Attacco ransomware a Tata Technologies

Tata Technologies, una filiale della multinazionale indiana Tata, sarebbe stata vittima del gruppo ransomware Hunters International. Gli aggressori affermano di aver sottratto 1,4 TB di dati—oltre 730.000 file—e minacciano di divulgarli il prossimo lunedì se il riscatto non verrà pagato. Tuttavia, non hanno ancora reso noto l'importo richiesto né fornito prove del furto.

Tata Technologies, azienda di ingegneria del prodotto sotto Tata Motors, aveva già rivelato un attacco ransomware a gennaio. Da allora, ha ripristinato i propri servizi IT e assicura che le operazioni dei clienti non siano state compromesse.

Hunters International, ritenuto una nuova versione del famigerato gruppo Hive, ha una storia di attacchi a grandi organizzazioni, tra cui la Industrial and Commercial Bank of China. In passato, Hive aveva già colpito Tata Power nel 2022, pubblicando dati sottratti dopo il mancato pagamento del riscatto.

L'attacco evidenzia la continua minaccia informatica contro le aziende globali e sottolinea la necessità di misure di sicurezza più robuste.

Legami più profondi tra i ransomware Black Basta e Cactus

Nuove ricerche hanno rivelato collegamenti più stretti tra i gruppi ransomware Black Basta e Cactus, entrambi utilizzando le stesse tecniche di ingegneria sociale e il malware proxy BackConnect per ottenere accesso ai sistemi compromessi.

BackConnect, uno strumento proxy per occultare il traffico e aggirare i controlli di sicurezza, era stato inizialmente associato a Black Basta tramite connessioni con Zloader e Qbot. Tuttavia, una recente fuga di dati ha rivelato conversazioni interne tra il manager di Black Basta e un presunto sviluppatore di Qbot, confermando ulteriormente i legami.

Un nuovo report di Trend Micro ha collegato anche Cactus ransomware a BackConnect, suggerendo una possibile sovrapposizione tra i membri dei due gruppi. Entrambi i gruppi hanno utilizzato tattiche simili, tra cui tempeste di email seguite dall'uso di Microsoft Teams per impersonare il supporto IT e ottenere accesso remoto.

Storicamente, Black Basta ha sfruttato Qbot per entrare nelle reti aziendali, ma dopo l'operazione delle forze dell'ordine nel 2023 che ha smantellato Qbot, il gruppo ha iniziato a usare BackConnect, segno di una collaborazione continua con gli sviluppatori di malware associati a Qbot.

Nuovo botnet Eleven11bot infetta oltre 86.000 dispositivi IoT

Un nuovo malware botnet, denominato Eleven11bot, ha infettato oltre 86.000 dispositivi IoT, in particolare telecamere di sicurezza e videoregistratori di rete (NVRs), per condurre attacchi DDoS su larga scala. Il botnet, potenzialmente collegato all'Iran, ha già preso di mira fornitori di telecomunicazioni e server di giochi online.

Scoperto dai ricercatori di Nokia, Eleven11bot si è diffuso rapidamente, con The Shadowserver Foundation che ha confermato infezioni negli Stati Uniti, Regno Unito, Messico, Canada e Australia. Gli attacchi hanno raggiunto volumi di centinaia di milioni di pacchetti al secondo, durando più giorni.

GreyNoise e Censys hanno tracciato 1.400 indirizzi IP associati alla botnet, con il 96% proveniente da dispositivi reali. La maggior parte degli IP è basata in Iran, con centinaia di indirizzi segnalati come malevoli. Il malware si diffonde sfruttando password deboli e credenziali di default, nonché individuando porte Telnet e SSH esposte.

Gli esperti consigliano di bloccare gli IP noti come malevoli, disattivare l'accesso remoto non necessario, aggiornare il firmware e sostituire i dispositivi IoT obsoleti per ridurre il rischio.

Il governo britannico propone un nuovo codice di sicurezza per il software

Il governo del Regno Unito sta elaborando un codice di condotta per migliorare la sicurezza del software e la resilienza della supply chain digitale. Dopo la pubblicazione della Call for Views on Software Resilience and Security nel gennaio 2024, il codice definitivo dovrebbe essere pubblicato nel 2025.

Le misure volontarie stabiliranno uno standard minimo di sicurezza per i fornitori di software, garantendo una maggiore coerenza nello sviluppo, distribuzione e manutenzione. Il National Cyber Security Centre (NCSC) e il Department for Science, Innovation and Technology (DSIT) affineranno i controlli tecnici e le linee guida prima della pubblicazione.

Per incentivare l’adozione, verrà introdotto un metodo di attestazione e un regime di garanzia, consentendo ai fornitori di dimostrare la conformità attraverso l’approccio di garanzia basato sui principi dell’NCSC. Il governo mapperà inoltre il codice rispetto agli standard di sicurezza esistenti.

L'onorevole Feryal Clark ha sottolineato l'importanza della sicurezza software, avvertendo che software compromessi possono interrompere operazioni aziendali e esporre le organizzazioni a minacce informatiche.

Nuova campagna di phishing prende di mira il settore aereo degli Emirati Arabi Uniti

I cacciatori di minacce hanno scoperto una campagna di phishing altamente mirata che ha colpito meno di cinque entità negli Emirati Arabi Uniti (U.A.E.), distribuendo un backdoor Golang inedito, denominato Sosano.

Tracciata come UNK_CraftyCamel da Proofpoint, la campagna ha preso di mira le organizzazioni dell’aviazione e delle comunicazioni satellitari. Gli attaccanti hanno compromesso un account email di un'azienda elettronica indiana, inviando email di phishing contenenti file ZIP malevoli. Questi file hanno distribuito documenti PDF e XLS poliglotti, che alla fine hanno installato il backdoor Sosano.

Sosano consente agli attaccanti di modificare directory, elencare file, scaricare payload, eseguire comandi e cancellare cartelle. Proofpoint non ha trovato sovrapposizioni con gruppi noti, ma ipotizza un coinvolgimento di un gruppo allineato all’Iran, potenzialmente collegato al Corpo delle Guardie della Rivoluzione Islamica (IRGC).

L’operazione evidenzia l’avanzata sofisticazione degli attori statali, che sfruttano compromissioni di terze parti fidate e tecniche di offuscamento per evitare il rilevamento e colpire infrastrutture critiche negli Emirati Arabi Uniti.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.