Ransomware colpiscono l’Italia, offensive di APT asiatici, sfruttata falla in VMware ESXi e documentate TTP di Black Basta

Italia: rivendicati diversi attacchi contro realtà della penisola

L’operatore ransomware Hunters International Team ha rivendicato sul proprio sito dei leak la compromissione di ENEA, Agenzia nazionale per le nuove tecnologie, l’energia e lo sviluppo economico sostenibile. Stando a quanto dichiarato nel post, l’avversario sarebbe in possesso di 219,9 GB di dati (comprendenti 236.372 file). Inoltre, RansomHouse ha reclamato la violazione di Lago Group S.p.A., azienda dolciaria specializzata nella produzione di wafer, savoiardi, biscotti, frollini e merendine. Secondo quanto riportato nel blog, tutti i dati esfiltrati sono stati divulgati. Tra questi, figurerebbero anche documenti del partner commerciale Bouvard Italia S.p.A. Quanto a RansomHub Team, l’operatore avrebbe colpito Nuova Castelli S.p.A. (Castelli Group), società con sede a Reggio Emilia, leader nel settore della produzione e distribuzione dei grandi formaggi DOP italiani. Infine, in data 29 luglio 2024, i server del Comune marchigiano di Fabriano (AN) hanno subito un’offensiva ransomware che potrebbe aver causato disservizi agli utenti dei servizi informatici comunali. A dare la notizia è stato il Municipio stesso pubblicando un avviso sul proprio sito e sulla pagina Facebook ufficiale. La sindaca di Fabriano, Daniela Ghergo, ha affermato che l’offensiva ha messo fuori uso i computer del Comune impedendo ai dipendenti di accedere ai documenti digitalizzati.

APT: individuate nuove attività da parte di gruppi state-sponsored nordcoreani, cinesi e indiani

Gli avversari nordcoreani che si celano dietro la campagna di social engineering denominata DEV#POPPER, sono stati visti continuare a prendere di mira gli sviluppatori con nuovi malware e tattiche, tecniche e procedure (TTP), espandendo il loro interesse ai sistemi Linux e macOS, oltre che a quelli Windows. Sulla base della telemetria raccolta, non è stata identificata alcuna tendenza specifica nella vittimologia. Tuttavia, l’analisi dei sample individuati ha rivelato che i target sono sparsi principalmente in Corea del Sud, Nord America, Europa e Medio Oriente, indicando che l’impatto dell’operazione è diffuso. La catena d’attacco è la stessa di quella precedentemente descritta. Gli attaccanti si fingono recruiter in un colloquio di lavoro per una posizione da sviluppatore e invitano il candidato a scaricare un file ZIP (onlinestoreforhirog.zip) che viene spacciato come un pacchetto NPM da usare per testare le sue capacità di codifica. Una volta estratto ed eseguito il contenuto dell’archivio, viene lanciato un codice JavaScript ben nascosto che dà il via all’infezione. Spostandoci a Taiwan, è stata tracciata una campagna, iniziata già a metà luglio 2023, che ha probabilmente compromesso con ShadowPad e Cobalt Strike un istituto di ricerca affiliato al governo di Taipei, specializzato in informatica e tecnologie associate. Sulla base della rilevazione di sovrapposizioni di TTP, infrastrutture e famiglie malware adoperate esclusivamente da APT cinesi, si ritiene con un moderato livello di confidenza che dietro tale operazione ci sia il cluster state-sponsored di Pechino Axiom. Infine, è stata scoperta una nuova campagna dell’APT indiano Sidewinder, che prende di mira porti e strutture marittime nell’Oceano Indiano e nel Mar Mediterraneo attraverso nuove TTP.

Ransomware: sfruttata CVE-2024-37085 di VMware ESXi e analizzate le TTP di Black Basta Team

Ricercatori di sicurezza hanno scoperto che la vulnerabilità CVE-2024-37085 di VMware ESXi, recentemente patchata,  viene sfruttata da diversi operatori ransomware. La falla riguarda un gruppo di dominio ai cui membri viene concesso l’accesso amministrativo completo all’hypervisor ESXi senza un’adeguata convalida. In particolare, gli hypervisor VMware ESXi collegati a un dominio Active Directory considerano qualsiasi membro di un gruppo di dominio denominato ESX Admins come avente accesso amministrativo completo per impostazione predefinita. Il problema di sicurezza è stato sfruttato da avversari come Black Basta Team, Storm-1175, Muddled Libra e TA505 in numerosi attacchi. In diversi casi, le offensive hanno portato alla distribuzione dei ransomware Akira e Black Basta. Inoltre, proprio di Black Basta Team, ricercatori di sicurezza hanno analizzato le TTP. Si sospetta che il team mantenga un modello di affiliazione privato o di piccole dimensioni, chiuso, in cui solo a soggetti terzi fidati viene concesso l’uso del crittografo. A differenza dei tradizionali Ransomware-as-a-Service (RaaS), Back Basta non è pubblicamente commercializzato e i suoi operatori non sembrano reclutare attivamente affiliati per distribuire la minaccia. Si concentrano invece sull’acquisizione dell’accesso iniziale tramite partnership o acquisti nelle comunità underground. Le prime attività dell’operatore, per l’accesso iniziale, sfruttavano quasi esclusivamente infezioni Qakbot esistenti avvenute tramite phishing. Alla fine del 2023, diversi mesi dopo l’eliminazione dell’infrastruttura Qakbot da parte dell’FBI e del Dipartimento di Giustizia degli Stati Uniti, il gruppo ha iniziato a sfruttare altri Initial Access Broker (IAB); in particolare, quelli che fornivano DarkGate, sempre tramite phishing. Questa relazione, tuttavia, è stata di breve durata, poiché solo pochi mesi dopo il team è stato osservato utilizzare il malware Silent Night. L’obiettivo dell’avversario è quello di raccogliere il maggior numero di dati il più rapidamente possibile ed esfiltrarli per impegnarsi in un’estorsione su più fronti, sfruttando il ricatto della divulgazione dei dati per fare pressione sulle vittime affinché paghino un riscatto.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.