Il gruppo ransomware AvosLocker ha dovuto rilasciare un decryptor gratuito per sbloccare i file crittografati di una delle sue vittime.

Il fatto è avvenuto dopo che il gruppo ha scoperto di aver crittografato i sistemi di un dipartimento di polizia degli Stati Uniti.
Paura delle forze dell'ordine?
Un membro del gruppo ha affermato di non avere alcuna politica su chi prendere di mira, tuttavia, di solito evitano di prendere di mira le agenzie governative e il settore sanitario.
Quando il giornalista che li ha contattati ha insistito sulla paura delle forze dell'ordine, il membro ha affermato che i soldi dei contribuenti sono generalmente difficili da ottenere e, quindi, evitano di prendere di mira gli enti governativi.
Inoltre, quando sono state richieste maggiori informazioni sull'hacking, il gruppo ha negato di fornire un elenco di file rubati o di come hanno infettato la rete del dipartimento.
AvosLocker è attivo da luglio 2021 e tenta regolarmente di colmare il vuoto lasciato dai gruppi ransomware che hanno chiuso lo scorso anno, come Revil, aggiornando continuamente le sue tecniche e tattiche.
Il mese scorso, sono stati osservati alla ricerca di partner di tipo Initial Access Brocker
In passato, il gruppo ransomware ha mietuto vittime soprattutto aziende bancarie e manifatturiere.

L'FBI ha rilasciato un avviso riguardante il gruppo che ha sviliuppato il  ransomware Cuba e che prende di mira le infrastrutture critiche delle organizzazioni statunitensi in diversi settori chiave dell'economia. 
Cos'è successo? 
Secondo l'FBI, gli attori del ransomware Cuba hanno compromesso 49 organizzazioni in almeno cinque settori, tra cui ICT, sanità, produzione, governo e finanza. 
Il gruppo criminale ha guadagnato milioni da quando ha iniziato l'attività ed ha chiesto a diverse società statunitensi un riscatto complessivo di 74 milioni di dollari di cui 43,9 milioni già ricevuti.
Il ransomware Cuba viene diffuso sulle reti delle vittime utilizzando il downloader Hancitor, che consente di ottenere un facile accesso alle reti aziendali compromesse. 
Una volta effettuato l'accesso, Cuba utilizza servizi Windows, come  PowerShell e PsExec, per distribuire i payload in remoto e crittografare i file con estensione .cuba. 
L'FBI ha richiesto agli amministratori di sistema e ai professionisti della sicurezza che hanno individuato l'attività di questo ransomware all'interno delle loro reti di condividere qualsiasi informazione correlata con la Cyber Squad dell'FBI locale. 
Le informazioni utili includono informazioni sul portafoglio, registri di confine che mostrano la comunicazione con un indirizzo IP esterno, il file originale e un campione di un file crittografato. 
L'FBI ha suggerito di non pagare i pagamenti del ransomware e ha raccomandato di non farlo poiché non vi è alcuna garanzia che gli aggressori forniranno le chiavi di decrittazione o non attaccheranno in futuro. 
Quanto ci metterà questo Ransomware ad arrivare nel bel paese?
Ai posteri l'ardua sentenza! :-)

Un recente report di Proofpoint riferisce che Gruppi #APT di Cina, Russia e India stanno adottando una nuova (si fa per dire) tecnica di attacco chiamata "RTF Template #Injection", rendendo i loro attacchi più difficili da rilevare e fermare.
Che cos'è l'iniezione di modelli RTF? Questo attacco non è nuovo di per sé, ma una variazione di un classico attacco di template injection che è noto da anni, da qui la sua inclusione già nel framework #MITRE #ATT&CK.
La tecnica ruota attorno a una funzionalità di Microsoft Office in cui gli utenti possono creare un documento utilizzando un modello predefinito.
Questi modelli possono essere archiviati localmente o scaricati da un server remoto.
L'idea è che gli aggressori possano inviare file di Office apparentemente innocui, come DOC, XLS o PPT, e poi caricare codice dannoso quando l'app esegue il rendering del contenuto caricando il modello.
Gli attacchi che abusano di questa tecnica si verificano da anni, ma hanno visto un'impennata nel 2020, quando "l'iniezione di modelli a distanza" è diventata una tecnica popolare con alcuni gruppi APT.
Questi attacchi sfruttano tutti i file di Office e in particolare i documenti di Word.
La nuova variante di questo attacco è che, invece di utilizzare Word o altri file di Office, utilizzano file Windows RTF (rich text format).
Secondo Proofpoint, gli attori delle minacce stanno mettendo creando un arsenale di file RTF con esche che potrebbero interessare i loro obiettivi, creando modelli contenenti codice dannoso che esegue malware specifici.
Questi documenti vengono quindi inviati alle vittime utilizzando attacchi di spear-phishing.

