🪙 Italia: il Paese più costoso per il mining di Bitcoin
Il costo del mining di Bitcoin varia notevolmente da paese a paese, e l'Italia si distingue come uno dei luoghi più costosi per questa attività.
Mentre in Libano è sufficiente un modesto investimento di 266$ per estrarre un singolo BTC, in Italia la cifra sale vertiginosamente a 208.560$!
Un recente report di CoinGecko ha gettato luce su questa disparità significativa. Utilizzando l'elettricità domestica comune, il mining di Bitcoin risulta profittevole solo in 65 nazioni nel mondo, con ben 34 di esse concentrate in Asia e solo 5 in Europa.
In media, cercare di minare BTC da casa non è affatto un affare conveniente:
"
L'Italia guida la classifica come il Paese più costoso per il mining di Bitcoin, richiedendo un investimento massiccio di 208.560$. L'Austria segue a ruota con 184.352$, seguita dal Belgio con 172.382$.
D'altro canto, il Libano si distingue come la nazione con il costo più basso per l'elettricità domestica, consentendo ai minatori di generare un BTC con appena 266$. In altre parole, il mining di BTC in Libano è ben 783 volte più conveniente rispetto all'Italia.
L'Iran segue da vicino, con un costo di produzione di 532$ per Bitcoin. Tuttavia, nonostante l'Iran abbia legalizzato il mining di Bitcoin nel 2019, il Paese ha vietato questa attività in diverse occasioni, soprattutto durante i mesi invernali, quando la popolazione ha bisogno di energia elettrica per riscaldare le proprie case.
All'inizio di quest'anno, il governo iraniano ha confiscato circa 150.000 apparecchiature destinate al crypto-mining.
Il 19 agosto, il CEO di Binance, Changpeng "CZ" Zhao, ha commentato questi dati, sottolineando che le persone che vivono in paesi con costi energetici così bassi dovrebbero seriamente considerare il mining di BTC:
"
Tuttavia, ha ammesso che il costo dell'energia non è l'unico fattore da considerare:
"
Un utente su X (ex Twitter) ha commentato:
"
Il costo del mining di Bitcoin varia notevolmente da paese a paese, e l'Italia si distingue come uno dei luoghi più costosi per questa attività.
Mentre in Libano è sufficiente un modesto investimento di 266$ per estrarre un singolo BTC, in Italia la cifra sale vertiginosamente a 208.560$!
Un recente report di CoinGecko ha gettato luce su questa disparità significativa. Utilizzando l'elettricità domestica comune, il mining di Bitcoin risulta profittevole solo in 65 nazioni nel mondo, con ben 34 di esse concentrate in Asia e solo 5 in Europa.
In media, cercare di minare BTC da casa non è affatto un affare conveniente:
"
Il costo medio dell'elettricità domestica per estrarre 1 BTC è di 46.291,24$, un 35% in più rispetto al prezzo medio giornaliero di 1 BTC a luglio 2023 (30.090,08$)."L'Italia guida la classifica come il Paese più costoso per il mining di Bitcoin, richiedendo un investimento massiccio di 208.560$. L'Austria segue a ruota con 184.352$, seguita dal Belgio con 172.382$.
D'altro canto, il Libano si distingue come la nazione con il costo più basso per l'elettricità domestica, consentendo ai minatori di generare un BTC con appena 266$. In altre parole, il mining di BTC in Libano è ben 783 volte più conveniente rispetto all'Italia.
L'Iran segue da vicino, con un costo di produzione di 532$ per Bitcoin. Tuttavia, nonostante l'Iran abbia legalizzato il mining di Bitcoin nel 2019, il Paese ha vietato questa attività in diverse occasioni, soprattutto durante i mesi invernali, quando la popolazione ha bisogno di energia elettrica per riscaldare le proprie case.
All'inizio di quest'anno, il governo iraniano ha confiscato circa 150.000 apparecchiature destinate al crypto-mining.
Il 19 agosto, il CEO di Binance, Changpeng "CZ" Zhao, ha commentato questi dati, sottolineando che le persone che vivono in paesi con costi energetici così bassi dovrebbero seriamente considerare il mining di BTC:
"
Perché non dovrebbero?"Tuttavia, ha ammesso che il costo dell'energia non è l'unico fattore da considerare:
"
Probabilmente il report non ha considerato l'effettiva fattibilità e altri potenziali problemi logistici. Ma se i dati sono veritieri, il mining in queste nazioni potrebbe offrire un'ottima opportunità."Un utente su X (ex Twitter) ha commentato:
"
La maggior parte di questi paesi sta affrontando una carenza di elettricità. Solitamente, durante l'estate o le ore di punta, lo Stato interrompe le attività industriali."💰 PayPal abilita la vendita di criptovalute attraverso MetaMask per utenti USA.
PayPal sta continuando ad espandere la sua gamma di servizi legati alle criptovalute, offrendo agli utenti statunitensi la possibilità di vendere criptovalute come il Bitcoin attraverso MetaMask.
L'11 settembre, PayPal ha lanciato nuove funzionalità per consentire agli utenti degli Stati Uniti di convertire direttamente le loro criptovalute in dollari americani, collegando i loro wallet a PayPal. Questa nuova funzionalità, nota come "on- e off-ramp", è ora disponibile su MetaMask, che è una popolare interfaccia per le applicazioni decentralizzate e i marketplace di token non fungibili (NFT).
Queste aggiunte mirano a semplificare l'acquisto e la vendita di diverse criptovalute negli Stati Uniti. PayPal sta cercando di attirare i commercianti e gli utenti web3, offrendo una soluzione di pagamento affidabile e sicura, con controlli antifrode e assistenza nella gestione di controversie.
