Quando è notizia recentissima che Colonial Pipeline ha pagato un riscatto di $4.4 milioni per consentire lo sblocco dei propri sistemi dopo l'attacco ransomware subito il 7 maggio ne esce fuori un'altra ancora più eclatante.

CNA Hardy, compagnia di assicurazione che ha fatto delle assicurazioni contro il rischio cyber il proprio cavallo di battaglia, a marzo di quest'anno è stata colpita dal ransomware Phoenix Locker, divulgato dal gruppo APT russo Evil Corp. Non sono riuscito a capire quale è stata la tecnica utilizzata per veicolare il malware, ma generalmente Evil Corp utilizza RDP o VPN misconfiguration.

Ebbene, CNA Hardy per ritornare in possesso dei propri dati e evitare che venissero divulgati in rete ha pagato un riscatto di ben $40 milioni.

Sì, ho scritto bene: quarantamilionididollari!

Naturalmente oltre a questo danno facilmente quantificabile bisogna aggiungere i giorni di fermo e la perdita di reputazione, che per un'azienda che fa della protezione dal rischio cyber il proprio cavallo di battaglia non dovrebbe essere piccolo.

I ransomware oramai puntano al BGH, big game hunting, e pare che Evil Corp abbia proprio abbattuto un colosso!

#cybersecurity #cybercrime #ransomware #hacker #apt #PhoenixLocker #EvilCorp #ColonialPipeline #CNAHardy 

Il tag ENTITY in XML sono utilizzati per rappresentare un particolare dato in un documento XML. Questi possono anche essere EXTERNAL cioè fuori dal Document Type e utilizzano la keywork SYSTEM

L'XML external entity injection (nota anche come XXE) è una vulnerabilità che consente a un utente malintenzionato di interferire con l'elaborazione dei dati XML da parte di un'applicazione.

Spesso consente di visualizzare i file presenti sul file system dell'application server e di interagire con qualsiasi sistema esterno o di back-end a cui l'applicazione stessa può accedere.

In alcune situazioni, un utente malintenzionato può intensificare un attacco XXE per compromettere il server sottostante o un'altra infrastruttura back-end, sfruttando questa vulnerabilità per eseguire attacchi SSRF (server-side request forgery).

Un esempio potrebbe essere: <!ENTITY xxe SYSTEM "file:///dev/random" >]> dove si prova ad esegure un attacco Dos sul server facendogli caricare un file di lunghezza infinita!

Il sistema di controllo degli accessi di un applicazione è responsabile della politica che prevede cosa possono fare gli utenti al suo interno.

La vunerabilità Broken Access Control in genere porta alla divulgazione non autorizzata di informazioni, alla modifica o alla distruzione di tutti i dati o all'esecuzione di una funzione al di fuori dei limiti dell'utente. Le vulnerabilità comuni del controllo degli accessi includono:

• Bypassare i controlli di controllo degli accessi modificando l'URL, lo stato dell'applicazione interna o la pagina HTML o semplicemente utilizzando uno strumento di attacco API personalizzato
• Consentire la modifica della chiave primaria nel record di un altro utente, consentire la visualizzazione o la modifica dell'account di qualcun altro.
• Elevazione del privilegio. Agire come utente senza aver effettuato l'accesso o agire come amministratore quando si accede come utente.
• Forza la navigazione nelle pagine autenticate come utente non autenticato o nelle pagine privilegiate come utente standard

Emotet nasce come un #trojan bancario, ma è stato in grado di evolversi e diventare la più grande #botnet in attività.

Ha sviluppato un meccanismo di diffusione particolare e prontamente adottato anche da altri competitor come #Quakbot o #Maze.
La tecnica utilizzata si chiama #Thread #hijacking ed è alquanto geniale nella sua semplicità.

Quando viene compromesso un account email, tutte la corrispondenza della mailbox viene esfiltrata ed inviata al #C2.

Gli attaccanti poi si inseriscono in comunicazioni già esistenti allegando alle nuove email documenti - generalmente office - infetti.
Per intenderci, fanno semplicemente un replay delle email esfiltrate con qualche piccole aggiunte!
L'hit rate di questa corrispondenza è elevatissima al punto che quest'anno il ministero degli interni francese ha addirittura bloccato tutta la corrispondenza con questo tipo attach.

Questa botnet è stata definitivamente chiusa agli inizi dal 2021 da una vasta operazione ad opera dell'Interpol e da pochi giorni sono stati definitivamente disinstallati tutti gli zombie infetti.