"La forza gravitazionale del buco nero del #ransomware sta attirando altre minacce informatiche per formare un enorme sistema di distribuzione ransomware interconnesso, con implicazioni significative per la sicurezza IT", ha affermato Sophos nel suo recente Sophos Threat Report 2022.
Il ransomware è considerato da molti esperti il rischio per la sicurezza più pressante per le aziende ed è estremamente redditizio per le bande coinvolte, con pagamenti di riscatto che aumentano in modo significativo.
Sophos afferma che il ransomware sta diventando più modulare, con diversi gruppi specializzati in particolari elementi di un attacco (questo lo abbiamo visto con la triade #Emotet #Trickbot #Ryuk). Ha anche sottolineato l'aumento collegato del "#ransomware as-a-service", in cui le bande criminali sono in grado di acquistare l'accesso a strumenti per eseguire i propri attacchi ransomware quando non hanno la capacità tecnica di creare tali strumenti da soli.
Questi cosiddetti "affiliati" non devono nemmeno trovare le proprie potenziali vittime: l'ecosistema si è sviluppato in modo che possano acquistare servizi da altri gruppi specializzati nell'accesso alle reti aziendali e che venderanno loro quella particolare #backdoor.
Oltre a fare affari con questi "broker di accesso iniziale", gli aspiranti aggressori ransomware possono rivolgersi a operatori di #botnet e piattaforme di distribuzione di malware per trovare e indirizzare potenziali vittime. E a causa del potenziale profitto, questi gruppi si stanno concentrando sempre più sul servire le bande di ransomware piuttosto che su forme meno redditizie di criminalità online.
"Le minacce informatiche consolidate continueranno ad adattarsi per distribuire ransomware. Questi includono #loader, #dropper e altre #malware commodity; Broker di accesso iniziale sempre più avanzati e gestiti dall'uomo; #spam; e #adware", ha detto la società di sicurezza.
L'idea del #RAAS è in circolazione da un po 'di tempo ed è stata spesso un modo per gli aggressori meno qualificati o meno ben finanziati di iniziare.
Ma ciò che è cambiato ora, ha detto Chester Wisniewski, principale ricercatore di Sophos, è che gli sviluppatori di ransomware stanno ora utilizzando questo modello as-a-service per ottimizzare il loro codice e ottenere i maggiori proventi, scaricando su altri i compiti di trovare vittime, installare ed eseguire il malware e riciclare le criptovalute.
Ricerche separate hanno persino suggerito che le bande di ransomware sono ora abbastanza ricche da iniziare ad acquistare i propri zero-day, qualcosa che in precedenza era disponibile solo per gli hacker sostenuti dallo stato.
"Questo sta distorcendo il panorama delle minacce informatiche", ha detto Wisniewski, poiché minacce comuni come loader, dropper e broker di accesso iniziale - che erano in circolazione e causavano interruzioni ben prima dell'ascesa del ransomware - stanno ora servendo le richieste delle bande di ransomware.

Purtoppo è stato osservato il ritorno della famigerata #botnet #Emotet, infatti è stata rilevata una variante di #TrickBot che scarica sui sistemi infetti un loader per Emotet.
Ricordo che nel primo trimestre di quest'anno, #Europol ed #Eurojust hanno spento l'infrastruttura di Emotet e ad aprile, le forze dell'ordine tedesche hanno creato un software per la rimozione di Emotet dai dispositivi infetti.
Ora, i ricercatori di Advanced Intel, GDatae Cryptolaemus hanno osservato cambiamenti nel nuovo #loader di Emotet rispetto alle varianti precedenti, infatti questo include aumentate opzioni di comando che ora sono sette invece dei suoi soliti tre o quattro.

I ricercatori, però, non hanno trovato alcuna prova che ora Emotet invii e-mail di #spam o scoperto documenti dannosi che consegnano il #malware (metodi tipici utilizzati per diffondere Emotet in passato).
Si ritiene che la possibile ragione dietro la mancanza di attività di spamming sia lo sforzo di ricostruzione dell'infrastruttura.
Invece di Emotet che installa TrickBot (come è sempre avvenuto in passato), gli attori delle minacce utilizzano un metodo chiamato Operation Reacharound per ricostruire la botnet Emotet sfruttando l'infrastruttura esistente di TrickBot. In pratica avviene il contrario, ora è Trickbot che installa emotet.

La nuova infrastruttura Emotet sta crescendo rapidamente, con 246 dispositivi infetti che già fungono da server C2. Pertanto, l'azione rapida è la necessità del momento. #Abuse.ch (un'organizzazione senza scopo di lucro) ha rilasciato un elenco di server C2 utilizzati dalla nuova botnet Emotet e gli esperti raccomandano vivamente agli amministratori di bloccare qualsiasi indirizzo IP associato.

