Iscriviti

Violazione dati a GoDaddy, riavvistato il malware Emotet

Nelle scorse ore, due emergenze informatiche sono state portate all'attenzione generale: una riguarda una violazione dati ai danni dell'hosting GoDaddy. mentre l'altra afferisce alla ricomparsa di una vecchia conoscenza in ambito malware.

Internet e Social
Pubblicato il 23 novembre 2021, alle ore 10:41

Mi piace
2
0
Violazione dati a GoDaddy, riavvistato il malware Emotet

Molto spesso, gli attacchi hacker colpiscono grandi banche di dati, come avvenuto ai danni dei server di GoDaddy, onde acquisire informazioni che poi permettono di accedere minuziosamente sui terminali di tante piccole vittime, come nel caso dei device colpiti dallo spam del malware Emotet, ove spesso si annidano tante preziose informazioni spesso finanziarie. 

La prima minaccia alla sicurezza di quest’avvio di settimana è emersa in seguito ad un documento depositato presso la Consob americana (la Securities and Exchange Commission, SEC) dal quale si evince che la società GoDaddy, nota per offrire lo spazio web soprattutto a piccole imprese, ha subito una violazione dei dati di 1.2 milione di clienti (utenti attivi e inattivi dell’hosting gestito con WordPress). La violazione, avvenuta il 6 Settembre, sarebbe stata scoperta oltre due mesi dopo, il 17 Novembre, e rivelata solo il 22 Novembre, con la società che ha comunque assicurato di aver comunicato il tutto alle forze dell’ordine e d’aver avviato un’indagine con una società d’informatica forense.

Stando ai primi riscontri, sembra che la violazione sia avvenuta a causa di una parte non autorizzata che avrebbe usato una password compromessa per entrare nel sistema di provisioning, che agevola la configurazione automatica ad ogni creazione di un nuovo sito web: in seguito a tale violazione, il malintenzionato avrebbe avuto accesso ad una serie di info resettate e rigenerate da GoDaddy (utente e password di sFTP, la password impostata al momento del provisioning per l’amministratore e. per un piccolo gruppo di utenti, la chiave privata SSL). 

Il problema maggiore, che però esporrebbe gli utenti a potenziali pericoli di attacchi di tipo phishing, consisterebbe nell’esposizione degli indirizzi di posta elettronica e del numero di telefono di oltre un milione di clienti.

Non meno preoccupante è quanto sta accadendo a causa del redivivo malware Emotet che, solo momentaneamente messo all’angolo dall’operazione LadyBird, ha preso a ricostruire la sua botnet attraverso una campagna di spam. Quest’ultima prevede l’invio di mail con riferimento a fatture fiscali, wallet persi, documenti contabili, al cui interno sarebbero contenuti allegati zippati o file di Word ed Excel. Aprendo i file in questione, ed abilitando le macro per una miglior visualizzazione, verrebbero attivati comandi Powershell per il download di nuovi payload malevoli, come i trojan Trickbot e Qbot e i ransomware Ryuk, Egregor, ProLock e Conti.

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Ho accostato le due minacce informatiche per una singolare coincidenza, visto che non è alcun legame tra le stesse: in effetti, però, è vero che gli attacchi di spam spesso sono preceduti da violazioni di grossi database, da cui si attingono quelle info che rendono più verosimili gli attacchi di tipo phishing. Gli utenti di GoDaddy quindi farebbero bene a stare in guardia sulle comunicazioni che riceveranno nelle prossime settimane o mesi.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!