IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

Campagne malspam a tema aggiornamenti Kaseya

08/07/2021

Dridex kaseya

A complemento della recente analisi svolta dal CERT-AGID in merito al ransomware di REvil Team che ha colpito l’azienda americana Kaseya, il CERT ha ricevuto segnalazione di una campagna che sfrutta l’incidente per diffondere il malware Dridex.

L’email, mostrata sopra, si spaccia per un aggiornamento dei prodotti VSA Kaseya e presenta il tipico tono di urgenza. Continuando la lettura dell’email, c’è un chiaro invito al lettore ad installare il pacchetto di aggiornamento allegato in email.

Information for all customers. Install this update in attached as soon as possible.

Al fine di superare i controlli dei software antivirus, l’archivio zip, contenente l’eseguibile “upadetekas.exe” è protetto da password “kaseya” riportata nel corpo del messaggio.

Dall’analisi dinamica effettuata, il file eseguibile sembra essere riconducibile alla famiglia malware “Dridex”.

L’utilizzo del tema di “aggiornamenti” dei prodotti Kaseya non è nuovo (si riporta un esempio di campagna simile pubblicata dal profilo Twitter MBThreatIntel) dato l’impatto mediatico che ha avuto il realtivo incidente.

Indicatori di compromissione

Il CERT-AGID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC