Ransomware #LockBit: anomalie dopo lo smantellamento
⚠️ Da due giorni è in atto una massiccia campagna per diffondere il ransomware LockBit 3.0 (LockBit Black) in diversi paesi europei, inclusa l’Italia
🕵️ Sarebbe utile capire il motivo della diffusione di LockBit tramite email, considerando che i riferimenti onion nella nota di riscatto non sono più accessibili, rendendo di fatto impossibile monetizzare tramite il riscatto. È probabile che l’obiettivo sia puramente distruttivo.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-lockbit-anomalie-dopo-lo-smantellamento/
⚠️ Da due giorni è in atto una massiccia campagna per diffondere il ransomware LockBit 3.0 (LockBit Black) in diversi paesi europei, inclusa l’Italia
🕵️ Sarebbe utile capire il motivo della diffusione di LockBit tramite email, considerando che i riferimenti onion nella nota di riscatto non sono più accessibili, rendendo di fatto impossibile monetizzare tramite il riscatto. È probabile che l’obiettivo sia puramente distruttivo.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-lockbit-anomalie-dopo-lo-smantellamento/
Sintesi riepilogativa delle campagne malevole nella settimana del 20 – 26 Aprile 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole, di cui 21 con obiettivi italiani e 6 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 305 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Ransomware #LockBit: anomalie dopo lo smantellamento;
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità;
➡️ Campagna di phishing #AgenziaEntrate e Riscossione.
💣 #IoC 305
🦠 #Malware 8 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-aprile-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 27 campagne malevole, di cui 21 con obiettivi italiani e 6 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 305 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Ransomware #LockBit: anomalie dopo lo smantellamento;
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità;
➡️ Campagna di phishing #AgenziaEntrate e Riscossione.
💣 #IoC 305
🦠 #Malware 8 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-aprile-2024/
🇮🇹 Campagna #Remcos italiana
🏢 L'email sembra provenire da fonti attendibili all'interno dell'organizzazione #Leonardo
👨🦰 Il nome del dipendente riportato nel messaggio è realmente esistente
📄 Il testo dell'email induce le vittime a consultare un falso modulo allegato al messaggio di posta elettronica.
🦠 Il file allegato è compresso con 7Z e contiene un eseguibile progettato per infettare i dispositivi con il malware #Remcos, sfruttando il loader #Guloader.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/remcos_01-05-2024.json
🏢 L'email sembra provenire da fonti attendibili all'interno dell'organizzazione #Leonardo
👨🦰 Il nome del dipendente riportato nel messaggio è realmente esistente
📄 Il testo dell'email induce le vittime a consultare un falso modulo allegato al messaggio di posta elettronica.
🦠 Il file allegato è compresso con 7Z e contiene un eseguibile progettato per infettare i dispositivi con il malware #Remcos, sfruttando il loader #Guloader.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/remcos_01-05-2024.json
🇮🇹 Diffusione di malware Keylogger tramite falsa pagina di Agenzia delle Entrate – PuntoFisco
⚠️ In data odierna il CERT-AGID ha rilevato un sofisticato tentativo di frode che coinvolge una pagina falsa dell’Agenzia delle Entrate, ospitata su un dominio italiano precedentemente compromesso, finalizzato a infettare le vittime con un malware di tipo keylogger.
🔬 La specificità del malware, l’adozione di un dominio italiano come dropurl, la scelta di Altervista come server C2 e la profonda conoscenza dei servizi dell’Agenzia delle Entrate, lasciano fortemente presagire che gli autori della campagna siano probabilmente di nazionalità italiana.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/malware/diffusione-di-malware-keylogger-tramite-falsa-pagina-di-agenzia-delle-entrate-puntofisco/
⚠️ In data odierna il CERT-AGID ha rilevato un sofisticato tentativo di frode che coinvolge una pagina falsa dell’Agenzia delle Entrate, ospitata su un dominio italiano precedentemente compromesso, finalizzato a infettare le vittime con un malware di tipo keylogger.
