Attacco ransomware colpisce l’azienda logistica alimentare britannica Peter Green Chilled

Peter Green Chilled, azienda di logistica alimentare con sede nel Somerset che rifornisce importanti supermercati britannici come Tesco, Asda, Sainsbury’s e M&S, è stata vittima di un attacco ransomware. L’incidente, rivelato in un’email interna visionata dalla BBC, è avvenuto la scorsa settimana. Sebbene le operazioni di trasporto non siano state interrotte, l’elaborazione degli ordini è stata sospesa. Non è noto se sia stato richiesto o pagato un riscatto.

Il ruolo dell’azienda nella distribuzione di alimenti refrigerati con breve durata di conservazione solleva timori di gravi disagi operativi, rispecchiando le tattiche utilizzate negli attacchi al settore sanitario e manifatturiero, dove viene sfruttata l’urgenza piuttosto che il furto di dati.

Le aziende della catena di fornitura come Peter Green sono sempre più prese di mira a causa della loro dipendenza dalle consegne just-in-time. L’attacco segue episodi recenti ai danni di Co-op, Harrods e M&S, con quest’ultima che ha previsto perdite per 300 milioni di sterline a causa di interruzioni online in corso.

Il settore retail continua a essere ad alto rischio, con il 45% delle aziende colpite da ransomware lo scorso anno.

Violazione dei dati dell’agenzia britannica per il patrocinio legale peggiore del previsto, rubate informazioni sensibili dei richiedenti

L’Agenzia per il Patrocinio Legale del Regno Unito (LAA) ha confermato che un recente attacco informatico, riportato all’inizio del mese, è stato più grave di quanto inizialmente stimato. Gli hacker hanno sottratto grandi volumi di dati sensibili appartenenti a richiedenti del patrocinio legale, risalenti al 2010. L’agenzia, parte del Ministero della Giustizia, aiuta le persone che non possono permettersi una rappresentanza legale.

Un primo avviso pubblicato all’inizio di maggio minimizzava la portata della violazione, citando una limitata esposizione finanziaria. Tuttavia, un aggiornamento del governo datato 16 maggio ha rivelato che sono stati accessi e scaricati dati come recapiti, date di nascita, numeri di assicurazione nazionale, precedenti penali e informazioni relative a debiti.

La LAA ha disattivato i suoi servizi digitali e sta collaborando con il National Cyber Security Centre britannico per mettere in sicurezza i sistemi. I richiedenti sono invitati a prestare attenzione a possibili truffe.

La violazione si inserisce in una recente ondata di attacchi informatici a istituzioni britanniche, compresi rivenditori come M&S e Co-op, sollevando interrogativi su possibili legami con il gruppo Scattered Spider.

Falsi annunci Facebook impersonano Kling AI per diffondere malware

Esperti di cyber security hanno scoperto una campagna che utilizza pagine Facebook false e annunci sponsorizzati per impersonare Kling AI, inducendo gli utenti a scaricare malware. Kling AI, lanciata nel 2024 da Kuaishou Technology in Cina, è una piattaforma di generazione di immagini e video da testo con oltre 22 milioni di utenti.

Secondo Check Point, i criminali informatici reindirizzano gli utenti a siti falsi come klingaimedia[.]com, che promettono contenuti generati dall’IA. Invece, i visitatori scaricano inconsapevolmente malware mascherati da immagini o video. Il malware, nascosto in file ZIP con nomi ingannevoli, installa un trojan di accesso remoto (RAT) e un programma di furto dati che prende di mira credenziali del browser e portafogli di criptovalute.

Il payload di seconda fase utilizza PureHVNC per mantenere la persistenza, evitare il rilevamento e rubare dati sensibili. Sono stati rilevati almeno 70 annunci falsi, probabilmente originari del Vietnam, dove il malvertising è una tecnica nota.

Questo evidenzia l’aumento delle minacce di ingegneria sociale e delle truffe a tema IA. Meta sta affrontando una diffusione massiccia di frodi su Facebook e Instagram, inclusi falsi concorsi e truffe lavorative collegate al traffico di esseri umani.

Hazy Hawk sfrutta sottodomini fidati per diffondere truffe

Un attore delle minacce noto come 'Hazy Hawk' sta sfruttando record DNS CNAME dimenticati, che puntano a servizi cloud abbandonati, per dirottare sottodomini fidati di governi, università e aziende Fortune 500, secondo i ricercatori.

Registrando nuove risorse cloud con gli stessi nomi presenti nei record CNAME abbandonati, Hazy Hawk riesce a prendere il controllo dei sottodomini per ospitare truffe, app false e pubblicità dannose. Tra i domini compromessi ci sono cdc.gov, honeywell.com, berkeley.edu, unicef.org e nyu.edu, tra gli altri.

Questi sottodomini dirottati vengono utilizzati per generare centinaia di URL truffaldini, sfruttando la reputazione del dominio principale per ottenere posizionamenti elevati nei risultati dei motori di ricerca. Le vittime vengono reindirizzate attraverso più livelli di sistemi di direzione del traffico (TDS), che profilano l’utente prima di condurlo a truffe di supporto tecnico, pagine di phishing o siti di streaming falsi.

Gli utenti che consentono le notifiche push possono continuare a ricevere avvisi truffaldini anche dopo aver lasciato i siti. Gli esperti avvertono che i record CNAME non monitorati rappresentano un vettore di attacco spesso trascurato ma molto pericoloso.

Installer manomesso di KeePass diffonde Cobalt Strike e ransomware

Attori delle minacce hanno trascorso almeno otto mesi distribuendo una versione malevola del gestore di password KeePass, progettata per infettare i sistemi con beacon di Cobalt Strike e rubare credenziali. Secondo i ricercatori, la campagna ha avuto inizio tramite siti falsi promossi da annunci Bing, dove gli utenti scaricavano inconsapevolmente un installer compromesso chiamato KeeLoader.

Pur funzionando come il KeePass legittimo, KeeLoader esporta in silenzio il database delle password dell’utente in chiaro e distribuisce un beacon di Cobalt Strike. Il watermark del beacon collega la campagna a broker di accesso iniziale associati al gruppo ransomware Black Basta.

I criminali hanno anche usato domini con errori di battitura come keeppaswrd[.]com e keegass[.]com per distribuire il malware. Alcuni installer falsi erano persino firmati con certificati legittimi.

La campagna è culminata in attacchi ransomware contro server VMware ESXi. WithSecure attribuisce l’attività all’attore delle minacce UNC4696, precedentemente collegato a Nitrogen Loader e alle campagne BlackCat/ALPHV.

Agli utenti è raccomandato di evitare il download di software tramite annunci pubblicitari e di utilizzare esclusivamente fonti ufficiali.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.