche di manipolazione.
• Simulazioni di attacchi: Le simulazioni regolari di phishing aiutano a preparare i dipendenti a riconoscere le minacce reali, migliorando la resilienza dell’organizzazione.

4. Minacce alla Disponibilità: Gli Attacchi DDoS e la Resilienza della Rete

Gli attacchi Denial of Service (DoS), in particolare i Distributed Denial of Service (DDoS), continuano a rappresentare una grave minaccia per le aziende, interrompendo i servizi e causando danni finanziari e reputazionali significativi. Questi attacchi sovraccaricano i sistemi con richieste illegittime, impedendo agli utenti legittimi di accedere ai servizi.

Difesa Contro gli Attacchi DDoS

• Infrastrutture scalabili: Utilizzare servizi di mitigazione DDoS basati su cloud che possano assorbire e neutralizzare il traffico malevolo prima che raggiunga l’infrastruttura aziendale.
• Architetture di rete distribuite: La distribuzione dei servizi su una rete globale di data center può ridurre l’impatto di un attacco DDoS, permettendo di deviare il traffico malevolo verso nodi meno vulnerabili.

5. Violazioni dei Dati: Difendere il Patrimonio Informativo

Le minacce ai dati, comprese le violazioni e le fughe di dati, sono tra le problematiche più critiche per le aziende nel 2024. Le violazioni dei dati non solo espongono informazioni sensibili, ma possono anche portare a pesanti sanzioni normative, in particolare nell’Unione Europea, dove il GDPR impone requisiti stringenti sulla protezione dei dati.

Misure per Proteggere i Dati dalle Minacce Informatiche

• Crittografia dei dati: Assicurarsi che tutti i dati sensibili, sia in transito che a riposo, siano adeguatamente crittografati per prevenire l’accesso non autorizzato.
• Gestione rigorosa delle autorizzazioni: Implementare controlli di accesso basati sui ruoli (RBAC) per limitare l’accesso ai dati sensibili solo al personale autorizzato.

6. Manipolazione dell’Informazione: Il Cyber Espionaggio e l’Interferenza Straniera

Il 2024 ha visto un aumento delle campagne di manipolazione delle informazioni, spesso utilizzate come strumento di disinformazione e interferenza elettorale. Queste campagne sono spesso condotte da attori statali e mirano a destabilizzare società o manipolare opinioni pubbliche a fini politici.

Contromisure per la Manipolazione dell’Informazione

• Monitoraggio dei media e dei social media: Implementare strumenti che rilevino rapidamente attività di disinformazione e che possano rispondere in modo proattivo con contro-narrative.
• Collaborazione intersettoriale: Lavorare con altre organizzazioni e agenzie governative per identificare e mitigare rapidamente queste minacce.

7. Attacchi alla Supply Chain: La Debolezza nei Sistemi Esterni

Gli attacchi alla supply chain sono emersi come una delle minacce informatiche più insidiose nel 2024. Questi attacchi mirano a compromessi nelle componenti software o hardware utilizzate da più organizzazioni. Un esempio notevole è il caso di compromissioni in progetti open-source, come XZ Utils, che ha visto l’introduzione di backdoor attraverso il social engineering verso i manutentori del progetto.

Difesa Contro gli Attacchi alla Supply Chain

• Verifica delle forniture: Implementare un processo rigoroso di verifica dei fornitori per garantire che i componenti software e hardware provengano da fonti affidabili.
• Monitoraggio continuo delle vulnerabilità: Mantenere un’attenzione costante sugli aggiornamenti dei software e sulle vulnerabilità potenzialmente sfruttabili nella catena di fornitura.

Attori delle Minacce

ENISA identifica quattro principali categorie di attori delle minacce:

• Attori collegati agli Stati: Questi gruppi, ben finanziati e con risorse significative, operano spesso per finalità di spionaggio o sabotaggio su larga scala.
• Cybercriminali: Gruppi che operano principalmente per profitto finanziario, utilizzando attacchi opportunistici per massimizzare il danno economico.
• Attori del Settore Privato Offensivo (PSOA): Aziende private che sviluppano e vendono cyberarmi avanzate.
• Hacktivisti: Gruppi motivati da cause politiche o sociali, che utilizzano attacchi informatici per promuovere il cambiamento.

Il Threat Landscape 2024 di ENISA mette in evidenza un panorama delle minacce in continua evoluzione, dove le tecnologie avanzate e le tattiche di attacco sempre più sofisticate richiedono un approccio proattivo e multilivello alla sicurezza informatica. Le aziende devono adottare misure integrate che includano tecnologie all’avanguardia, formazione costante del personale e strette collaborazioni con enti governativi e fornitori. Solo così sarà possibile affrontare con successo le sfide che la cybersecurity continuerà a presentare nel futuro prossimo. Solo con un approccio integrato sarà possibile mitigare l’impatto delle minacce informatiche sul lungo termine.

https://www.ictsecuritymagazine.com/notizie/minacce-informatiche-2024/

Set 30, 2024 Stefano Silvestri Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

---

Nel corso dell’ultima settimana, il CERT-AGID ha condotto un’analisi approfondita dello scenario di sicurezza informatica in Italia. L’indagine ha portato all’identificazione di un totale di 39 campagne malevole.

