Molto spesso, gli attacchi hacker colpiscono grandi banche di dati, come avvenuto ai danni dei server di GoDaddy, onde acquisire informazioni che poi permettono di accedere minuziosamente sui terminali di tante piccole vittime, come nel caso dei device colpiti dallo spam del malware Emotet, ove spesso si annidano tante preziose informazioni spesso finanziarie.
La prima minaccia alla sicurezza di quest’avvio di settimana è emersa in seguito ad un documento depositato presso la Consob americana (la Securities and Exchange Commission, SEC) dal quale si evince che la società GoDaddy, nota per offrire lo spazio web soprattutto a piccole imprese, ha subito una violazione dei dati di 1.2 milione di clienti (utenti attivi e inattivi dell’hosting gestito con WordPress). La violazione, avvenuta il 6 Settembre, sarebbe stata scoperta oltre due mesi dopo, il 17 Novembre, e rivelata solo il 22 Novembre, con la società che ha comunque assicurato di aver comunicato il tutto alle forze dell’ordine e d’aver avviato un’indagine con una società d’informatica forense.
Stando ai primi riscontri, sembra che la violazione sia avvenuta a causa di una parte non autorizzata che avrebbe usato una password compromessa per entrare nel sistema di provisioning, che agevola la configurazione automatica ad ogni creazione di un nuovo sito web: in seguito a tale violazione, il malintenzionato avrebbe avuto accesso ad una serie di info resettate e rigenerate da GoDaddy (utente e password di sFTP, la password impostata al momento del provisioning per l’amministratore e. per un piccolo gruppo di utenti, la chiave privata SSL).
Il problema maggiore, che però esporrebbe gli utenti a potenziali pericoli di attacchi di tipo phishing, consisterebbe nell’esposizione degli indirizzi di posta elettronica e del numero di telefono di oltre un milione di clienti.
Non meno preoccupante è quanto sta accadendo a causa del redivivo malware Emotet che, solo momentaneamente messo all’angolo dall’operazione LadyBird, ha preso a ricostruire la sua botnet attraverso una campagna di spam. Quest’ultima prevede l’invio di mail con riferimento a fatture fiscali, wallet persi, documenti contabili, al cui interno sarebbero contenuti allegati zippati o file di Word ed Excel. Aprendo i file in questione, ed abilitando le macro per una miglior visualizzazione, verrebbero attivati comandi Powershell per il download di nuovi payload malevoli, come i trojan Trickbot e Qbot e i ransomware Ryuk, Egregor, ProLock e Conti.