L'FBI ha rilasciato un avviso riguardante il gruppo che ha sviliuppato il  ransomware Cuba e che prende di mira le infrastrutture critiche delle organizzazioni statunitensi in diversi settori chiave dell'economia. 
Cos'è successo? 
Secondo l'FBI, gli attori del ransomware Cuba hanno compromesso 49 organizzazioni in almeno cinque settori, tra cui ICT, sanità, produzione, governo e finanza. 
Il gruppo criminale ha guadagnato milioni da quando ha iniziato l'attività ed ha chiesto a diverse società statunitensi un riscatto complessivo di 74 milioni di dollari di cui 43,9 milioni già ricevuti.
Il ransomware Cuba viene diffuso sulle reti delle vittime utilizzando il downloader Hancitor, che consente di ottenere un facile accesso alle reti aziendali compromesse. 
Una volta effettuato l'accesso, Cuba utilizza servizi Windows, come  PowerShell e PsExec, per distribuire i payload in remoto e crittografare i file con estensione .cuba. 
L'FBI ha richiesto agli amministratori di sistema e ai professionisti della sicurezza che hanno individuato l'attività di questo ransomware all'interno delle loro reti di condividere qualsiasi informazione correlata con la Cyber Squad dell'FBI locale. 
Le informazioni utili includono informazioni sul portafoglio, registri di confine che mostrano la comunicazione con un indirizzo IP esterno, il file originale e un campione di un file crittografato. 
L'FBI ha suggerito di non pagare i pagamenti del ransomware e ha raccomandato di non farlo poiché non vi è alcuna garanzia che gli aggressori forniranno le chiavi di decrittazione o non attaccheranno in futuro. 
Quanto ci metterà questo Ransomware ad arrivare nel bel paese?
Ai posteri l'ardua sentenza! :-)

"La forza gravitazionale del buco nero del #ransomware sta attirando altre minacce informatiche per formare un enorme sistema di distribuzione ransomware interconnesso, con implicazioni significative per la sicurezza IT", ha affermato Sophos nel suo recente Sophos Threat Report 2022.
Il ransomware è considerato da molti esperti il rischio per la sicurezza più pressante per le aziende ed è estremamente redditizio per le bande coinvolte, con pagamenti di riscatto che aumentano in modo significativo.
Sophos afferma che il ransomware sta diventando più modulare, con diversi gruppi specializzati in particolari elementi di un attacco (questo lo abbiamo visto con la triade #Emotet #Trickbot #Ryuk). Ha anche sottolineato l'aumento collegato del "#ransomware as-a-service", in cui le bande criminali sono in grado di acquistare l'accesso a strumenti per eseguire i propri attacchi ransomware quando non hanno la capacità tecnica di creare tali strumenti da soli.
Questi cosiddetti "affiliati" non devono nemmeno trovare le proprie potenziali vittime: l'ecosistema si è sviluppato in modo che possano acquistare servizi da altri gruppi specializzati nell'accesso alle reti aziendali e che venderanno loro quella particolare #backdoor.
Oltre a fare affari con questi "broker di accesso iniziale", gli aspiranti aggressori ransomware possono rivolgersi a operatori di #botnet e piattaforme di distribuzione di malware per trovare e indirizzare potenziali vittime. E a causa del potenziale profitto, questi gruppi si stanno concentrando sempre più sul servire le bande di ransomware piuttosto che su forme meno redditizie di criminalità online.
"Le minacce informatiche consolidate continueranno ad adattarsi per distribuire ransomware. Questi includono #loader, #dropper e altre #malware commodity; Broker di accesso iniziale sempre più avanzati e gestiti dall'uomo; #spam; e #adware", ha detto la società di sicurezza.
L'idea del #RAAS è in circolazione da un po 'di tempo ed è stata spesso un modo per gli aggressori meno qualificati o meno ben finanziati di iniziare.
Ma ciò che è cambiato ora, ha detto Chester Wisniewski, principale ricercatore di Sophos, è che gli sviluppatori di ransomware stanno ora utilizzando questo modello as-a-service per ottimizzare il loro codice e ottenere i maggiori proventi, scaricando su altri i compiti di trovare vittime, installare ed eseguire il malware e riciclare le criptovalute.
Ricerche separate hanno persino suggerito che le bande di ransomware sono ora abbastanza ricche da iniziare ad acquistare i propri zero-day, qualcosa che in precedenza era disponibile solo per gli hacker sostenuti dallo stato.
"Questo sta distorcendo il panorama delle minacce informatiche", ha detto Wisniewski, poiché minacce comuni come loader, dropper e broker di accesso iniziale - che erano in circolazione e causavano interruzioni ben prima dell'ascesa del ransomware - stanno ora servendo le richieste delle bande di ransomware.

