Da qualche giorno, tutti i media italiani e non solo riportano la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.
Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022.
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della 3° settimana di Luglio
La scorsa settimana il CERT ha individuato e analizzato 30 campagne dannose attive nel cyber spazio italiano: di queste 28 sono state mirate contro utenti italiani, 2 invece sono state generiche ma hanno comunque interessato l'Italia. Le famiglie di malware in diffusione sono state 9, 14 le campagne malware: questa settimana spicca l'assenza di campagne di distribuzione di Emotet.
Bizarro è un trojan bancario nato in Brasile ma che, da qualche settimana, ha varcato i confini e sta bersagliando i clienti di oltre 70 diversi istituti bancari in Europa e in Sud America. Una volta che è riuscito a violare un sistema Windows, questo trojan cerca in ogni modo di ingannare gli utenti a inserire le proprie credenziali bancarie e, tramite varie tecniche di ingegneria sociale, a convincerli a diffondere i codici di autenticazione a due fattori.
La diffusione Bizarro è un trojan piuttosto pericoloso perchè è costantemente in sviluppo: i suoi gestori allungano continuamente la lista delle banche bersaglio e implementano a cadenza molto ravvicinata molte tecniche per prevenire l'individuazione da parte di soluzioni di sicurezza ma anche per rendere più complicata possibile l'analisi del codice da parte dei ricercatori di sicurezza.
Stando ai dati telemetrici ad ora disponibili, Bizarro sta colpendo gli utenti di istituti bancari in nazioni nelle quali la sua presenza non era mai stata registrata: in Europa il trojan si concentra sui clienti di istituti bancari tedeschi, spagnoli, portoghesi, francesi ed italiani, mentre in Sud America i più colpiti sono i clienti di banche cilene, argentine e brasiliane.
La campagna di attacco Bizarro viene diffuso con la più classica email di phishing che, prodotta in più lingue, riferisce comunque allo stesso tema: le email sono mascherate da messaggi ufficiali che riferiscono a fantomatici ammanchi e obblighi fiscali. Il corpo del messaggio contiene un link dal quale viene scaricato, in formato .MSI, il trojan.
Una volta avviato, il malware scarica un archivio .ZIP con i componenti dannosi dei quali necessita collegandosi a server appositamente compromessi sui servizi WordPress, Amazon e Azure.
QNAP ha sollecitato gli utenti ad aggiornare l'app di disaster recovery Hybrid Backup Sync - HBS3 per impedire al ransomware Qlocker di colpite i propri NAS QNAP esposti su Internet.
"Il ransomware conosciuto come Qlocker sfrutta la vulnerabilità CVE-2021-28799 per attaccare i NAS QNAP che eseguono certe versioni di HBS3" hanno fatto sapere con apposito avviso di sicurezza.
Insomma, per impedire a Qlocker di infettare il proprio NAS QNAP basta aggiornate HBS3 all'ultima versione disponibile.
La vulnerabilità CVE-2021-28799 E' una vulnerabilità che conduce ad autorizzazioni improprie sul dispositivo. Se correttamente sfruttata, agisce, nei fatti, come un account backdoor che consente all'attaccante di accedere a dispositivi che eseguono versioni obsolete di HBS3. Questa vulnerabilità è già stata risolta per le versioni HBS3:
Certo, non è una novità: sono molteplici gli strumenti legittimi che vegono "piegati" a finalità illegittime da parte dei cyber attaccanti. Caso eclatante, putroppo già da qualche anno e Microsoft non sembra riuscire a porre rimedio al problema, è quello che riguarda BitLocker: BitLocker Drive Encryption è una funzionalità di protezione dei dati che consente di criptare parti oppure intere partizioni del sistema operativo. Nato quindi come strumento di sicurezza è in uso già da qualche anno come vero e proprio ransomware.
Ora ci siamo di nuovo: alcuni ricercatori di sicurezza hanno individuato e analizzato una campagna di distribuzione malware che sfrutta il tool di sviluppo Microsoft Build Engine (MSBuild) per distribuire prima il RAT Remcos, quindi, ottenuto il controllo remoto del sistema target, il malware infostealer e per il furto di credenziali RedLine. La campagna è iniziata ad Aprile ma è tutt'ora in corso ed è estremamente preoccupante perchè riesce ad eludere i controlli delle soluzioni antivirus più diffuse.
I protagonisti Microsoft Build Engine (MSBuild) in breve è uno strumento creato da Microsoft per sviluppare applicazioni tramite file di progetto .XML: ha funzionalità che consentono l'attività inline, rendendo possibile compilare codice ed eseguirlo direttamente in memoria. E' proprio questa capacità di eseguire codice in memoria che ha aperto la strada ad usi illegittimi del tool, garantendo agli attaccanti, in estrema semplicità la possibilità di sferrare attacchi fileless: gli attacchi fileless sono estremamente difficili da individuare perchè non scaricano alcun file sul sistema, ma anche perchè non lasciano tracce sulla macchina infetta.
Rispetto a questa campagna di attacco, i ricercatori non hanno chiare lemodalità con cui sono distribuiti i file progetto di MSBuild (file formato .proj), ma sono stati determinati con certezza i payload distribuiti, ovvero RAT Remcos e lo Stealer RedLine.
360bitnews.it è un sito rivolto a tutti gli appassionati del mondo ICT, esperti e non, che amano questo mondo a 360 gradi. Programmazione, Progettazione, Reti, Sicurezza, Arduino, RaspBerry e tanto altro: argomenti degli articoli e delle news di ogni giorno, sempre al passo con i tempi, cercando di raccogliere il maggior numero di consensi e riuscire a coinvolgere un numero sempre maggiore di persone. Come ogni progetto che vuole evolversi, puntiamo all'eccellenza e quindi vogliamo che i migliori professionisti collaborino con noi.