Un recente report di Proofpoint riferisce che Gruppi #APT di Cina, Russia e India stanno adottando una nuova (si fa per dire) tecnica di attacco chiamata "RTF Template #Injection", rendendo i loro attacchi più difficili da rilevare e fermare.
Che cos'è l'iniezione di modelli RTF? Questo attacco non è nuovo di per sé, ma una variazione di un classico attacco di template injection che è noto da anni, da qui la sua inclusione già nel framework #MITRE #ATT&CK.
La tecnica ruota attorno a una funzionalità di Microsoft Office in cui gli utenti possono creare un documento utilizzando un modello predefinito.
Questi modelli possono essere archiviati localmente o scaricati da un server remoto.
L'idea è che gli aggressori possano inviare file di Office apparentemente innocui, come DOC, XLS o PPT, e poi caricare codice dannoso quando l'app esegue il rendering del contenuto caricando il modello.
Gli attacchi che abusano di questa tecnica si verificano da anni, ma hanno visto un'impennata nel 2020, quando "l'iniezione di modelli a distanza" è diventata una tecnica popolare con alcuni gruppi APT.
Questi attacchi sfruttano tutti i file di Office e in particolare i documenti di Word.
La nuova variante di questo attacco è che, invece di utilizzare Word o altri file di Office, utilizzano file Windows RTF (rich text format).
Secondo Proofpoint, gli attori delle minacce stanno mettendo creando un arsenale di file RTF con esche che potrebbero interessare i loro obiettivi, creando modelli contenenti codice dannoso che esegue malware specifici.
Questi documenti vengono quindi inviati alle vittime utilizzando attacchi di spear-phishing.

Purtoppo è stato osservato il ritorno della famigerata #botnet #Emotet, infatti è stata rilevata una variante di #TrickBot che scarica sui sistemi infetti un loader per Emotet.
Ricordo che nel primo trimestre di quest'anno, #Europol ed #Eurojust hanno spento l'infrastruttura di Emotet e ad aprile, le forze dell'ordine tedesche hanno creato un software per la rimozione di Emotet dai dispositivi infetti.
Ora, i ricercatori di Advanced Intel, GDatae Cryptolaemus hanno osservato cambiamenti nel nuovo #loader di Emotet rispetto alle varianti precedenti, infatti questo include aumentate opzioni di comando che ora sono sette invece dei suoi soliti tre o quattro.

I ricercatori, però, non hanno trovato alcuna prova che ora Emotet invii e-mail di #spam o scoperto documenti dannosi che consegnano il #malware (metodi tipici utilizzati per diffondere Emotet in passato).
Si ritiene che la possibile ragione dietro la mancanza di attività di spamming sia lo sforzo di ricostruzione dell'infrastruttura.
Invece di Emotet che installa TrickBot (come è sempre avvenuto in passato), gli attori delle minacce utilizzano un metodo chiamato Operation Reacharound per ricostruire la botnet Emotet sfruttando l'infrastruttura esistente di TrickBot. In pratica avviene il contrario, ora è Trickbot che installa emotet.

La nuova infrastruttura Emotet sta crescendo rapidamente, con 246 dispositivi infetti che già fungono da server C2. Pertanto, l'azione rapida è la necessità del momento. #Abuse.ch (un'organizzazione senza scopo di lucro) ha rilasciato un elenco di server C2 utilizzati dalla nuova botnet Emotet e gli esperti raccomandano vivamente agli amministratori di bloccare qualsiasi indirizzo IP associato.

