Blog · research & analysis
Over the past year, ransomware and cyberattacks have experienced exponential growth. In 2020, the FBI reported a 400% increase in cyberattacks—incidents that have not only become more frequent but also more precise, accurate, and methodical. Below is an examination of the reorganization of several prominent criminal groups. BlackMatter A new ransomware gang named BlackMatter is … Read more
Il ransomware MedusaLocker è emerso per la prima volta nel settembre 2019, infettando e crittografando le macchine Windows in tutto il mondo. Sono stati segnalati attacchi MedusaLocker in più settori, in particolare il settore sanitario che ha subito una grande quantità di attacchi ransomware durante la pandemia COVID-19. Al fine di massimizzare le possibilità di … Read more
Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam il cui intento era quello di diffondere il malware FickerStealer tramite il loader Hancitor per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”, contenevano un documento Word o Excel in allegato, all’interno del quale erano registrate delle macro per il download … Read more
Nell’ultima settimana è stata rilevata una campagna di Pishing che ha colpito anche l’Italia. L’oggetto della mail è ” RE: Purchase order-12034428 HANG TAG ARTWORK”, in allegato è presente un file xlsx che se aperto contatta un dominio dal quale scarica un sample di LokiBot in formato exe. Il dropper xlsx utilizza la CVE-2017-11882 (Le … Read more
CVE-2020-1472 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2020-0796 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2019-19781 – Attacco sistemi Citrix CVE-2019-0708 – BlueKeep, attacco al servizio RDP CVE-2017-11882 – Attacco tramite e-mail e allegato CVE-2017-0199 – Attacco tramite e-mail e allegato CVE-2020-1472 CVE-2020-0796 CVE-2019-19781 CVE-2019-0708 CVE-2017-11882 CVE-2017-0199
TTP Mustang Panda Comportamento e catena di compromissione tipica di Mustang Panda: Altre similitudini Struttura dell’attacco Considerazioni
Seems no one mentioned yet, so let me do it: the Linux version of HelloKitty ransomware was already using esxcli at least in early March for stopping VMs…@VK_Intel @demonslay335 pic.twitter.com/atSv0OO7YL — MalwareHunterTeam (@malwrhunterteam) July 14, 2021 VMWare ESXi Vulnerabilità ESXi Il Ransomware HelloKitty Important Update pic.twitter.com/PCEuhAJosR — CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021
Inizio della compromissione avviato la compromissione attraverso un canale attendibile; sfruttato la fiducia nel codice dell’agente VSA, riflessa nelle esclusioni software anti-malware necessarie al software Kaseya. C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true – EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode – Force -MAPSReporting Disabled -SubmitSamplesConsent … Read more
Analisi catena di Compromissione Avvio della compromissione Persistenza SCM Event8 Log Consumer viene eseguito circa ogni 4 ore in modo tale da riprendere il processo di infezione nel caso in cui precedentemente tale processo fosse fallito; SCM Event8 Log Consumer2 viene eseguito 4/5 minuti dopo l’avvio del sistema. Lateral Movement Remote execution con WMI Remote … Read more
