Panoramica degli incidenti di sicurezza per il periodo dal 7 al 13 agosto 2021

Una breve panoramica dei principali eventi nel mondo della sicurezza informatica per la settimana.

La settimana che si sta chiudendo si è rivelata estremamente ricca di una serie di eventi nel mondo della sicurezza informatica, dalla più grande rapina nella storia delle criptovalute all’hacking di migliaia di pagine Facebook tramite un trojan Android. Leggi di questi e altri eventi nel mondo della sicurezza delle informazioni per il periodo dal 7 al 13 agosto 2021 in questa recensione di riepilogo.

Appena due giorni dopo la divulgazione di una vulnerabilità che “interessa potenzialmente milioni di router domestici”, Juniper Threat Labs ha trovato prove che era già stata attivamente sfruttata negli attacchi degli hacker. Il 3 agosto 2021, un ricercatore della società di sicurezza delle informazioni Tenable Evan Grant ha pubblicato dettagli su diverse vulnerabilità nei router di numerosi operatori di telecomunicazioni, tra cui Verizon e O2, e solo due giorni dopo, gli specialisti di Juniper Threat Labs hanno scoperto che una di loro (CVE-2021-20090) ha cominciato ad essere sfruttata dagli hacker.

I criminali informatici si sono anche armati delle famigerate vulnerabilità di PrintNightmare e ora stanno attaccando i server Windows per distribuire il ransomware Magniber. PrintNightmare è una classe di vulnerabilità (CVE-2021-1675, CVE-2021-34527 e CVE-2021-36958) nello spooler di stampa di Windows, nei driver di Windows e nella funzionalità Point and Print di Windows. I ricercatori di CrowdStrike hanno scoperto che gli operatori di ransomware Magniber stanno ora sfruttando le vulnerabilità di PrintNightmare negli attacchi alle vittime in Corea del Sud.

I criminali informatici stanno scansionando attivamente Internet alla ricerca di installazioni disponibili di Microsoft Exchange con vulnerabilità ProxyShell prive di patch. Le scansioni sono iniziate dopo che i nuovi dettagli sulle vulnerabilità sono stati presentati la scorsa settimana alla conferenza Black Hat a Las Vegas.

Durante il periodo di riferimento, sono apparse contemporaneamente diverse segnalazioni di botnet. Così, gli esperti della società Splunk hanno annunciato la ripresa dell’attività degli operatori botnet Crypto. I criminali informatici attaccano i server virtuali Windows Server all’interno di Amazon Web Services con Remote Desktop Protocol (RDP) abilitato. Dopo aver rilevato le macchine virtuali vulnerabili, gli aggressori effettuano un attacco di forza bruta. In caso di successo, gli hacker installano strumenti per estrarre la criptovaluta Monero.

I ricercatori di sicurezza informatica di Uptycs hanno segnalato una campagna dannosa in cui gli hacker utilizzano un worm scritto in lingua Golang per installare un cryptominer sui dispositivi delle vittime. Cryptominer modifica le configurazioni della CPU sui server Linux compromessi per migliorare l’efficienza e le prestazioni del suo codice di mining di criptovaluta. Secondo gli esperti, questa è la prima volta che gli aggressori modificano i Registri Model-Specific Register (MSR) di un processore per disabilitare la funzione Hardware Prefetcher della CPU.

Il produttore di NAS taiwanese Synology ha avvisato i clienti di una campagna dannosa in cui gli operatori di botnet StealthWorker attaccano i dispositivi NAS e li infettano con ransomware. Secondo il Product Security Incident Response Team (PSIRT) di Synology, i dispositivi Synology NAS compromessi da questi attacchi vengono utilizzati in ulteriori tentativi di compromettere altri sistemi Linux.

Microsoft ha avvertito di diverse campagne dannose contemporaneamente. In particolare, ha parlato di una campagna di phishing dannosa di cui sono stati vittime molti utenti di Microsoft Office 365. Secondo gli esperti, nel luglio 2020 sono iniziati numerosi attacchi. In una campagna di phishing in corso, gli aggressori incoraggiano le vittime a trasferire le proprie credenziali di Office 365 utilizzando gli allegati XLS.HTML.

Il team di Microsoft Security Intelligence ha anche annunciato una nuova campagna di malware chiamata BazaCall. La campagna utilizza e-mail di moduli di contatto falsi per violazione del copyright e file dannosi che presumibilmente contengono “immagini rubate”. In questo modo, i truffatori cercano di indurre gli utenti a scaricare malware.

Uno degli eventi più noti della settimana è stato l’attacco alla piattaforma blockchain transnazionale Poly Network. A seguito dell’attacco, un hacker sconosciuto è riuscito a trasferire più di 600 milioni di dollari in criptovaluta sui propri portafogli, rendendola la più grande rapina nella storia delle criptovalute. Tuttavia, poco dopo, qualcuno sotto lo pseudonimo di “Mr. White Hat” iniziò a recuperare i beni rubati. L’hacker ha dichiarato che il suo obiettivo era dimostrare la vulnerabilità nella rete Poly e restituirà tutti i fondi rubati.

Gli hacker hanno attaccato la piattaforma di crowdfunding DAO Maker e ne hanno prelevato 7 milioni di dollari in stablecoin USDC. I rappresentanti della piattaforma DAO Maker hanno riferito sul loro canale Telegram che l’attacco ha interessato solo lo smart contract di custodia. I token DAO e le risorse di staking non sono stati influenzati dagli aggressori, hanno assicurato i rappresentanti di DAO Maker.

