Cyber Security
CISA e Europol rilasciano un avviso sul ransomware Akira
Tempo di lettura: < 1 minuto. CISA e partner internazionali rilasciano un avviso critico sul ransomware Akira, dettagliando le tattiche e fornendo misure di mitigazione
CISA, insieme all’FBI, al Centro Europeo per la Lotta alla Cybercriminalità di Europol (EC3) e al Centro Nazionale per la Sicurezza Cyber dei Paesi Bassi (NCSC-NL), ha pubblicato un Avviso di Sicurezza Congiunto sul ransomware Akira. Questo avviso fornisce dettagli sulle tattiche, tecniche e procedure (TTP) usate dal ransomware Akira, nonché gli indicatori di compromissione (IOCs) identificati attraverso le indagini dell’FBI.
Evoluzione del ransomware Akira
Inizialmente focalizzato sui sistemi Windows, Akira ha evoluto una variante Linux che prende di mira le macchine virtuali VMware ESXi. A partire dall’agosto 2023, gli attori della minaccia Akira hanno iniziato a implementare Megazord, un codice basato su Rust, e Akira, scritto in C++, insieme alla versione Akira_v2, anch’essa basata su Rust. Queste varianti dimostrano un’evoluzione significativa nelle capacità offensive del ransomware.
Impatto e riscossione del Ransomware
Akira ha colpito una vasta gamma di imprese e entità di infrastrutture critiche in Nord America, Europa e Australia, accumulando circa 42 milioni di dollari (USD) in pagamenti di riscatti. La vasta portata geografica e l’efficace raccolta di fondi evidenziano la minaccia seria rappresentata da questo ransomware.
Raccomandazioni per la mitigazione
CISA e i partner consigliano alle organizzazioni di infrastrutture critiche di rivedere e implementare le misure di mitigazione fornite nell’avviso congiunto per ridurre la probabilità e l’impatto degli incidenti di ransomware, inclusi quelli causati da Akira. Per ulteriori informazioni e risorse, è consigliato visitare la pagina web di CISA dedicata alla lotta contro il ransomware e la guida aggiornata di #StopRansomware.
L’attenzione crescente su Akira come minaccia significativa per le infrastrutture critiche sottolinea la necessità di una vigilanza continua e di una risposta coordinata alle minacce cyber. Con il supporto di enti come CISA e l’adozione di pratiche di sicurezza consigliate, è possibile arginare l’efficacia di tali attacchi e proteggere risorse vitali.
Cyber Security
Cuttlefish: nuova minaccia malware per l’hardware di rete
Tempo di lettura: 2 minuti. Cuttlefish, un malware che colpisce i router SOHO, ruba dati e manipola il traffico di rete, con legami con attività cinesi.
Cuttlefish è un malware recentemente identificato dai Black Lotus Labs di Lumen Technologies, che colpisce principalmente i router SOHO (Small Office/Home Office) di livello enterprise. Questo malware modulare è progettato per intercettare dati sensibili e manipolare il traffico di rete.
Funzionalità del malware
Il principale obiettivo di Cuttlefish è rubare credenziali autenticate attraverso le richieste web che transitano tramite il router. Una funzione secondaria permette al malware di dirottare sia il traffico DNS che HTTP, mirando a connessioni verso spazi IP privati. Cuttlefish è in grado di interagire con altri dispositivi sulla rete locale (LAN) e trasferire o introdurre nuovi agenti.
Connessioni e metodologie
Analizzando le somiglianze nel codice e i percorsi di costruzione incorporati, è stata rilevata una sovrapposizione con un cluster di attività precedentemente segnalato chiamato HiatusRat, che mostra interessi attribuibili alla Repubblica Popolare Cinese. Sebbene ci sia una sovrapposizione di codice tra Cuttlefish e HiatusRat, non sono stati osservati vittime comuni.
Campionamento e analisi tecnica
Cuttlefish utilizza un approccio zero-click per catturare dati da utenti e dispositivi dietro il perimetro di rete bersaglio. Il malware utilizza un packet sniffer progettato per acquisire materiale di autenticazione, soprattutto da servizi basati su cloud. Per esfiltrare i dati, gli attaccanti creano un tunnel proxy o VPN attraverso un router compromesso, utilizzando credenziali rubate per accedere a risorse mirate.
Vittime e distribuzione
Il pattern di infezione è stato unico, con il 99% delle infezioni verificatesi in Turchia, principalmente attraverso due fornitori di telecomunicazioni. Altre vittime non turche includono indirizzi IP di clienti probabilmente associati a fornitori globali di telefonia satellitare e un possibile data center con sede negli Stati Uniti.
Cyber Security
CISA rilascia avvisi per tre ICS e una vulnerabilità per Windows Smart Screen
Tempo di lettura: 2 minuti. Cisa rilascia 3 avvisi ICS ed aggiunge una vulnerabilità al suo catalogo di Microsoft Smart Screen confermando l’attenzione alla cybersecurity
CISA (Cybersecurity and Infrastructure Security Agency) ha annunciato importanti aggiornamenti sulla sicurezza per i sistemi di controllo industriale (ICS) e ha aggiunto una nuova vulnerabilità al suo catalogo di vulnerabilità sfruttate conosciute. Ecco una sintesi dettagliata delle recenti pubblicazioni e delle loro implicazioni.