Un recente report di Proofpoint riferisce che Gruppi #APT di Cina, Russia e India stanno adottando una nuova (si fa per dire) tecnica di attacco chiamata "RTF Template #Injection", rendendo i loro attacchi più difficili da rilevare e fermare.
Che cos'è l'iniezione di modelli RTF? Questo attacco non è nuovo di per sé, ma una variazione di un classico attacco di template injection che è noto da anni, da qui la sua inclusione già nel framework #MITRE #ATT&CK.
La tecnica ruota attorno a una funzionalità di Microsoft Office in cui gli utenti possono creare un documento utilizzando un modello predefinito.
Questi modelli possono essere archiviati localmente o scaricati da un server remoto.
L'idea è che gli aggressori possano inviare file di Office apparentemente innocui, come DOC, XLS o PPT, e poi caricare codice dannoso quando l'app esegue il rendering del contenuto caricando il modello.
Gli attacchi che abusano di questa tecnica si verificano da anni, ma hanno visto un'impennata nel 2020, quando "l'iniezione di modelli a distanza" è diventata una tecnica popolare con alcuni gruppi APT.
Questi attacchi sfruttano tutti i file di Office e in particolare i documenti di Word.
La nuova variante di questo attacco è che, invece di utilizzare Word o altri file di Office, utilizzano file Windows RTF (rich text format).
Secondo Proofpoint, gli attori delle minacce stanno mettendo creando un arsenale di file RTF con esche che potrebbero interessare i loro obiettivi, creando modelli contenenti codice dannoso che esegue malware specifici.
Questi documenti vengono quindi inviati alle vittime utilizzando attacchi di spear-phishing.

Purtoppo è stato osservato il ritorno della famigerata #botnet #Emotet, infatti è stata rilevata una variante di #TrickBot che scarica sui sistemi infetti un loader per Emotet.
Ricordo che nel primo trimestre di quest'anno, #Europol ed #Eurojust hanno spento l'infrastruttura di Emotet e ad aprile, le forze dell'ordine tedesche hanno creato un software per la rimozione di Emotet dai dispositivi infetti.
Ora, i ricercatori di Advanced Intel, GDatae Cryptolaemus hanno osservato cambiamenti nel nuovo #loader di Emotet rispetto alle varianti precedenti, infatti questo include aumentate opzioni di comando che ora sono sette invece dei suoi soliti tre o quattro.

I ricercatori, però, non hanno trovato alcuna prova che ora Emotet invii e-mail di #spam o scoperto documenti dannosi che consegnano il #malware (metodi tipici utilizzati per diffondere Emotet in passato).
Si ritiene che la possibile ragione dietro la mancanza di attività di spamming sia lo sforzo di ricostruzione dell'infrastruttura.
Invece di Emotet che installa TrickBot (come è sempre avvenuto in passato), gli attori delle minacce utilizzano un metodo chiamato Operation Reacharound per ricostruire la botnet Emotet sfruttando l'infrastruttura esistente di TrickBot. In pratica avviene il contrario, ora è Trickbot che installa emotet.

La nuova infrastruttura Emotet sta crescendo rapidamente, con 246 dispositivi infetti che già fungono da server C2. Pertanto, l'azione rapida è la necessità del momento. #Abuse.ch (un'organizzazione senza scopo di lucro) ha rilasciato un elenco di server C2 utilizzati dalla nuova botnet Emotet e gli esperti raccomandano vivamente agli amministratori di bloccare qualsiasi indirizzo IP associato.