FBI, ransomware e Luxottica: settimane impegnative
Buona domenica e ben ritrovato caro cyber User. Alcune settimane di pausa, ma l'attività cyber di InsicurezzaDigitale e quindi anche di NINAsec, resta incensante e la pausa è solo "apparente". E' servita per far uscire, lunedì scorso, il primo report quadrimestrale del progetto DRM (Dashboard Ransomware Monitor). Un report sullo stato del ransomware a livello globale e con un focus sull'Italia; disponibile online in doppia lingua, direttamente sul sito della piattaforma di monitoraggio. Inoltre stanno arrivando grandi contributi alla piattaforma, che la stanno migliorando con importanti novità, sia stilistiche che di backend.
FBI si concentra su BianLian
FBI, CISA e ACSC stanno avvertendo le organizzazioni di infrastrutture critiche degli attacchi ransomware BianLian. Dal giugno 2022, la banda ha utilizzato le credenziali del protocollo desktop remoto (RDP) dei broker di accesso iniziale o degli attacchi di phishing per accedere alle reti delle vittime. CISA, FBI e ACSC affermano che la banda BianLian ha preso di mira le organizzazioni di infrastrutture critiche statunitensi e le società private australiane, inclusa un'organizzazione di infrastrutture critiche, per un anno. A partire da gennaio 2023, l'organizzazione si è concentrata sull'esfiltrazione di dati piuttosto che sul ransomware.
La cyber gang installa strumenti di gestione e accesso remoti tra cui Atera Agent, AnyDesk, SplashTop e TeamViewer oltre a una backdoor basata su Go specifica per la vittima.
Wazawaka ricercato dal DoJ per crimini informatici
Parlando di ransomware, questi sono stati i giorni in cui si è parlato molto di un giovane ricercato. Il Dipartimento di Giustizia degli Stati Uniti ha accusato Mikhail Pavlovich Matveev (aka Wazawaka) cittadino russo di 30 anni, della sua presunta partecipazione a varie operazioni di ransomware. Tra le operazioni che lo hanno visto coinvolto si evidenziano Babuk, Hive e LockBit.
Anche l'FBI lo ha identificato tra i suoi ricercati, esponendo foto rappresentative e dettagli anagrafici sulla persona.
Anche il Dipartimento del Tesoro degli Stati Uniti ha inserito Matveev nell'elenco delle persone con le quali è illegale effettuare transazioni finanziarie.
Il Dipartimento di Stato ha annunciato una ricompensa fino a 10 milioni di dollari per informazioni che portino all'arresto e/o alla condanna di questo ricercato; rilasciando al contempo una sezione apposita per il rilascio di informazioni (anche anonime) tips.fbi.gov. Se condannato, rischia oltre 20 anni di carcere.
Lato criminale Wazawaka fa sapere, tramite diversi forum underground, che non ha alcuna intenzione di lasciare la Russia, terra che gli offre una larga protezione contro queste accuse dell'occidente, dalla quale continuerà senza troppi problemi la sua attività attuale.
"Madre Russia ti aiuterà", ha concluso Wazawaka. "Ama il tuo paese e troverai sempre un modo per farla franca con tutto".
Le reazioni dell'account Twitter di Wasawaka e Basstelord a questa notizia statunitense, lui la considera motivo di orgoglio.
Anche LockBit espone le sue reazioni alla notizia. In risposta ha scritto: "Lui (Wasawaka) era un bravo ragazzo, è un peccato che beva molto alcol. Sarebbe fantastico se fossi anche io sul sito web dell'FBI".
Aggiornamenti su databreach Luxottica
Vista l'importanza del target e della reazione internazionale alla notizia, una doverosa menzione al nostro amico ricercatore Andrea Dragetti è d'obbligo.
Luxottica ha infatti confermato di aver subito un ulteriore violazione dei dati dei propri clienti nel 2021, dopo che nel 2020 aveva già subito un'esfiltrazione di dati e a pochi mesi di distanza un ransomware che ha impattato in Italia e Cina.
Ora, il database è trapelato nella sua interezza gratuitamente il 30 aprile e il 12 maggio 2023, su diversi forum di hacking. Andrea Draghetti ha analizzato questi dati e ha confermato a Bleeping Computer che contiene 305 milioni di righe, 74,4 milioni di indirizzi e-mail univoci e 2,6 milioni di indirizzi e-mail di dominio univoci.
"Abbiamo scoperto attraverso le nostre procedure di monitoraggio proattivo che alcuni dati dei clienti al dettaglio, presumibilmente ottenuti tramite una terza parte correlata ai clienti al dettaglio di Luxottica, sono stati pubblicati in un post online", dice Luxottica ad una richiesta di informazioni specifica attuata da Bleeping Computer.
Solamente post ricerca appena descritta, Luxottica da parte sua ha confermato l'incidente, quindi con due anni di ritardo. Questo per ricordare sempre l'importanza del lavoro dei ricercatori di sicurezza, senza il quale, presumibilmente ancora non avremo saputo niente di questa vicenda (così come di tante altre).
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.