Secondo l’analisi sui primi 6 mesi del 2023 realizzata da Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity, la maggior parte degli attacchi ha avuto come scopo finale l’estorsione. La tecnica più utilizzata è stata quella di rubare dati sensibili alle aziende, esigendo una forte somma di denaro sotto la minaccia di consegnare quegli stessi dati al dark web. Altro fenomeno in crescita è stato quello degli “hacker a pagamento”, criminali che mettono sul mercato i loro servizi illegali offrendo diversi strumenti di attacco. Non solo. Cisco Talos ha rilevato anche nuove realtà: gruppi di mercenari informatici, campagne di spionaggio, attacchi alla supply chain e nuovi strumenti “as a service”. Vediamo allora, mese per mese, quali sono state le principali minacce rilevate da Cisco Talos in questa prima metà dell’anno.
Gennaio
- La traccia dei metadati nei file Lnk. Nel primo mese dell’anno Talos ha notato che i classici metodi di accesso iniziale, come le macro dannose, sono stati sostituti dai criminali con altri tipi di allegati eseguibili, come il formato di file binari Shell Link (file Lnk).
Febbraio
- Il nuovo ransomware MortalKombat e il malware Laplas Clipper. Nel mese di febbraio è stata invece evidenziata l’opera di un criminale non identificato, intento a diffondere due nuove minacce: il ransomware MortalKombat e una variante GO del malware Laplas Clipper. La natura di queste minacce è quella di rubare criptovaluta alle vittime.
Marzo
- La botnet Prometei mostra nuove funzionalità. A marzo Talos ha invece rilevato l’aggiornamento, da parte della botnet Prometei, di alcuni moduli della catena di esecuzione, il cui scopo è quello di automatizzare i processi e rendersi invisibile ai metodi di analisi forense.
- YoroTrooper: la campagna di spionaggio contro i paesi della Csi, ambasciate e organizzazioni sanitarie dell’Unione europea. Sempre a marzo Talos ha rilevato gli attacchi mossi da YoroTrooper verso le organizzazioni governative e le organizzazioni del settore energetico in Azerbaigian, Tagikistan, Kirghizistan e in altri stati del Commonwealth of Independent States. YoroTrooper ha compromesso anche gli account di almeno due realtà internazionali: un’importante organizzazione sanitaria dell’Unione Europea e l’Organizzazione Mondiale della Proprietà Intellettuale. Le informazioni rubate includono le credenziali di diverse applicazioni, informazioni di sistema, cronologia e cookie del browser.
- Vulnerabilità di Microsoft Outlook utilizzata per l’escalation dei privilegi. Nello stesso periodo Talos ha esortato tutti gli utenti ad aggiornare Microsoft Outlook dopo la scoperta di una vulnerabilità critica, Cve-2023-23397, nel client di posta elettronica.
- Emotet continua le operazioni di spamming e prende di mira anche OneNote. Rilevate anche delle nuove catene di infezioni di Emotet, che sta modificando il proprio approccio in base al successo degli attacchi contro nuovi sistemi.
- Compromissione della supply chain del softphone 3CX. E’ stato infine reso noto un attacco alla catena di distribuzione che ha colpito gli utenti Windows e MacOS che utilizzavano l’applicazione telefonica basata sul software 3CX. Questo attacco ha sfruttato gli aggiornamenti dell’applicazione al fine di somministrare una serie di payload dannosi.
Aprile
- Typhon Reborn V2: la nuova versione dello stealer di informazioni. Ad aprile Talos ha invece rilevato nuove funzionalità anti-analysis e anti-virtual machine di Typhon Reborn V2, che rendono ancora più difficile il rilevamento e l’analisi.
- Nuovi attacchi state-sponsored contro l’infrastruttura di rete globale
- Rilevati anche attacchi state-sponsored, ossia operazioni offensive condotte da governi o da realtà sponsorizzate che utilizzano risorse e capacità tecniche. Talos ha segnalato un aumento di questo tipo di attacchi altamente sofisticati alle infrastrutture di rete in varie parti del mondo.
Maggio
- Greatness: il nuovo “phishing-as-a-service”. Nel mese di maggio è stato scoperto il phishing-as-a-service (PaaS) “Greatness”, un sistema che utilizza funzionalità avanzate come l’aggiramento dell’autenticazione multifattoriale (Mfa), il filtraggio degli indirizzi IP e l’integrazione con i bot di Telegram.
- Gli hacker del gruppo RA prendono di mira aziende negli Stati Uniti e in Corea del Su. Sempre a maggio Talos ha scoperto un nuovo gruppo di criminali informatici chiamato RA Group: una realtà che ha rapidamente ampliato le sue operazioni utilizzando principalmente attacchi di tipo ransomware.
- Il caos dei mercenari: lo spyware Predator di Intellexa. L’uso di spyware commerciali è in aumento e i criminali sfruttano questi strumenti sofisticati per sorvegliare un numero di obiettivi sempre più crescente. Talos ha rivelato ulteriori dettagli su uno spyware venduto dall’azienda di spyware Intellexa (precedentemente nota come Cytrox).
- Horabot prende di mira le Americhe. Nello stesso periodo Talos ha inoltre notato la distribuzione di un nuovo attacco di tipo botnet chiamato “Horabot”, che distribuisce un trojan bancario e uno strumento di spam.
Giugno
Sfruttamento della vulnerabilità di MoveIt Transfer da parte del gruppo ransomware Clop. Nell’ultimo mese relativo alla sua analisi, Talos ha infine monitorato i tentativi di sfruttamento di una vulnerabilità Sql injection scoperta e utilizzata dagli hacker per attaccare gli utenti che utilizzano MoveIt Transfer, una soluzione per il trasferimento gestito di file (Mft).
