Il ransomware MedusaLocker è emerso per la prima volta nel settembre 2019, infettando e crittografando le macchine Windows in tutto il mondo. Sono stati segnalati attacchi MedusaLocker in più settori, in particolare il settore sanitario che ha subito una grande quantità di attacchi ransomware durante la pandemia COVID-19. Al fine Leggi tutto…
Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam il cui intento era quello di diffondere il malware FickerStealer tramite il loader Hancitor per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”, contenevano un documento Word o Excel in allegato, all’interno del quale erano registrate Leggi tutto…
Nell’ultima settimana è stata rilevata una campagna di Pishing che ha colpito anche l’Italia. L’oggetto della mail è ” RE: Purchase order-12034428 HANG TAG ARTWORK”, in allegato è presente un file xlsx che se aperto contatta un dominio dal quale scarica un sample di LokiBot in formato exe. Il dropper Leggi tutto…
CVE-2020-1472 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2020-0796 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2019-19781 – Attacco sistemi Citrix CVE-2019-0708 – BlueKeep, attacco al servizio RDP CVE-2017-11882 – Attacco tramite e-mail e allegato CVE-2017-0199 – Attacco tramite e-mail e allegato CVE-2020-1472 CVE-2020-0796 CVE-2019-19781 CVE-2019-0708 CVE-2017-11882 CVE-2017-0199
TTP Mustang Panda Comportamento e catena di compromissione tipica di Mustang Panda: Altre similitudini Struttura dell’attacco Considerazioni
Seems no one mentioned yet, so let me do it: the Linux version of HelloKitty ransomware was already using esxcli at least in early March for stopping VMs…@VK_Intel @demonslay335 pic.twitter.com/atSv0OO7YL — MalwareHunterTeam (@malwrhunterteam) July 14, 2021 VMWare ESXi Vulnerabilità ESXi Il Ransomware HelloKitty Important Update pic.twitter.com/PCEuhAJosR — CD PROJEKT RED Leggi tutto…
Inizio della compromissione avviato la compromissione attraverso un canale attendibile; sfruttato la fiducia nel codice dell’agente VSA, riflessa nelle esclusioni software anti-malware necessarie al software Kaseya. C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true – EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode Leggi tutto…
Analisi catena di Compromissione Avvio della compromissione Persistenza SCM Event8 Log Consumer viene eseguito circa ogni 4 ore in modo tale da riprendere il processo di infezione nel caso in cui precedentemente tale processo fosse fallito; SCM Event8 Log Consumer2 viene eseguito 4/5 minuti dopo l’avvio del sistema. Lateral Movement Leggi tutto…
Dettagli sulla Minaccia Mitigazione Disabilitazione del servizio Determine if the Print Spooler service is running Run the following: Get-Service -Name Spooler If the Print Spooler is running or if the service is not set to disabled, select one of the following options to either disable the Print Spooler service, or Leggi tutto…