🔬 La specificità del malware, l’adozione di un dominio italiano come dropurl, la scelta di Altervista come server C2 e la profonda conoscenza dei servizi dell’Agenzia delle Entrate, lasciano fortemente presagire che gli autori della campagna siano probabilmente di nazionalità italiana.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/malware/diffusione-di-malware-keylogger-tramite-falsa-pagina-di-agenzia-delle-entrate-puntofisco/
Sintesi riepilogativa delle campagne malevole nella settimana del 27 Aprile – 3 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole, di cui 21 con obiettivi italiani e 8 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 218 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Diffusione di malware #Keylogger tramite falsa pagina di #AgenziaEntrate
➡️ Campagna #Remcos italiana via Guloader
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
➡️ Riscontrata ancora una campagna ransomware #Lockbit
💣 #IoC 218
🦠 #Malware 8 (famiglie)
🐟 #Phishing 5 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-aprile-3-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole, di cui 21 con obiettivi italiani e 8 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 218 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Diffusione di malware #Keylogger tramite falsa pagina di #AgenziaEntrate
➡️ Campagna #Remcos italiana via Guloader
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
➡️ Riscontrata ancora una campagna ransomware #Lockbit
💣 #IoC 218
🦠 #Malware 8 (famiglie)
🐟 #Phishing 5 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-27-aprile-3-maggio-2024/
🇮🇹 Campagna di Phishing multibanking che sfrutta nome e loghi della Presidenza del Consiglio dei Ministri
✉️ Avete diritto a un rimborso fiscale
⚠️ Questa tipologia di campagna non è nuova per il CERT-AGID; l’ultima segnalazione risale al 5 ottobre 2023, mentre quella precedente al 25 maggio 2023. Pur variando nei metodi e nei domini utilizzati di volta in volta, lo scopo rimane costante: indurre le vittime a fornire le proprie credenziali di accesso promettendo un rimborso fittizio e chiedendo loro di selezionare una delle 10 banche elencate.
ℹ️ Dettagli e Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/phishing/phishing-multibanking-sfrutta-nome-e-loghi-della-presidenza-del-consiglio-dei-ministri/
✉️ Avete diritto a un rimborso fiscale
⚠️ Questa tipologia di campagna non è nuova per il CERT-AGID; l’ultima segnalazione risale al 5 ottobre 2023, mentre quella precedente al 25 maggio 2023. Pur variando nei metodi e nei domini utilizzati di volta in volta, lo scopo rimane costante: indurre le vittime a fornire le proprie credenziali di accesso promettendo un rimborso fittizio e chiedendo loro di selezionare una delle 10 banche elencate.
ℹ️ Dettagli e Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/news/phishing/phishing-multibanking-sfrutta-nome-e-loghi-della-presidenza-del-consiglio-dei-ministri/
Sintesi riepilogativa delle campagne malevole nella settimana del 4 – 10 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole, di cui 21 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 137 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Phishing multibanking sfrutta nome e loghi della PCM
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità con il pretesto di erogazione bonus.
💣 #IoC 137
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-4-10-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 23 campagne malevole, di cui 21 con obiettivi italiani e 2 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 137 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Phishing multibanking sfrutta nome e loghi della PCM
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità con il pretesto di erogazione bonus.
💣 #IoC 137
🦠 #Malware 4 (famiglie)
🐟 #Phishing 7 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-4-10-maggio-2024/
Sintesi riepilogativa delle campagne malevole nella settimana del 11 – 17 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 20 campagne malevole, di cui 16 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 236 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 236
🦠 #Malware 7 (famiglie)
🐟 #Phishing 6 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 20 campagne malevole, di cui 16 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 236 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 236
🦠 #Malware 7 (famiglie)
🐟 #Phishing 6 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-maggio-2024/
📣 In occasione della manifestazione #ForumPA 2024 giovedì 23 maggio dalle 14.30 alle 15.00, presso lo spazio di #AgID (stand 9C), è previsto l'incontro "Panoramica delle minacce più diffuse in Italia" a cura del servizio CERT-AgID.
