Blog · research & analysis
In questi giorni stiamo assistendo ad attacchi informatici massivi, automatizzati e su scala globale. Si tratta di attacchi che sfruttano le recenti vulnerabilità dei sistemi di posta Microsoft Exchange Server. Solo in Italia i sistemi vulnerabili potrebbero essere circa 8000, mentre a livello globale è possibile stimarne circa 200 000. Un attacco di questo tipo … Read more
Dettagli del servizio di Difesa Gestita di Fortgale. Exploit Kit & Purple Fox La Catena di compromissione 1. Avvio della compromissione 2. Modifiche al sistema e controlli SHA-256 d88ce4ccca6bc536dd3b80374be5e3f5ec9ffd96dc122352386dd4ca9af01cfc 3. Check privilegi amministrativi x32 hxxp://rawcdn[.]githack[.]cyou/up[.]php?key=3×64 hxxp://rawcdn[.]githack[.]cyou/up[.]php?key=4 4. Il ruolo del file MSI 5. Modifiche al sistema “C:\Windows\SysWOW64\netsh.exe” ipsec static add filterlist name=Filter1″C:\Windows\SysWOW64\netsh.exe” ipsec static add … Read more
Sempre più organizzazioni decidono di migrare verso sistemi di posta elettronica in Cloud (Office365 e GMail), scelta presa per una serie di vantaggi tecnici e gestionali. Queste soluzioni offrono un importante livello di sicurezza e protezione, esistono tuttavia alcuni rischi che dovrebbero essere mitigati con l’implementazione di alcune contromisure tecniche. In questo post proviamo ad … Read more
Dopo aver trattato nel precedente post (link) l’attività di Incident Response di un reale caso italiano riconducibile ad attività nota con il termine “Big Game Hunting” (BGH), vorremmo porre l’attenzione sull’utilizzo della matrice ATT&CK per fini difensivi. Nello specifico, la matrice ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) è stata sviluppata dal MITRE con l’obiettivo … Read more
Durante le attività di Threat Intelligence per il monitoraggio e tracciamento dei Threat Actors, il nostro Team ha identificato un attività ritenuta interessante per l’importante numero di sistemi compromessi, circa 50’000 in tutto il mondo. In Italia Partendo dalla lista degli indirizzi IP è stato possibile identificare l’appartenenza di questi sistemi. Sono almeno 700 i … Read more
L’intero processo di Cyber Defence può essere riassunto in tre fattori che ne determinano l’esito qualitativo: persone, tecnologie e processi. La mancanza di una di queste componenti può compromette i risultati dell’intero processo difensivo aziendale. Porre l’attenzione esclusivamente su alcuni aspetti della difesa dell’azienda, per esempio l’aspetto tecnologico, rende inefficace l’intera postura difensiva dell’azienda stessa. … Read more
In questo articolo vogliamo condividere con il lettore il resoconto di una reale attività di Incident Response relativa ad un attacco Ransomware su un infrastruttura di circa 2000 sistemi. Risultati dell’attività L’incidente informatico, nel caso specifico, si manifesta con una serie di disservizi riscontrati da alcuni utenti nel tentativo di accedere ad applicativi aziendali. Dai … Read more
Con l’esperienza specialistica maturata nel settore della Cybersecurity abbiamo identificato alcuni aspetti spesso sottovalutati che, se trattati e gestiti correttamente, permetterebbero alle aziende di ridurre sensibilmente il rischio di attacchi Ransomware. 1. Falso mito “Nessuno interessato ad attaccarmi!” Intervento: 2. Server esposti Intervento: 3. Policy di sicurezza del Mail Server Intervento: 4. Segmentazione Intervento:
E-Mail con documento Word malevolo in allegato E-Mail con ZIP (con password) contenente documento Word malevolo E-Mail con URL per il download del documento Word malevolo Indicatori di Compromissione parziali: C2: 76.168.54.203:80 C2: 174.113.69.136:80 C2: 98.13.75.196:80 C2: 51.38.124.206:80 C2: 178.250.54.208:8080 C2: 185.178.10.77:80 C2: 38.88.126.202:8080 C2: 190.2.31.172:80 C2: 181.129.96.162:8080 C2: 54.37.42.48:8080 C2: 45.16.226.117:443 C2: 67.247.242.247:80 C2: … Read more