Tradizionalmente, non è stata una settimana senza attacchi di ransomware. Uno dei più noti è stato l’attacco alla società di consulenza Accenture Fortune 500. La società è stata vittima di un attacco utilizzando il ransomware LockBit.

Noto produttore di schede madri, schede grafiche e altri componenti per computer, Gigabyte è stato anch’egli attaccato da un estorsore. Il gruppo di hacker RansomExx ha dichiarato che durante l’attacco è riuscito a sottrarre 112 gigabyte di dati. Gli aggressori minacciano di metterli online se Gigabyte si rifiuta di pagarli.

Lo sviluppatore ed editore di giochi per computer Crytek ha confermato di essere stato vittima del ransomware Egregor nell’ottobre 2020. Gli hacker hanno crittografato i sistemi dell’azienda, hanno rubato file con dati riservati dei clienti e li hanno pubblicati sul loro sito di perdite della darknet. Crytek ha inviato notifiche pertinenti agli utenti interessati solo nell’agosto 2021.

Il ransomware eCh0raix ha ricevuto la funzione di crittografia di QNAP e Synology Network Attached Storage (NAS). Il malware ECh0raix, noto anche come QNAPCrypt, è stato rilevato per la prima volta nel giugno 2016. Il ransomware ha attaccato i dispositivi QNAP NAS a ondate. La prima “ondata” si è svolta a giugno 2019 e la seconda a giugno 2020. Nel 2019, eCh0raix ha anche crittografato i dispositivi prodotti da Synology, pre-hackerandoli usando la forza bruta. Ora il ransomware ha una funzione di crittografia per entrambe le famiglie di dispositivi.

Sul forum di riferimento hacker è stato pubblicato una misteriosa chiave universale per decifrare i file crittografati dal ransomware REvil durante un attacco ai clienti di Kaseya. Ricordiamo che il 2 luglio di quest’anno, il gruppo REvil ha attaccato i fornitori di servizi gestiti in tutto il mondo attraverso una vulnerabilità zero-day nell’applicazione di controllo remoto Kaseya VSA. Dopo l’attacco, il ransomware ha chiesto 70 milioni di dollari per uno strumento universale che ripristinasse i file crittografati di tutti i clienti Kaseya. Tuttavia, il gruppo REvil ha misteriosamente cessato di esistere e i suoi portafogli e tutte le infrastrutture sono stati disattivati. Il 22 luglio, Kaseya ha ricevuto un decryptor universale da una misteriosa “terza parte” e ha iniziato a distribuirlo ai suoi clienti. Questa settimana, una misteriosa chiave master è stata pubblicata su uno dei forum degli hacker.

La chiave principale per gli utenti che sono diventati le loro vittime tra luglio 2017 e l’inizio del 2021 è stata pubblicata dal gruppo ransomware El_Cometa, precedentemente noto come SynAck. Come hanno affermato i rappresentanti di SynAck, hanno deciso di rilasciare una chiave principale per recuperare i file crittografati dal ransomware durante le vecchie operazioni, poiché intendono concentrarsi su quelli nuovi. Così, alla fine del mese scorso, il gruppo ha iniziato nuove operazioni denominate El_Cometa.

Non senza fughe di dati durante la settimana. Così, gli hacker hanno messo in vendita documenti segreti del Ministero degli affari esteri della Lituania. Gli aggressori hanno rubato la corrispondenza del ministero degli Esteri con le ambasciate della repubblica baltica all’estero e le ambasciate di altri paesi in Lituania. Su questo fatto è in corso un’indagine.

La Commissione europea sta indagando sull’hacking del suo progetto Cybersecurity Atlas dopo che una copia del database interno della risorsa è stata messa in vendita su un forum sotterraneo. Un aggressore non identificato ha messo in vendita i dati rubati su un forum clandestino, sostenendo di aver ottenuto l’accesso all’intero database di Cybersecurity Atlas. Il venditore intende completare la transazione tramite il messenger Discord.

Un gruppo di criminali informatici cinese ha attaccato le organizzazioni israeliane in una campagna dannosa lanciata nel gennaio 2019. Gli hacker hanno spesso usato bandiere false nel tentativo di travestirsi da criminali iraniani. Secondo gli esperti della società di sicurezza informatica Mandiant, gli attacchi hanno preso di mira agenzie governative israeliane, società informatiche e fornitori di servizi di telecomunicazione. Gli aggressori, che vengono tracciati con il nome in codice UNC215, hanno regolarmente compromesso le organizzazioni tramite i server Microsoft SharePoint che contengono la vulnerabilità CVE-2019-0604.

Questa settimana, gli utenti dei social network e della messaggistica istantanea sono stati attaccati da malware. Ad esempio, il malware FatalRAT è distribuito nel messenger di Telegram. Il Trojan di accesso remoto FatalRAT non solo ruba dati dai russi, ma colpisce anche il sistema di sicurezza del dispositivo su cui è installato il messenger. Il programma dannoso esegue attacchi da remoto e si diffonde all’interno di canali e chat.

Gli specialisti della società di sicurezza informatica Zimperium hanno scoperto una nuova campagna dannosa rivolta agli utenti Android. La campagna utilizza il malware FlyTrap per hackerare gli account Facebook rubando i cookie di sessione. Più di 10mila utenti in 140 paesi del mondo sono già diventati vittime del malware.