🛡 Durante l'evento verranno analizzate le principali minacce alla #Cybersecurity in Italia e approfondite le più recenti sfide di sicurezza legate all' #IntelligenzaArtificiale
👉 https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2024/05/14/forum-pa-2024-presentazioni-seminari-incontri-presso-stand-agid
🛡 Durante l'evento verranno analizzate le principali minacce alla #Cybersecurity in Italia e approfondite le più recenti sfide di sicurezza legate all' #IntelligenzaArtificiale
👉 https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2024/05/14/forum-pa-2024-presentazioni-seminari-incontri-presso-stand-agid
🇮🇹 Ransomware “Cambiare Rotta”: Una minaccia distruttiva per l’Italia
⚠️ Purtroppo, non è ancora chiaro come il malware venga distribuito sui computer delle vittime.
➡️ I file cifrati non possono essere recuperati in quanto la nota di riscatto non fornisce alcuna istruzione su come contattare i criminali (gli unici in possesso della chiave privata) o su come procedere per il recupero dei file, anzi, indicano che “non c’è modo di recuperarli“.
🗒 La nota, scritta in lingua italiana, associa il #ransomware a un messaggio politico, con riferimenti al conflitto tra Israele e Palestina. Questo dimostra che il ransomware non è stato creato con l’intento di ottenere profitto finanziario, ma per essere distruttivo e per promuovere una determinata azione politica o ideologica.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-cambiare-rotta-una-minaccia-distruttiva-per-litalia/
⚠️ Purtroppo, non è ancora chiaro come il malware venga distribuito sui computer delle vittime.
➡️ I file cifrati non possono essere recuperati in quanto la nota di riscatto non fornisce alcuna istruzione su come contattare i criminali (gli unici in possesso della chiave privata) o su come procedere per il recupero dei file, anzi, indicano che “non c’è modo di recuperarli“.
🗒 La nota, scritta in lingua italiana, associa il #ransomware a un messaggio politico, con riferimenti al conflitto tra Israele e Palestina. Questo dimostra che il ransomware non è stato creato con l’intento di ottenere profitto finanziario, ma per essere distruttivo e per promuovere una determinata azione politica o ideologica.
ℹ️ Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/ransomware-cambiare-rotta-una-minaccia-distruttiva-per-litalia/
Sintesi riepilogativa delle campagne malevole nella settimana del 17 – 24 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 23 con obiettivi italiani e 3 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 139 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ #Ransomware “Cambiare Rotta”: Una minaccia distruttiva per l’Italia
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori PEC.
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 139
🦠 #Malware 6 (famiglie)
🐟 #Phishing 9 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-24-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 26 campagne malevole, di cui 23 con obiettivi italiani e 3 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 139 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ #Ransomware “Cambiare Rotta”: Una minaccia distruttiva per l’Italia
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori PEC.
➡️ Campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 139
🦠 #Malware 6 (famiglie)
🐟 #Phishing 9 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-24-maggio-2024/
🇮🇹 Campagna #XWorm v.5.0 italiana
✉️ Oggetto: È necessario un aggiornamento sullo stato del pagamento della fattura
📎 Allegato: fattura1-4 . zip
⚔️ TTP: ZIP > LNK > ZIP > HTA > BAT > PS1
⚠️ Per la seconda settimana consecutiva si ha evidenza di campagne XWorm con allegati ZIP contenenti file LNK o URL come vettori iniziali di compromissione. In alcuni casi, vengono sfruttate connessioni SMB per ottenere ulteriori script che conducono al malware finale.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/xworm_30-05-2024.json
✉️ Oggetto: È necessario un aggiornamento sullo stato del pagamento della fattura
📎 Allegato: fattura1-4 . zip
⚔️ TTP: ZIP > LNK > ZIP > HTA > BAT > PS1
⚠️ Per la seconda settimana consecutiva si ha evidenza di campagne XWorm con allegati ZIP contenenti file LNK o URL come vettori iniziali di compromissione. In alcuni casi, vengono sfruttate connessioni SMB per ottenere ulteriori script che conducono al malware finale.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/xworm_30-05-2024.json
Rilevata pagina di #Phishing volta a sottrarre le credenziali #PEC agli utenti #Legalmail
ℹ️ La pagina è stata caricata su un dominio francese utilizzato anche per altre attività di phishing.