Di queste, 20 erano specificatamente rivolte a obiettivi italiani, mentre le restanti 19, pur essendo di natura più generica, hanno comunque avuto un impatto significativo sul panorama digitale nazionale.

Nel corso di questa attività di monitoraggio, il CERT-AGID ha individuato e catalogato ben 475 indicatori di compromissione, che sono stati prontamente condivisi con gli enti accreditati presso il CERT-AGID, fornendo loro gli strumenti per rafforzare le proprie difese contro le minacce in corso.

I temi della settimana

L’ultima settimana ha visto emergere di 20 temi principali utilizzati per diffondere campagne malevole. Tra questi, alcuni si sono distinti per la loro rilevanza e frequenza.

Il settore bancario è stato particolarmente colpito, con numerose campagne di smishing che hanno preso di mira i clienti di diversi istituti, tra cui Intesa Sanpaolo, Credit Agricole e BPER.

Il tema delle consegne è stato sfruttato per diffondere malware come AgentTesla e FormBook, approfittando dell’aumento degli acquisti online. Analogamente, false richieste di preventivi e comunicazioni relative a pagamenti sono state utilizzate per veicolare una varietà di malware, tra cui Formbook, VIPKeylogger e SnakeKeylogger e Vidar.

Oltre a questi temi principali, sono state osservate numerose altre campagne di malware e phishing che hanno sfruttato argomenti diversi per ingannare gli utenti.

Un evento di particolare rilievo è stata l’identificazione di una nuova campagna malevola che utilizza la Posta Elettronica Certificata (PEC) per diffondere il malware Vidar. Questa campagna si distingue per l’uso innovativo di profili Telegram per comunicare gli indirizzi IP dei server di comando e controllo, dimostrando l’evoluzione delle tattiche degli attaccanti.

Inoltre, sono state rilevate nuove campagne di phishing che impersonano l’INPS, mirando a raccogliere dati personali attraverso false promesse di rimborsi. Queste campagne invitano i destinatari a compilare moduli fraudolenti, sfruttando la fiducia nei confronti dell’istituto previdenziale.

Malware della settimana

Nel corso della settimana, il panorama delle minacce informatiche in Italia ha visto l’emergere di otto famiglie di malware di particolare rilevanza. Queste campagne malevole hanno adottato diverse strategie per colpire gli utenti italiani e non solo.

AgentTesla si è distinto per la sua versatilità, con tre campagne mirate al pubblico italiano focalizzate su temi come “Ordine” e “Documenti”, oltre a diverse iniziative più generiche relative a “Delivery”, “Documenti” e “Avvisi sicurezza”. Gli attacchi sono stati veicolati attraverso email contenenti allegati in vari formati, tra cui IMG, ISO, RAR, VBS e ZIP.

FormBook ha lanciato due campagne specifiche per l’Italia incentrate su “Pagamenti” e “Delivery”, accompagnate da un’iniziativa più ampia sul tema “Preventivo”. Queste minacce sono state diffuse mediante email con allegati RAR e ZIP.

VIPKeylogger ha concentrato i suoi sforzi su due campagne italiane, sfruttando i temi “Pagamenti” e “Preventivo”. Gli attacchi sono stati condotti tramite email con allegati IMG e ZIP.

ZharkBot ha fatto la sua comparsa con una campagna italiana focalizzata sul tema “Ordine”, utilizzando email con allegati HTML e VBS come vettore di diffusione.

Umbral ha optato per un approccio più generico, lanciando una campagna sul tema “Aggiornamenti”. In questo caso, è stato analizzato un eseguibile del payload (EXE) distribuito tramite email.

SnakeKeylogger ha seguito una strategia simile, con una campagna generica sul tema “Preventivo”, di cui è stato esaminato un file eseguibile (EXE) diffuso via email.

Vidar ha adottato un approccio più sofisticato, conducendo una campagna italiana sul tema “Pagamenti” attraverso l’uso della Posta Elettronica Certificata (PEC) e collegamenti a file JavaScript.

Infine, njRAT ha lanciato una campagna generica distribuita tramite email contenenti allegati in formato JAR.

Phishing della settimana

Nel corso della settimana, il panorama del phishing in Italia ha visto il coinvolgimento di 15 marchi noti, utilizzati dagli attaccanti per ingannare gli utenti e sottrarre informazioni sensibili.

Tra i marchi più frequentemente imitati, Intesa Sanpaolo si è distinta per il numero di campagne fraudolente. Questa tendenza riflette il persistente interesse dei criminali informatici verso il settore bancario, dove la possibilità di accedere direttamente a informazioni finanziarie rappresenta un’attrattiva considerevole.

