Un’ondata di infezioni di malware JavaScript sta colpendo i siti WordPress che utilizzano versioni vulnerabili del plugin LiteSpeed Cache. Questo malware inietta codice in file critici di WordPress e nelle basi dati, compromettendo gravemente la sicurezza del sito.

Segnali di Contaminazione

Se noti l’utente amministratore wpsupp-user sul tuo sito, è probabile che sia stato infettato. Altri segni includono codice malevolo nei file del sito e stringhe sospette nel database, specialmente associati con la versione vulnerabile di LiteSpeed Cache.

Procedure di pulizia

• Revisione dei Plugin: Controlla i plugin installati, applica gli aggiornamenti disponibili e elimina le cartelle associate ai plugin sospetti.
• Utenti Maliziosi: Stai attento agli utenti con privilegi di amministratore, come wpsupp-user e wp-configuser.
• Ricerca nel Database: Cerca stringhe sospette come “eval(atob(Strings.fromCharCode” nell’opzione litespeed.admin_display.messages.

Identificazione di URL e IP malevoli

• Gli URL maliziosi spesso includono https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api.startservicefounds.com, e https[:]//cache[.]cloudswiftcdn[.]com.
• Presta attenzione agli IP associati al malware, come 45.150.67.235.

Vettore d’Attacco – LiteSpeed Cache < 5.7.0.1

Gli aggressori possono iniettare questo script nelle versioni vulnerabili del plugin LiteSpeed, rappresentando un rischio per la sicurezza. I log del WAF dell’ultimo mese hanno mostrato un picco insolito di accessi a questa URL il 2 aprile e poi nuovamente il 27 aprile. Gli IP più comuni che probabilmente cercavano siti vulnerabili erano 94.102.51.144, con 1,232,810 richieste, e 31.43.191.220 con 70,472 richieste. Questa situazione sottolinea l’importanza di mantenere aggiornati i plugin come Litespeed e monitorare attivamente la sicurezza dei siti web per prevenire infezioni malware da Javascript e mitigare rischi.

Cos’è LightSpeed Cache?

LiteSpeed Cache è un plugin di accelerazione del sito tutto-in-uno per WordPress, che offre una cache a livello di server esclusiva e una serie di funzionalità di ottimizzazione. Questo plugin è particolarmente efficace quando è utilizzato in combinazione con il server web LiteSpeed, permettendo di sfruttare appieno le funzionalità del server per migliorare drasticamente la velocità di caricamento delle pagine web.

Il plugin LiteSpeed Cache include strumenti per l’ottimizzazione del sito web per contenuti dinamici su siti WordPress, come immagini e pagine web, tramite la cache delle pagine, la minimizzazione dei CSS, JavaScript e HTML, l’ottimizzazione delle immagini e il caricamento pigro. Queste funzionalità aiutano a ridurre i tempi di caricamento, migliorare il punteggio di PageSpeed e aumentare l’usabilità complessiva del sito.

Per maggiori dettagli e per il download, puoi visitare la pagina ufficiale del plugin LiteSpeed Cache su WordPress.org o il sito di LiteSpeed Technologies.

Un importante accordo di sicurezza informatica è stato firmato a Roma tra la Polizia di Stato e il Gruppo Engineering. L’accordo è stato ratificato dal capo della Polizia, Vittorio Pisani, e Maximo Ibarra, amministratore delegato del Gruppo Engineering.

Obiettivi del protocollo

L’obiettivo principale di questa convenzione è sviluppare e potenziare le strategie di prevenzione e contrasto al cybercrime. Si prevede una collaborazione continua per adottare misure sempre più efficaci nel campo della sicurezza informatica.

Contributo del Gruppo Engineering

Il Gruppo Engineering, che conta oltre 70 aziende distribuite in 14 paesi tra Europa, Stati Uniti e Sud America, ha una storia quarantennale nel supporto alla digitalizzazione della Pubblica Amministrazione e delle imprese di vari settori. Il gruppo offre servizi informatici avanzati, sfruttando tecnologie all’avanguardia come Intelligenza Artificiale, Blockchain, Realtà Virtuale e Digital Twin. Con una forte competenza in cybersecurity, il gruppo garantisce alti livelli di sicurezza sia per sé stesso che per i suoi partner.

