Viaggio sul fattore umano della DEA americana e aggiornamenti di REvil
Buon sabato e ben ritrovato caro cyber User. Questa settimana ha avuto grande eco l'attacco alle istituzioni italiane, operato nello sciame dei DDoS filo russi, rivolti ai paesi che nella loro posizione geopolitica, sostengono l'Ucraina nell'attuale scenario. Senato, Istituto Superiore di Sanità, Ministero della Difesa e ACI tra i più noti colpiti. Ne parlo con due analisi per CyberSec360 sia sulla ricostruzione dell'attacco, sia sull'allerta post-attacco dell'ACN, una puntuale e precisa copertura la trovate anche su Wired (anche qui). Vediamo ora di analizzare qualche scenario non toccato in settimana
In breve oggi ti parlo di:
Indagini in corso su presunto attacco alla DEA degli Stati Uniti
Aggiornamenti sul ritorno di REvil nelle scene cyber
Alcuni strumenti utili della settimana
Indagini in corso su presunto attacco alla DEA degli Stati Uniti
La Drug Enforcement Administration (DEA) statunitense ha dichiarato di aver avviato un'indagine su un'accusa di attacco informatico che ha compromesso i database di 16 agenzie federali.
I ricercatori di KrebsOnSecurity affermano che il caso riguardava un gruppo di criminali informatici che hanno utilizzato i nomi delle forze dell'ordine per accedere a informazioni riservate.
Alcuni giorni fa, i ricercatori sono stati allertati da un gruppo di criminali che riusciva ad accedere a nomi utente e password nel sistema di richiesta e notifica delle forze dell'ordine (LEIA) e recuperare informazioni da database interni ed esterni, compresi i dati classificato come "sensibile". LEIA, in collaborazione con il Federal Bureau of Investigation (FBI) e il Dipartimento di Giustizia (DOJ), porta avanti ricerche federali nei database di 16 forze dell'ordine federali negli Stati Uniti.
Il rapporto Krebs contiene alcuni screenshot che mostrano che gli hacker potrebbero aver avuto accesso a uno dei database disponibili tramite LEIA, il Centro informazioni di El Paso (EPIC). Soggetti pericolosi ricercano quindi nel database i record di proprietà confiscate di ogni tipo, comprese auto, barche, armi e persino droni.
È interessante notare che queste informazioni sono state segnalate a KerbsOnSecurity da un amministratore di una comunità di criminalità informatica online chiamata Doxbin "KT". Questo attore malevolo è stato recentemente identificato come il leader del gruppo cyber criminale Lapsus$, che ha effettuato attacchi di alto profilo contro grandi nomi come Microsoft, Nvidia e Samsung.
Gli attaccanti sono anche accusati di utilizzare account di posta elettronica delle forze dell'ordine per eseguire false richieste di dati di emergenza (EDR), che richiedono alle società tecnologiche di accedere alle informazioni riservate degli utenti come agenti di polizia. . Si sospetta che queste operazioni si ricolleghino a membri di Lapsus$, ma il motivo dell'attacco è attualmente sconosciuto e si sta ancora valutando la possibilità di un gruppo offensivo sostenuto da uno stato.
La DEA continuerà a studiare il rapporto e attenderà il rilascio ufficiale dei nuovi dati. Nel frattempo, guardando l'operazione nel suo complesso, sembra di rivivere il deja vu del recente caso sotto Apple e Meta, entrambe vittime di questo tipo di attacco.
Aggiornamenti sul ritorno di REvil nelle scene cyber
Il ransomware REvil, un tempo defunto, sembra essere realmente tornato sulla scena mentre i ricercatori fanno luce sui nuovi sviluppi. È stato riscontrato che gli attori delle minacce hanno ripreso le loro operazioni, suggerendo l'evoluzione delle versioni più recenti del ransomware che probabilmente alimenteranno le campagne future.
Durante un'analisi dell'attività infrastrutturale, i ricercatori di Secureworks hanno scoperto, diffondendone il report questa settimana, che GOLD SOUTHFIELD, gli operatori dietro REvil, ha ripreso la sua attività ad aprile. La banda aveva subito una grave battuta d'arresto nell'ottobre 2021 dopo che le agenzie federali avevano interrotto la sua infrastruttura, anche con una serie di arresti eclatanti.
Inoltre, l'analisi dei campioni ha rivelato che gli operatori hanno accesso al codice sorgente originale e lo stanno utilizzando per creare versioni potenti del ransomware.
L'ultima versione del malware, tracciata come 2.08, include modifiche alle chiavi utilizzate per il processo di crittografia, alla posizione di archiviazione della configurazione, al formato di tracciamento degli affiliati e al dominio utilizzato per negoziare le richieste di riscatto:
Leak site di REvil: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion
Pagina per i pagamenti dei riscatti REvil: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion
Nella prima settimana di maggio, è stato scoperto invece che il sito Tor utilizzato dal gruppo ransomware REvil era nuovamente online sul dark web. Tuttavia, l'aspetto interessante del sito era che reindirizzava i visitatori a URL per nuove operazioni di ransomware senza nome, invece di mostrare i vecchi siti Web. Inoltre, questi nuovi siti contenevano un mix tra nuove vittime e dati rubati durante i precedenti attacchi REvil.
Non sarà una sorpresa se REvil riprenderà gli attacchi rinominandosi, con operazione di rebranding ad hoc. È un processo tipico utilizzato dagli attori delle minacce per eludere le forze dell'ordine o le sanzioni che rallenterebbero i pagamenti dei riscatti. Pertanto, le organizzazioni devono stare al passo con tali minacce e rafforzare i propri sistemi di difesa per contrastare futuri attacchi ransomware.
Alcuni strumenti utili della settimana
.NET Antivirus evasion tool: https://github.com/ch2sh/Jlaive
FBI tools: https://github.com/danieldurnea/FBI-tools
Una completa guida per le analisi sul Credential Dumping: https://github.com/Ignitetechnologies/Credential-Dumping
Pratical exploitation, una raccolta di esempi per exploit su vulnerabilità di Windows Print Spooler: https://github.com/BeetleChunks/SpoolSploit
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.