LockBit opera come RaaS(Ransomware as a Service) e aiuta i suoi partner fornendo un servizio di esfiltrazione dei dati denominato StealBit. Yoroi Malware ZLAB ha esaminato Stealbit 2.0 rivelando che gli autori di questo ransomware hanno adottato tecniche estremamente sofisticate di evasione.
Hanno infatti osservato la mancanza di metadati nei campi PE. Sebbene i ricercatori abbiano trovato campi come il timestamp del compilatore, l'entry point ed il Dos Header, non hanno trovati dati negli altri campi.
E' stata trovata vuota addirittura al IAT table, utilizzata per elencare le API caricate dall'eseguibile.
Gli aggressori hanno anche utilizzato ampiamente l'offuscamento delle stringhe dello stack per nascondere i nomi DLL nativi da caricare.
Naturalmente tutto questo viene fatto per rendere la vita dei Malware Analyst estremamente complicata ;-)
I ricercatori di Zlab sono però riusciti ad analizzare staticamente il malware identificanco alcuni indirizzi IP e scoprendo che erano stati utilizzati in passato per altri scopi dannosi tra cui attacchi di phishing alle banche o distribuzione di malware mobile, non correlati al gruppo LockBit.
In uno dei casi, lo stesso indirizzo IP è stato utilizzato per effettuare attacchi di phishing in Italia ed esfiltrazione di dati.
Nell'ultimo mese, TrendMicro ha pubblicato un rapporto che descrive in dettaglio la recente campagna di LockBit 2.0.
Dal 1 luglio al 15 agosto, attacchi associati a LockBit 2.0 sono stati osservati nel Regno Unito, a Taiwan, in Cile e in Italia.
Inoltre, LockBit 2.0 abusa di strumenti autentici (ad esempio Process Hacker e PC Hunter) per fermare i processi / servizi del sistema della vittima.
L'evoluzione di StealBit in StealBit 2.0 evidenzia il fatto che i criminali informatici stanno investendo molto tempo e sforzi per migliorare le loro capacità di esfiltrazione dei dati. Grazie a tali strumenti, la protezione delle informazioni sensibili è ora più impegnativa che mai.

Recentemente si sono osservate nel nostro paese oltre 20 campagne di phishing ad opera del gruppo TA544 che quest'anno diffondono il trojan bancario Ursnif.
Nelle campagne, il gruppo criminale ha impersonato organizzazioni italiane come corrieri o aziende del settore energetico, chiedendo pagamenti alle vittime.
Utilizzando tecniche di injection ha anche preso di mira i portali tra cui UniCredit Group, Agenziabpb, ING, BNL, eBay, PayPal, Banca Sella, CheBanca! e IBK.
Più di mezzo milione di messaggi rivolti alle organizzazioni italiane, rendono Ursnif il malware più frequentemente osservato che prende di mira il nostro paese.
Le e-mail contengono documenti Microsoft Office con macro malware. Se la vittima abilita le macro, il documento distribuirà Ursnif sul computer infetto.
In alcune di queste campagne, l'attore della minaccia impiega tattiche di geofencing per confermare i destinatari in regioni geografiche mirate.
Le campagne di TA544 sono in corso dallo scorso anno e continuano a rivolgersi agli utenti italiani. Consiglio di rimanere vigili e formare i dipendenti per individuare le e-mail dannose. Inoltre, assicurarsi che le macro siano disabilitate per tutti i dipendenti, se non necessario.

Finalmente è uscita la nuova Top Ten Owasp 2021.
Era dal 2013 che in effetti non veniva aggiornata, visto che l'edizione 2017 era sostanzialmente uguale alla precedente.
Ci sono 3 new entry mentre alcune vulnerabilità della versione precedente vengono aggregate tra di loro.
La vulnerabilità Cross site scripting viene inclusa nell'Injection che passa dal primo posto al terzo.
XML External Entities viene inclusa in Security Miscofiguration che passa dal sesto al quinto posto.
Le new entry sono Insecure Design, Software and Data Integrity Failures e Server side request forgery.
Ci sono poi nuove definizioni di vecchi vulnerabilità come la Sensitive data exposure che diventa Cryptographic failures e Using components with known vulnerabilities che divneta Vulnerable and outdated components.
Naturalmente questo avviene con mio immenso piacere e mi costringerà ad aggiornare tutte le mie lezioni sulle Top Ten Owasp :-(