Nello studio "State of Ransomware Readiness" di Mimecast, sono stati intervistati 742 esperti di IT security ed è stato scoperto che l'80% di loro era stato preso di mira da ransomware negli ultimi due anni.
Di quell'80%, il 39% ha pagato un riscatto e, udite udite, le vittime statunitensi hanno pagato in media $ 6.312.190. Le vittime in Canada hanno pagato una media di $ 5.347.508 mentre quelle nel Regno Unito hanno pagato quasi $ 850.000. Le vittime in Sud Africa, Australia e Germania hanno pagato in media meno di $ 250.000. Dell'Italia non parla nessuno ;-)

Oltre il 40% degli intervistati non ha pagato alcun riscatto e un altro 13% è stato in grado di negoziare la cifra iniziale.
Dei 742 esperti che hanno parlato con Mimecast, più della metà ha affermato che la principale fonte di attacchi ransomware proveniva da e-mail di #phishing e un altro 47% ha affermato che proveniva dalla navigazione web su siti insicuri.
Meno della metà degli intervistati ha affermato di disporre di #backup di file  e quasi il 50% ha affermato di aver bisogno di budget maggiori per aggiornare i propri sistemi di sicurezza dei dati.

Nonostante la mancanza di backup, l'83% degli intervistati ha affermato di poter "recuperare tutti i propri dati senza pagare il riscatto", come fanno non è dato sapere. Un altro 77% dei dirigenti ha affermato di ritenere di poter riportare la propria azienda alla normalità entro due giorni dopo un incidente di ransomware. Questo ha confuso i ricercatori di Mimecast, considerando che quasi il 40% degli intervistati ha ammesso di aver pagato un riscatto. Forse alcuni hanno preferito pagare il riscatto con soldi non loro piuttosto che lavorare due giorni per ripristinare la situazione.

I costi degli incidenti ransomware vanno ben oltre il riscatto stesso; Il 42% degli intervistati ha segnalato un'interruzione delle proprie operazioni e il 36% ha dichiarato di aver dovuto affrontare tempi di inattività significativi. Quasi il 30% ha dichiarato di aver perso entrate e ben il 21% ha dichiarato di aver perso clienti.
Un altro costo? Quasi il 40% dei professionisti intervistati ha affermato di ritenere che avrebbero perso il lavoro se un attacco ransomware avesse avuto successo.
Due terzi degli intervistati ha affermato che "si sentirebbero molto o estremamente responsabili se si verificasse un attacco di successo". Alla domanda sul perché, quasi la metà ha affermato che sarebbe stato perché "sottovalutavano il rischio di un attacco ransomware".

Il processo di Penetration Testing sappiamo essere di natura ciclica.

Questo però non implica solamente il poter ripetere (a diversi gradi di approfondimento) le fasi in cui è suddiviso.
Il naturale andamento delle ricerche e lo sviluppo conseguente degli strumenti tecnici per la realizzazione di queste, sono stati fortemente influenzati da questa "forma ciclica".

Molte fonti di ricerca, che siano strumentali o basate su database pubblici possono infatti presentarsi contemporaneamente in differenti fasi di indagine, e questo per differenti ragioni.

Il motivo può risiedere nella contiguità delle informazioni nella fase (esempio: dal database whois abbiamo sia dati tecnici che non tecnici sugli obiettivi), nella modalità di ricerca (esempio: utilizzo di fonti aperte che raccolgono informazioni tecniche e non tecniche), nel posizionamento della ricerca (Internet-face o Intranet), nell'evoluzione dello strumento tecnico (che si spinge oltre gli obiettivi iniziali).

In particolare l'adozione di una tattica di ricerca "passiva" per la ricognizione, una tattica che escluda dunque un "contatto diretto" con l'obiettivo, presuppone naturalmente l'utilizzo di fonti aperte.

Questa tattica è solamente dal nostro punto di vista: gli strumenti online (le fonti aperte) possono naturalmente indagare solo in modo "attivo", contattando direttamente l'obiettivo, raccogliere informazioni e ripubblicarle a favore di chi esegue una ricarca.

Nel far questo, questi strumenti spesso non si accontentano di individuare nomi ed email (esempio tipico di informazione non tecnica) dalle pagine del sito ufficiale di una azienda, ma cercano di rilevare anche le informazioni tecniche tipiche della tattica di scansione attiva denominata "banner grabbing".

Non contenti, alcuni di questi motori si spingono anche oltre, rilevando eventuali vulnerabilità (per quanto rilevabile "esternamente). E' il caso di verifica rispetto alla debolezza di protocollo (es. cipher suite del TLS), o di vulnerabilità proprie censite con CVE specifico.

Quindi, in special modo nella postura Internet-face, le fonti aperte possono essere utili in più fasi, e dunque strumenti come Google, Netcraft, Shodan si affacciano all'uso in differenti momenti della nostra indagine, e questo dunque non è poi così "strano".