Cl0p, ransomware e ultimi rapporti 2022
Buon sabato e ben ritrovato caro cyber User. Tra i chiacchiericci della settimana resta a galla il discorso Twitter e rimane innegabile la differenza di gestione tra il prima e il post Elon Musk. I giornali di tutto il mondo aprono inchieste quotidiane basate sulle decisioni che il magnate americano implementa o cancella. Ne parla il Wall Street Journal, il Guardian e il New York Times, evidentemente un cambiamento c'è stato e alcune decisione stanno impattando sulla società. Molte delle più importanti istanze Mastodon ora sono state inserite in una sorta di backlist di Twitter, così che d'ora in poi, qualsiasi link condiviso nel social dell'uccellino blu appartenente alle istanze bloccate, viene segnalato all'utente che ci clicca come pericoloso (una sorta di censura interna).
Tra le novità spiccano anche quelle inerenti la spunta Blu, che ora viene trattata (per tutti coloro che l'avevano prima di Musk) con sospetto e con tanto di avviso che sottolinea il fatto che "tale spunta è stata applicata dal board direttivo precedente, e che può non essere in linea di notorietà come ci si aspetta". L'avviso sembra impattare su tutti, profilo ufficiale di Elon compreso.
Nel frattempo se volete farvi un giro su Mastodon, usate la nostra istanza: mastodon.insicurezzadigitale.com ah no, questa non è bloccata su Twitter, per ora.
In breve oggi ti parlo di:
La chat segreta di Cl0p ransomware
Cosa nasce dalle ceneri del ransomware?
Varie ed eventuali
La chat segreta di Cl0p ransomware
Di recente, i ricercatori di Hold Security hanno ottenuto evidenze di discussioni tra i membri di due gruppi di ransomware: Cl0p (che si pensa abbia avuto origine dal gruppo TA505) e un gruppo relativamente nuovo noto come Venus. Questi attori del gruppo stanno cospirando attacchi contro il settore sanitario e dirigenti di organizzazioni, in particolare negli Stati Uniti
L'ultimo piano di Venus ruota attorno all'incastrare dirigenti impiegati presso società pubbliche per accuse di insider trading.
Modifica uno o più file di posta in arrivo presso un'azienda vittima per inserire messaggi che discutono le informazioni di insider trading dell'azienda su informazioni non pubbliche.
Induce la potenziale vittima a credere che questi file siano stati creati sul suo computer e lo minaccia con la pubblicazione o il rilascio pubblico di questi record.
Gli esperti hanno affermato che gli aggressori possono inserire e-mail nelle caselle di posta utilizzando i file .pst di Microsoft Outlook da un sistema compromesso.
I membri del ransomware Cl0p prendono di mira le organizzazioni sanitarie che forniscono consulenze su Internet e inviano loro cartelle cliniche esplosive per il paziente.
In questo metodo, inviano a medici o infermieri file infetti camuffati da immagini di ecografie o altri documenti medici per un paziente che richiede una consulenza remota su problemi come malattie cardiovascolari, cirrosi o fibrosi epatica.
Le discussioni hanno rivelato che i membri di Cl0p non hanno rivendicato così tante vittime. Tuttavia, si sono vantati due volte di aver avuto successo nell'infiltrarsi in nuovi target nel settore sanitario.
Alla fine della scorsa settimana, Talos Group di Cisco ha pubblicato una panoramica dell'attività TrueBot osservata di recente. Il malware viene utilizzato dalla banda russofona Silence per distribuire il ransomware Cl0p. Gli attacchi Cl0p sono in genere operazioni a doppia estorsione, con i dati rubati prima della crittografia. Talos scrive: "Durante le indagini su uno di questi attacchi, abbiamo trovato quello che sembra essere uno strumento di esfiltrazione di dati personalizzato completo, che chiamiamo 'Teleport', che è stato ampiamente utilizzato per rubare informazioni durante l'attacco". Ci sono alcune forti indicazioni circostanziali che Silence sia associato alla più nota banda Evil Corp e all'attività criminale finanziaria Fin11. Finora non ci sono prove sufficienti per suggerire che la banda si stia concentrando su settori particolari escludendone altri, ma Talos ha notato una serie di operazioni anche contro le istituzioni educative.