Il mese scorso, i ricercatori del Citizen Lab hanno scoperto due exploit iMessage a zero clic (FORCEDENTRY e KISMET) che sono stati utilizzati per diffondere lo spyware Pegasus in Bahrain.
L'attacco aveva preso di mira gli iPhone di nove attivisti identificati come parte del Bahrain Center for Human Rights.
L'attacco è stato effettuato da un attore di minaccia di nome LULU ed è sospettato di essere collegato al governo del Bahrain.
Apple ha appena rilasciato un avviso di sicurezza per correggere le due vulnerabilità zero-day identificate come CVE-2021-30860 e CVE-2021-30858 sfruttate nell'attacco.
Nell'avviso Apple ha dichiarato di aver risolto queste vulnerabilità utilizzate per diffondere Pegasus (da NSO Group) sugli iPhone degli attivisti del Bahrein.
La prima vulnerabilità, tracciata come CVE-2021-30860, è un problema di integer overflow ed è stato eliminato migliorando la convalida dell'input.
La seconda (CVE-2021-30858) è un bug divulgato da un ricercatore anonimo e potrebbe essere abusato per prendere il controllo del dispositivo infetto.
I ricercatori hanno scoperto che l'exploit FORCEDENTRY può anche essere utilizzato per bypassare la sandbox BlastDoor lanciata otto mesi fa in iOS.
Spyware, come Pegasus, che sfruttano gli zero-day possono avere esiti disastrosi in quanto non solo influiscono sulla privacy delle vittime, ma riguardano anche la sicurezza nazionale.
Bisognerebbe iniziare a domandarci se la diffusione di exploit zero day da parte di organizzazioni come Zerodium o NSO Group siano legittime o debbano essere pesantemente regolamentate.

Dopo circa due mesi di pausa, i server del dark web del gruppo REvil sono tornati attivi. Il gruppo era improvvisamente andato off line a Luglio e già si pensava che avessero chiuso i battenti.
A luglio, la banda REvil aveva preso di mira il software di gestione remota Kaseya VSA e chiesto 70 milioni di dollari di riscatto ma in seguito alla forte pressione da parte delle forze dell'ordine, aveva stoppato tutte le operazioni. Infatti in quel periodo era iniziata una cooperazione tra l'intelligence statunitense e quella russa, cosa che probabilmente aveva spaventato il gruppo criminale.
Ora, invece, è tutto ritornato improvvisamente on line.
Il sito di data leak funziona normalmente, tuttavia, quello di negoziazione Tor non è ancora pienamente operativo. Sta visualizzando la schermata di accesso, anche se non consente alle vittime di accedere al sito.
Aspettiamo a vedere cosa accadrà in futuro.

Un recente report di Barracuda rivela che il traffico proveniente da bot occupa il 64% del traffico Internet. Mentre solo il 25% proviene da bot buoni, come i crawler dei motori di ricerca e i bot dei social network, il 39% proviene da bot cattivi
Questi bot dannosi includono web scraper, script di attacco, ma anche bot persistenti avanzati. Questin ultimi fanno del loro meglio per eludere le difese standard e tentano di eseguire le loro attività dannose in incognito. Il rapporto ha rivelato che i più comuni di questi bot persistenti sono quelli che hanno come obiettivi le applicazioni di e-commerce e i portali di accesso.
Il rapporto include anche una suddivisione del traffico di bot dannosi per posizione. Ha rivelato che il Nord America rappresenta il 67% del traffico di bot dannosi, seguito dall'Europa (22%) e poi dall'Asia (7,5%).
È interessante notare che il traffico dei bot europei è più probabile che provenga da servizi di hosting (VPS) o IP residenziali rispetto al traffico nordamericano, la maggior parte dei quali proviene da data center pubblici.