A seguito di una segnalazione pervenuta alla casella di posta malware@cert-agid.gov.it è stato possibile attuare le azioni di contrasto:
➡️ diffondere gli indicatori alle PA
➡️ rilevare le vittime
➡️ informare i Gestori PEC
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/legalmail_phishing_30-05-2024.json
ℹ️ La pagina è stata caricata su un dominio francese utilizzato anche per altre attività di phishing.
A seguito di una segnalazione pervenuta alla casella di posta malware@cert-agid.gov.it è stato possibile attuare le azioni di contrasto:
➡️ diffondere gli indicatori alle PA
➡️ rilevare le vittime
➡️ informare i Gestori PEC
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/05/legalmail_phishing_30-05-2024.json
Sintesi riepilogativa delle campagne malevole nella settimana del 25 – 31 Maggio 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 33 con obiettivi italiani e 10 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 392 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Malware #XWorm v.5.0 osservato in Italia
➡️ Phishing #Legalmail per sottrarre credenziali #PEC
➡️ Proseguono le campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 392
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-31-maggio-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 43 campagne malevole, di cui 33 con obiettivi italiani e 10 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 392 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Malware #XWorm v.5.0 osservato in Italia
➡️ Phishing #Legalmail per sottrarre credenziali #PEC
➡️ Proseguono le campagne di smishing #INPS volte a sottrarre documenti di identità
💣 #IoC 392
🦠 #Malware 6 (famiglie)
🐟 #Phishing 14 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-31-maggio-2024/
Sintesi riepilogativa delle campagne malevole nella settimana del 01 – 07 Giugno 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 31 campagne malevole, di cui 18 con obiettivi italiani e 13 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 202 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori
💣 #IoC 202
🦠 #Malware 5 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-01-07-giugno-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 31 campagne malevole, di cui 18 con obiettivi italiani e 13 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 202 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagna di Phishing veicolata tramite #PEC registrata ad-hoc contrastata dal CERT-AGID con il supporto dei Gestori
💣 #IoC 202
🦠 #Malware 5 (famiglie)
🐟 #Phishing 13 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-01-07-giugno-2024/
🇮🇹 Campagne #Adwind / #jRAT attive contro obiettivi italiani
Da oltre una settimana il CERT-AGID sta osservando una serie di campagne mirate contro l’Italia e finalizzate alla diffusione del malware Adwind/jRAT.
⚔️ TTP
ZIP > HTML > JAR
➡️ Doppio loader prima di rilasciare il malware
➡️ Controllo della lingua del browser e del sistema in uso
➡️ Utilizzo di algoritmi #Blowfish e #DES per cifrare le stringhe
ℹ️ Analisi e Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/news/campagne-adwind-jrat-attive-contro-obiettivi-italiani/
Da oltre una settimana il CERT-AGID sta osservando una serie di campagne mirate contro l’Italia e finalizzate alla diffusione del malware Adwind/jRAT.