Aggiornamenti su tre avvisi ICS
Il 30 aprile 2024, CISA ha rilasciato tre avvisi per sistemi di controllo industriale che affrontano questioni di sicurezza, vulnerabilità ed exploit attuali. I dettagli specifici di questi avvisi includono:
- ICSA-24-121-01 Delta Electronics CNCSoft-G2 DOPSoft – Questo avviso riguarda una specifica vulnerabilità nel software CNCSoft-G2 DOPSoft di Delta Electronics, che potrebbe essere sfruttata per compromettere i sistemi.
- ICSA-24-016-01 SEW-EURODRIVE MOVITOOLS MotionStudio (Update A) – Un aggiornamento sulla sicurezza del software MOVITOOLS MotionStudio di SEW-EURODRIVE, con dettagli su mitigazioni e correzioni per vulnerabilità note.
- ICSA-24-109-01 Unitronics Vision Legacy Series (Update A) – Fornisce informazioni sulla sicurezza per la serie legacy Vision di Unitronics, evidenziando gli aggiornamenti necessari per affrontare le minacce attuali.
CISA incoraggia gli utenti e gli amministratori a esaminare attentamente questi avvisi per dettagli tecnici e misure di mitigazione.
Nuova vulnerabilità nel catalogo delle vulnerabilità sfruttate
In aggiunta agli avvisi ICS, CISA ha inserito una nuova vulnerabilità nel suo Catalogo delle Vulnerabilità Sfruttate Conosciute:
- CVE-2024-29988 – Una vulnerabilità nel Microsoft SmartScreen che permette di bypassare le funzioni di sicurezza. Questa vulnerabilità è particolarmente critica poiché è stata attivamente sfruttata, rappresentando un rischio significativo per l’impresa federale.
Direttiva operativa vincolante (BOD) 22-01
La BOD 22-01 stabilisce il Catalogo delle Vulnerabilità Sfruttate Conosciute come un elenco dinamico di vulnerabilità comuni (CVE) che presentano rischi significativi per l’impresa federale. Questa direttiva richiede alle agenzie del ramo esecutivo civile federale (FCEB) di rimediare alle vulnerabilità identificate entro le date stabilite per proteggere le reti FCEB da minacce attive.
Anche se la BOD 22-01 si applica solo alle agenzie FCEB, CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici dando priorità alla tempestiva rimediazione delle vulnerabilità elencate nel catalogo, come parte della loro pratica di gestione delle vulnerabilità.
Questi aggiornamenti rafforzano l’importanza della vigilanza continua e dell’adozione di pratiche di sicurezza informatica robuste per proteggere infrastrutture critiche e dati sensibili contro le minacce in evoluzione.
Cyber Security
Malware Android “Wpeeper” si nasconde dietro siti WordPress compromessi
Tempo di lettura: 2 minuti. Scopri Wpeeper, un nuovo malware per Android che sfrutta siti WordPress compromessi per nascondere i suoi server C2
Un nuovo malware per Android chiamato “Wpeeper” è stato scoperto, notevole per la sua capacità di utilizzare siti WordPress compromessi come relè per i suoi veri server di comando e controllo (C2). Questo metodo serve come meccanismo di evasione per mascherare le sue vere attività.
Modalità di azione
Wpeeper è stato identificato per la prima volta il 18 aprile 2024 dal team XLab di QAX, durante l’analisi di un file ELF sconosciuto incorporato in file APK (Android package files), che al momento della scoperta non aveva rilevamenti su VirusTotal. L’attività del malware è cessata bruscamente il 22 aprile, presumibilmente come decisione strategica per mantenere un basso profilo ed evitare la rilevazione da parte di professionisti della sicurezza e sistemi automatizzati.
Struttura di comunicazione del C2
Wpeeper struttura la sua comunicazione C2 per sfruttare i siti WordPress compromessi come punti di relè intermedi, oscurando la posizione e l’identità dei suoi veri server C2. I comandi inviati dal C2 ai bot sono inoltrati tramite questi siti, e sono inoltre criptati AES e firmati con una firma a curva ellittica per impedire l’acquisizione da parte di terzi non autorizzati.
Capacità del malware
Le principali funzionalità di Wpeeper includono il furto di dati, facilitato da un ampio set di comandi con 13 funzioni distinte, come il recupero di informazioni dettagliate sull’apparecchio infetto, l’elenco delle applicazioni installate, l’aggiornamento degli indirizzi del server C2, e la capacità di scaricare ed eseguire file arbitrari.
Precauzioni raccomandate
Per evitare rischi come Wpeeper, si raccomanda di installare applicazioni solo dall’app store ufficiale di Android, Google Play, e di assicurarsi che lo strumento anti-malware integrato del sistema operativo, Play Protect, sia attivo sul dispositivo.
L’emergere di Wpeeper sottolinea l’importanza di misure di sicurezza robuste e la vigilanza continua, soprattutto considerando come gli attori di minacce continuano a trovare nuovi modi per sfruttare infrastrutture e tecnologie legittime per condurre attività maligne.
- Editoriali2 settimane fa
Università, Israele e licenziamenti BigTech
- Robotica2 settimane fa
Atlas di Boston Dynamics non è morto
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- Inchieste1 settimana fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
- Inchieste1 settimana fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste1 settimana fa
Cloud Italiano qual è il Trend del 2024? Aziende e servizi disponibili
- Inchieste1 settimana fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Economia2 settimane fa
Apple rimuove WhatsApp e Threads dall’App Store in Cina