Anche Microsoft è stata al centro di numerose campagne di phishing. Dato il ruolo cruciale che i prodotti e servizi Microsoft giocano sia in ambito professionale che personale, non sorprende che gli attaccanti cerchino di sfruttare questa diffusa presenza per le loro attività illecite.

L’INPS (Istituto Nazionale della Previdenza Sociale) è stato un altro obiettivo ricorrente nelle campagne di phishing. La fiducia che i cittadini ripongono in questo ente governativo e la sensibilità delle informazioni che gestisce lo rendono un bersaglio particolarmente appetibile per i truffatori.

Il fenomeno più rilevante emerso dall’analisi è stato però il numero di campagne di phishing non associate a marchi specifici, ma mirate ai servizi di webmail generici. Queste campagne si sono rivelate particolarmente insidiose, puntando a carpire dati sensibili degli utenti attraverso false pagine di login o richieste di aggiornamento delle credenziali.

Formati e canali di diffusione

L’esame delle recenti campagne malevole ha messo in luce una strategia diversificata nell’uso dei formati di file, con sette tipologie distinte identificate durante l’analisi.

Gli eseguibili (EXE) hanno mantenuto la loro posizione di preminenza, essendo stati impiegati in nove campagne separate. I file compressi ZIP seguono al secondo posto, figurando in quattro diverse campagne mentre, con una frequenza leggermente inferiore, troviamo i formati VBS, HTML e RAR, riscontrati in tre campagne ciascuno.

I file JavaScript (JS) e le immagini (IMG) hanno avuto un’incidenza minore, apparendo in una sola campagna ciascuno.

Per quanto riguarda i metodi di propagazione, le email hanno riaffermato il loro ruolo dominante come vettore di diffusione preferito. Ben 37 campagne distinte hanno fatto affidamento su questo canale, confermando la sua persistente efficacia nel raggiungere un ampio spettro di potenziali vittime.

La Posta Elettronica Certificata (PEC) è emersa come un fronte di attacco meno utilizzato, essendo stata sfruttata in due campagne separate. È infine interessante notare l’assenza di segnalazioni riguardanti l’uso di SMS.

---

---

---

https://www.securityinfo.it/2024/09/30/cert-agid-14-20-settembre-nuove-campagne-di-phishing-inps-e-per-diffondere-il-malware-vidar/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-14-20-settembre-nuove-campagne-di-phishing-inps-e-per-diffondere-il-malware-vidar

Set 24, 2024 Marina Londei Attacchi, Malware, News, RSS 0

---

Il trojan Necro torna a colpire: dopo gli attacchi del 2019, durante i quali il malware veniva distribuito tramite CamScanner, un’applicazione di text recognition, i ricercatori di Kaspersky hanno scoperto nuove tracce del trojan in versioni piratate di Spotify e in alcune mod per WhatsApp, Minecraft, Stumble Guys e altre applicazioni note per Android.

Necro usa la steganografia per nascondere il codice malevolo ai controlli di sicurezza ed è in grado di scaricare payload malevoli che a loro volta eseguono file DEX, scaricano e installano nuove applicazioni, eseguono il tunneling e abbonano l’utente a servizi a pagamento; inoltre, alcuni moduli riescono a mostrare e interagire su inserzioni presenti in finestre non visibili, aprire link ed eseguire codice JavaScript.

Inizialmente i ricercatori di Kaspersky hanno individuato il trojan in un APK modificato di Spotify Plus. Il sito web che la pubblicizzava invitava gli utenti a scaricare una nuova versione dell’applicazione, ovviamente da una fonte non legittima, in maniera gratuita. Una volta scaricata e installata l’app, Necro inviava informazioni agli attaccanti sul dispositivo infetto e scaricava nuovi payload.

Il trojan era presente anche in applicazioni disponibili su Google Play come Wuta Camera, un’app per foto che conta oltre 10 milioni di download. Gli attaccanti sono riusciti a piratare la versione 6.3.2.148, quindi il consiglio è di aggiornare il prima possibile l’applicazione all’ultima versione.

Necro ha infettato inoltre mod per WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer e Melon Sandbox, tra le applicazioni e i giochi più popolari tra gli utenti Android. I ricercatori di Kaspersky stimano che il trojan ha colpito 11 milioni di utenti Android.

La miglior difesa contro questo tipo di malware rimane sempre la prevenzione: è fondamentale scaricare applicazioni e plugin soltanto da fonti ufficiali. Poiché però anche le applicazioni sul Play Store sono a rischio, è importante dotarsi di soluzioni di protezione per i propri dispositivi e controllare attentamente le recensioni, soprattutto quelle con la valutazione minore.

---

---

---

https://www.securityinfo.it/2024/09/24/il-trojan-necro-ha-attaccato-11-milioni-di-utenti-android/?utm_source=rss&utm_medium=rss&utm_campaign=il-trojan-necro-ha-attaccato-11-milioni-di-utenti-android