In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 33 campagne malevole, di cui 31 con obiettivi italiani e 2 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 197 indicatori di compromissione (IOC) individuati.

Sono trascorsi circa quattro mesi dall’ultima campagna StrRat osservata in Italia. L’e-mail circolata in data odierna è scritta in lingua inglese ma sembra provenire da una nota azienda italiana che si occupa di progettare macchinari industriali ed ha sede a Brescia. Naturalmente il mittente è spoofato ed il contenuto dell’e-mail è confezionata ad arte.

In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 27 campagne malevole che hanno interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 363 indicatori di compromissione (IOC) individuati.

Una simile organizzazione è comune nei gruppi APT, dove gli operatori sono dipendenti e coprono orari e turni di lavoro come qualunque altro lavoratore. Infine, il processo di monetizzazione basato sull’accesso ai computer delle vittime è diverso dalla monetizzazione di credenziali e carte di credito rubate. Le connessioni (umane) necessarie per vendere i primi sono diverse da quelle necessarie per vendere le seconde. Questi adattamenti non sono quindi scontati e non succedono spontaneamente, c’è un progetto dietro e comunque una precisa volontà di cambiare tattica.

Grazie alla modularità delle funzioni fornite attraverso il builder e al suo continuo sviluppo (stando alle indiscrezioni di Palo Alto era già presente nel 2016) SpyNote è uno dei malware per Android che si distingue per l’elevata capacità di raccogliere informazioni e per la flessibilità che offre agli attori malevoli di estendere le funzionalità tramite le costanti interazioni con il C2.

Tali funzionalità, oltre a rappresentare una grande opportunità per le piccole organizzazioni criminali il cui unico obiettivo è quello di svuotare i conti correnti delle vittime, si prestano bene per operazioni ben più complesse che mirano invece alle attività di spionaggio.

In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 30 campagne malevole, di cui 28 con obiettivi italiani e 2 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 401 indicatori di compromissione (IOC) individuati.

In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole, di cui 25 con obiettivi italiani e 4 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 319 indicatori di compromissione (IOC) individuati.

Il modello di business non prevede un programma di affiliazione come avviene per altri gruppi ransomware finora osservati. Il software è acquistabile da chiunque e pronto all’uso, il componente dedito alla cifratura dei file (il ransomware vero e proprio) viene venduto separatamente da quello atto al furto dei file (lo stealer in gergo). Non è stata infatti rilevata capacità di esfiltrazione dati nell’analisi del campione analizzato dal CERT-AGID.

In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 32 con obiettivi italiani e 3 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 352 indicatori di compromissione (IOC) individuati.

In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 44 campagne malevole, di cui 39 con obiettivi italiani e 5 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 278 indicatori di compromissione (IOC) individuati.