⚔️ TTP
ZIP > HTML > JAR
➡️ Doppio loader prima di rilasciare il malware
➡️ Controllo della lingua del browser e del sistema in uso
➡️ Utilizzo di algoritmi #Blowfish e #DES per cifrare le stringhe
ℹ️ Analisi e Indicatori di compromissione 👇
🔗 https://cert-agid.gov.it/news/campagne-adwind-jrat-attive-contro-obiettivi-italiani/
CERT-AgID
🇮🇹 Campagne #Adwind / #jRAT attive contro obiettivi italiani Da oltre una settimana il CERT-AGID sta osservando una serie di campagne mirate contro l’Italia e finalizzate alla diffusione del malware Adwind/jRAT. ⚔️ TTP ZIP > HTML > JAR ➡️ Doppio loader…
Nuove campagne in corso, #IoC aggiornati al 12/06/2024 @ 10:15
Sintesi riepilogativa delle campagne malevole nella settimana del 08 – 14 Giugno 2024
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 24 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 223 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagne mirate contro l’Italia e finalizzate alla diffusione del malware #Adwind / #jRAT
➡️ Attacchi #DDoS a enti pubblici e privati italiani ad opera del collettivo filorusso #NoName057.
➡️ Campagne di #phishing e #smishing a tema #INPS con l’obiettivo di sottrarre informazioni personali ai cittadini italiani.
💣 #IoC 223
🦠 #Malware 4 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-08-14-giugno-2024/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 28 campagne malevole, di cui 24 con obiettivi italiani e 4 generiche che hanno comunque interessato l'Italia, mettendo a disposizione dei suoi enti accreditati i relativi 223 indicatori di compromissione (IOC) individuati.
Eventi di particolare interesse:
➡️ Campagne mirate contro l’Italia e finalizzate alla diffusione del malware #Adwind / #jRAT
➡️ Attacchi #DDoS a enti pubblici e privati italiani ad opera del collettivo filorusso #NoName057.
➡️ Campagne di #phishing e #smishing a tema #INPS con l’obiettivo di sottrarre informazioni personali ai cittadini italiani.
💣 #IoC 223
🦠 #Malware 4 (famiglie)
🐟 #Phishing 12 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-08-14-giugno-2024/
🇮🇹 Campagna di Phishing #AgenziaEntrate
⚠️ La campagna è tutt'ora in corso ed ha lo scopo di carpire le credenziali di accesso al sito di #AgenziaEntrate
Dopo aver digitato le credenziali viene mostrato alla vittima un falso PDF.
➡️ Riscontrate similitudini con la campagna del 23/02/2024.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/06/agenziaentrate_17-06-2024.json
⚠️ La campagna è tutt'ora in corso ed ha lo scopo di carpire le credenziali di accesso al sito di #AgenziaEntrate
Dopo aver digitato le credenziali viene mostrato alla vittima un falso PDF.
➡️ Riscontrate similitudini con la campagna del 23/02/2024.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/06/agenziaentrate_17-06-2024.json
🇮🇹 Campagne di Phishing #Zimbra
✉️ Aggiorna a Z!mbra 9.4 e goditi i nuovi vantaggi
⚠️ Il messaggio invita gli utenti a eseguire un aggiornamento a "Z!mbra 9.4". Sottolinea che quasi tutti gli utenti hanno già eseguito l'aggiornamento e che non farlo potrebbe comportare la perdita dei file o l'accesso all'account. Si tratta di un tentativo di ingannare gli utenti inducendoli a cliccare su un link o a fornire informazioni personali, sfruttando la paura di perdere i propri dati.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/06/zimbra_18-06-2024.json
✉️ Aggiorna a Z!mbra 9.4 e goditi i nuovi vantaggi
⚠️ Il messaggio invita gli utenti a eseguire un aggiornamento a "Z!mbra 9.4". Sottolinea che quasi tutti gli utenti hanno già eseguito l'aggiornamento e che non farlo potrebbe comportare la perdita dei file o l'accesso all'account. Si tratta di un tentativo di ingannare gli utenti inducendoli a cliccare su un link o a fornire informazioni personali, sfruttando la paura di perdere i propri dati.
💣 Indicatori di Compromissione 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2024/06/zimbra_18-06-2024.json