Ruolo della Polizia di Stato

La Polizia di Stato, attraverso la Polizia Postale, è deputata alla protezione delle infrastrutture critiche informatizzate di istituzioni e aziende che erogano servizi essenziali. Questa funzione è svolta principalmente dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic), che opera una sala operativa disponibile 24 ore su 24 e rappresenta il punto di contatto nazionale e internazionale per la gestione di eventi critici legati alle infrastrutture di rilievo nazionale.

Presenze notevoli

Alla firma della convenzione erano presenti importanti figure sia della Polizia di Stato, come Renato Cortese, direttore centrale per la Polizia Stradale, Ferroviaria, delle Comunicazioni e per i Reparti Speciali, e Ivano Gabrielli, direttore del servizio Polizia Postale, che del Gruppo Engineering S.p.A., inclusi il chief public affairs, Roberto Scrivo, e il Group chief information security officer, Pierluigi Carbone.

Questo accordo segna un passo significativo verso un rafforzamento della sicurezza informatica in Italia, mostrando l’importanza della collaborazione tra il settore pubblico e quello privato nel contrasto al cybercrime. Questo protocollo rappresenta un modello di cooperazione interistituzionale che potrebbe fornire un framework replicabile per altre iniziative simili, sia in Italia che a livello internazionale.

Le autorità degli Stati Uniti, insieme a quelle del Regno Unito e dell’Australia, hanno recentemente fatto importanti progressi nel contrasto del gruppo di ransomware LockBit, con l’incriminazione e la sanzione di Dmitry Yuryevich Khoroshev, un cittadino russo di 31 anni, accusato di essere il leader di questo infame gruppo. Khoroshev, assieme ad altri membri del gruppo, è ritenuto responsabile di attacchi su oltre 2,500 vittime in più di 120 paesi, causando danni miliardari e estorcendo pagamenti per un totale di almeno $500 milioni.

Le operazioni di LockBit

LockBit, attivo dal settembre 2019, è diventato noto per la sua abilità nel penetrare una vasta gamma di target, inclusi individui, piccole imprese, grandi corporazioni, istituzioni educative, ospedali e infrastrutture critiche. Il modello operativo del gruppo prevedeva il “doppio estorsione”, che comportava il pagamento di un riscatto per la chiave di decifratura dei sistemi colpiti e un ulteriore pagamento per evitare la pubblicazione di dati rubati.

L’Indagine e le sanzioni

La recente incriminazione di Khoroshev è il risultato di una collaborazione internazionale che ha visto un’azione coordinata per smantellare le infrastrutture online di LockBit. Gli Stati Uniti hanno giocato un ruolo chiave in questa operazione, con il Dipartimento di Giustizia che ha formalizzato le accuse e lanciato appelli alle vittime di LockBit per assistere nell’indagine. Inoltre, sono state poste in essere sanzioni finanziarie contro Khoroshev e altri membri del gruppo, congelando i loro beni e limitando ulteriormente la loro capacità operativa.

Le Implicazioni per la Sicurezza Globale

Questo caso sottolinea l’importanza della collaborazione internazionale nella lotta contro il cybercrime, specialmente per quanto riguarda i ransomware che possono colpire indiscriminatamente su scala globale. L’efficacia di tali operazioni non solo aiuta a neutralizzare minacce immediate, ma serve anche da deterrente per altri cybercriminali.

L’indagine su LockBit e l’incriminazione dei suoi leader è un esempio significativo di come la cooperazione transnazionale possa portare a risultati concreti nella lotta contro il cybercrime. Mentre la minaccia dei ransomware continua a evolversi, la determinazione e le risorse combinate di più nazioni rimangono strumenti cruciali per contrastare efficacemente questi attori malintenzionati. Questo episodio sottolinea la complessità e la pericolosità del panorama delle minacce cyber e l’importanza di un’azione coordinata per la sicurezza digitale globale.