Le intuizioni della discussione tra questi membri del gruppo la dicono lunga sul loro sforzo collaborativo per abbattere obiettivi specifici per guadagni finanziari. Mentre gli operatori Cl0p cambiano frequentemente malware e guidano le tendenze globali nella distribuzione di malware criminale, Venus sta facendo sentire la sua presenza a livello globale. Sarebbe utile formare i propri dipendenti e personale in genere per poter identificare e rispondere alle e-mail di phishing, evitando di cadere in tali trappole.
Cosa nasce dalle ceneri del ransomware?
I ricercatori di Fortinet si sono recentemente imbattuti in tre nuove famiglie di ransomware: Vohuk, ScareCrow e AESRT. Queste famiglie di ransomware hanno preso di mira i sistemi Windows.
Vohuk ha preso di mira principalmente la Germania e l'India.
Crittografa diversi tipi di file e li rende completamente inutilizzabili. Aggiunge l'estensione .Vohuk ai file crittografati e sostituisce le icone dei file con un'icona a forma di lucchetto rosso.
Sostituisce lo sfondo del desktop con il proprio e lascia un mutex distintivo, che impedisce l'esecuzione di diverse istanze di Vohuk sullo stesso sistema.
Una richiesta di riscatto viene visualizzata sul sistema della vittima per contattare l'attaccante via e-mail con un ID univoco assegnato a ciascuna vittima.
In una nota di riscatto, c'era una menzione di Vohuk ransomware v1.3, il che indica che l'attaccante lo ha già aggiornato più volte.
Il ransomware ScareCrow crittografa i file sui computer delle vittime e aggiunge l'estensione file .CROW ai file interessati.
Gli attacchi di ScareCrow sono relativamente diffusi in Germania, India, Italia, Filippine, Russia e Stati Uniti. La richiesta di riscatto istruisce le vittime a contattare l'aggressore utilizzando uno dei tre canali Telegram forniti.
ScareCrow presenta alcune somiglianze con Conti, come l'uso dell'algoritmo CHACHA per crittografare i file e l'utilizzo dell'utilità WMIC per eliminare le copie shadow del volume.
Le somiglianze suggeriscono che gli sviluppatori di ScareCrow potrebbero aver utilizzato il codice sorgente di Conti trapelato all'inizio di quest'anno. Tuttavia, ci sono differenze significative nei due codici ransomware, indicando che i suoi sviluppatori si sono impegnati ulteriormente ad apportarne modifiche sostanziali.
I ricercatori hanno scoperto un altro nuovo ransomware, soprannominato AERST, che crittografa i file su macchine compromesse e aggiunge un'estensione di file .AERST ai file interessati.
Invece di rilasciare una tipica richiesta di riscatto, visualizza una finestra popup che include l'indirizzo e-mail dell'aggressore.
Il display contiene un campo per inserire la chiave acquistata necessaria per decrittografare i file crittografati. Inoltre, elimina le copie shadow per impedire il ripristino dei file.
Varie ed eventuali
Il National Institute of Standards and Technology (NIST) negli Stati Uniti ha annunciato che è ora di smettere di usare Secure Hash Technique-1 (SHA-1), un algoritmo vulnerabile che è stato utilizzato per motivi di sicurezza negli ultimi 27 anni. "Se sei preoccupato per la tua sicurezza e stai ancora utilizzando SHA-1, ti consigliamo vivamente di passare a SHA-2 o SHA-3 il prima possibile". Così avverte NIST.
Online l'ultimo rapporto Clusit, che conferma l'Italia nella morsa del ransomware. Nella stessa occasione è stato aggiornato anche il Direttivo dell'associazione con la seguente nuova compagine: oltre al presidente Gabriele Faggioli, a Serena Contu, Luisa Franchina, Sofia Scozzari e Anna Vaccarelli, anche Paolo Giudice, Corrado Giustozzi, Fabio Guasconi, Fabio Lazzini, Davide Manconi, Carlo Mauceli, Marco Misitano, Roberto Obialero, Stefano Quintarelli, Giorgio Sbaraglia, Claudio Telmon, Angelo Tofalo, Enzo Veiluva.
Cert-AGID ha pubblicato l'analisi dei risultati ottenuti dall'ultimo monitoraggio dei siti Web della pubblica amministrazione italiana. Migliora l'utilizzo dell'HTTPS che ancora tuttavia non è totale tra i portali dello Stato. Tuttavia ancora presenti molti redirect a HTTP e down generalizzati (quindi irraggiungibilità) di un grande numero di siti Web.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.