"La forza gravitazionale del buco nero del #ransomware sta attirando altre minacce informatiche per formare un enorme sistema di distribuzione ransomware interconnesso, con implicazioni significative per la sicurezza IT", ha affermato Sophos nel suo recente Sophos Threat Report 2022.
Il ransomware è considerato da molti esperti il rischio per la sicurezza più pressante per le aziende ed è estremamente redditizio per le bande coinvolte, con pagamenti di riscatto che aumentano in modo significativo.
Sophos afferma che il ransomware sta diventando più modulare, con diversi gruppi specializzati in particolari elementi di un attacco (questo lo abbiamo visto con la triade #Emotet #Trickbot #Ryuk). Ha anche sottolineato l'aumento collegato del "#ransomware as-a-service", in cui le bande criminali sono in grado di acquistare l'accesso a strumenti per eseguire i propri attacchi ransomware quando non hanno la capacità tecnica di creare tali strumenti da soli.
Questi cosiddetti "affiliati" non devono nemmeno trovare le proprie potenziali vittime: l'ecosistema si è sviluppato in modo che possano acquistare servizi da altri gruppi specializzati nell'accesso alle reti aziendali e che venderanno loro quella particolare #backdoor.
Oltre a fare affari con questi "broker di accesso iniziale", gli aspiranti aggressori ransomware possono rivolgersi a operatori di #botnet e piattaforme di distribuzione di malware per trovare e indirizzare potenziali vittime. E a causa del potenziale profitto, questi gruppi si stanno concentrando sempre più sul servire le bande di ransomware piuttosto che su forme meno redditizie di criminalità online.
"Le minacce informatiche consolidate continueranno ad adattarsi per distribuire ransomware. Questi includono #loader, #dropper e altre #malware commodity; Broker di accesso iniziale sempre più avanzati e gestiti dall'uomo; #spam; e #adware", ha detto la società di sicurezza.
L'idea del #RAAS è in circolazione da un po 'di tempo ed è stata spesso un modo per gli aggressori meno qualificati o meno ben finanziati di iniziare.
Ma ciò che è cambiato ora, ha detto Chester Wisniewski, principale ricercatore di Sophos, è che gli sviluppatori di ransomware stanno ora utilizzando questo modello as-a-service per ottimizzare il loro codice e ottenere i maggiori proventi, scaricando su altri i compiti di trovare vittime, installare ed eseguire il malware e riciclare le criptovalute.
Ricerche separate hanno persino suggerito che le bande di ransomware sono ora abbastanza ricche da iniziare ad acquistare i propri zero-day, qualcosa che in precedenza era disponibile solo per gli hacker sostenuti dallo stato.
"Questo sta distorcendo il panorama delle minacce informatiche", ha detto Wisniewski, poiché minacce comuni come loader, dropper e broker di accesso iniziale - che erano in circolazione e causavano interruzioni ben prima dell'ascesa del ransomware - stanno ora servendo le richieste delle bande di ransomware.

Nello studio "State of Ransomware Readiness" di Mimecast, sono stati intervistati 742 esperti di IT security ed è stato scoperto che l'80% di loro era stato preso di mira da ransomware negli ultimi due anni.
Di quell'80%, il 39% ha pagato un riscatto e, udite udite, le vittime statunitensi hanno pagato in media $ 6.312.190. Le vittime in Canada hanno pagato una media di $ 5.347.508 mentre quelle nel Regno Unito hanno pagato quasi $ 850.000. Le vittime in Sud Africa, Australia e Germania hanno pagato in media meno di $ 250.000. Dell'Italia non parla nessuno ;-)

Oltre il 40% degli intervistati non ha pagato alcun riscatto e un altro 13% è stato in grado di negoziare la cifra iniziale.
Dei 742 esperti che hanno parlato con Mimecast, più della metà ha affermato che la principale fonte di attacchi ransomware proveniva da e-mail di #phishing e un altro 47% ha affermato che proveniva dalla navigazione web su siti insicuri.
Meno della metà degli intervistati ha affermato di disporre di #backup di file  e quasi il 50% ha affermato di aver bisogno di budget maggiori per aggiornare i propri sistemi di sicurezza dei dati.

Nonostante la mancanza di backup, l'83% degli intervistati ha affermato di poter "recuperare tutti i propri dati senza pagare il riscatto", come fanno non è dato sapere. Un altro 77% dei dirigenti ha affermato di ritenere di poter riportare la propria azienda alla normalità entro due giorni dopo un incidente di ransomware. Questo ha confuso i ricercatori di Mimecast, considerando che quasi il 40% degli intervistati ha ammesso di aver pagato un riscatto. Forse alcuni hanno preferito pagare il riscatto con soldi non loro piuttosto che lavorare due giorni per ripristinare la situazione.

I costi degli incidenti ransomware vanno ben oltre il riscatto stesso; Il 42% degli intervistati ha segnalato un'interruzione delle proprie operazioni e il 36% ha dichiarato di aver dovuto affrontare tempi di inattività significativi. Quasi il 30% ha dichiarato di aver perso entrate e ben il 21% ha dichiarato di aver perso clienti.
Un altro costo? Quasi il 40% dei professionisti intervistati ha affermato di ritenere che avrebbero perso il lavoro se un attacco ransomware avesse avuto successo.
Due terzi degli intervistati ha affermato che "si sentirebbero molto o estremamente responsabili se si verificasse un attacco di successo". Alla domanda sul perché, quasi la metà ha affermato che sarebbe stato perché "sottovalutavano il rischio di un attacco ransomware".