Va notato che MetaMask non supporta le transazioni Bitcoin sulla blockchain originale di Bitcoin, ma questa partnership con PayPal amplia le opzioni disponibili per gli utenti interessati alle criptovalute.
Il nuovo lancio arriva poco dopo la collaborazione tra PayPal e Ledger, un'importante società di hardware wallet, che ha permesso agli utenti PayPal verificati negli Stati Uniti di acquistare Bitcoin, Ether, Bitcoin Cash e Litecoin direttamente tramite il suo software nativo Ledger Live.
Inoltre, MetaMask aveva già iniziato a consentire agli utenti negli Stati Uniti di acquistare Ether utilizzando PayPal a maggio 2023, e la collaborazione tra ConsenSys, la società madre di MetaMask, e PayPal era stata avviata alla fine del 2022 per abilitare le transazioni in Ethereum.
PayPal sta continuando ad espandere la sua gamma di servizi legati alle criptovalute, offrendo agli utenti statunitensi la possibilità di vendere criptovalute come il Bitcoin attraverso MetaMask.
L'11 settembre, PayPal ha lanciato nuove funzionalità per consentire agli utenti degli Stati Uniti di convertire direttamente le loro criptovalute in dollari americani, collegando i loro wallet a PayPal. Questa nuova funzionalità, nota come "on- e off-ramp", è ora disponibile su MetaMask, che è una popolare interfaccia per le applicazioni decentralizzate e i marketplace di token non fungibili (NFT).
Queste aggiunte mirano a semplificare l'acquisto e la vendita di diverse criptovalute negli Stati Uniti. PayPal sta cercando di attirare i commercianti e gli utenti web3, offrendo una soluzione di pagamento affidabile e sicura, con controlli antifrode e assistenza nella gestione di controversie.
Va notato che MetaMask non supporta le transazioni Bitcoin sulla blockchain originale di Bitcoin, ma questa partnership con PayPal amplia le opzioni disponibili per gli utenti interessati alle criptovalute.
Il nuovo lancio arriva poco dopo la collaborazione tra PayPal e Ledger, un'importante società di hardware wallet, che ha permesso agli utenti PayPal verificati negli Stati Uniti di acquistare Bitcoin, Ether, Bitcoin Cash e Litecoin direttamente tramite il suo software nativo Ledger Live.
Inoltre, MetaMask aveva già iniziato a consentire agli utenti negli Stati Uniti di acquistare Ether utilizzando PayPal a maggio 2023, e la collaborazione tra ConsenSys, la società madre di MetaMask, e PayPal era stata avviata alla fine del 2022 per abilitare le transazioni in Ethereum.
✈️ Attacco Informatico: Airbus, il gigante aerospaziale, nel mirino degli hacker criminali
Airbus, il colosso dell'industria aerospaziale, è stato recentemente preso di mira in un grave attacco informatico che ha attirato l'attenzione della comunità della sicurezza informatica. Questo attacco ha comportato la compromissione di dati di grande valore, tra cui le informazioni personali di oltre 3.200 fornitori, comprendenti nomi, numeri di contatto e indirizzi email.
La situazione si è ulteriormente complicata con l'apparizione di un misterioso hacker che usa lo pseudonimo "USDoD". Questo individuo ha sostenuto che le informazioni sottratte provengono dal database InfraGrad dell'FBI, mettendo in discussione l'efficacia dei sistemi di sicurezza governativi.
Gli esperti di sicurezza informatica hanno segnalato che lo stesso hacker ha minacciato direttamente i giganti nel settore della difesa, come Raytheon e Lockheed Martin. Le sue tattiche di attacco hanno coinvolto l'utilizzo del noto malware infostealer Redline, utilizzato per sottrarre informazioni attraverso il framework Microsoft .NET.
Tutto ha avuto inizio quando "USDoD" ha divulgato dati rubati su un forum frequentato da hacker criminali nel dicembre del 2022.
In risposta, l'FBI ha immediatamente avviato un'indagine e alla fine ha interrotto le attività illegali legate al blog che diffondeva questi dati. Il gruppo dietro questa violazione è sospettato di essere affiliato al Ransomed Ransomware Group e ha intensificato le minacce, minacciando di rilasciare informazioni ancora più sensibili se le loro richieste non fossero state soddisfatte.
Dato che Airbus è un produttore di attrezzature per la difesa e l'aviazione civile, una perdita di dati potrebbe avere conseguenze non solo per l'azienda stessa, ma anche per la sicurezza nazionale, in quanto queste informazioni potrebbero essere sfruttate da stati ostili o organizzazioni terroristiche.
Di conseguenza è fondamentale non solo per Airbus, ma anche per l'intero settore della difesa, adottare tutte le misure possibili per rafforzare le proprie difese informatiche. Queste misure dovrebbero includere una maggiore sensibilizzazione tra i dipendenti, il monitoraggio costante delle minacce e lo sviluppo di competenze avanzate in materia di sicurezza informatica.
È importante sottolineare che Airbus è già stato precedentemente bersaglio di attacchi informatici, come nel 2019, quando un gruppo criminale informatico noto come Avivore ha condotto diversi attacchi di grandi dimensioni contro l'azienda nel corso di mesi. Gli aggressori hanno cercato di infiltrarsi nelle reti di Airbus attraverso società di consulenza come Expleo in Francia, il produttore di motori Rolls Royce nel Regno Unito e due fornitori Airbus non specificati.
Inoltre, nello stesso anno, aggressori sconosciuti sono riusciti ad accedere ai dati personali di Airbus, compresi i recapiti professionali di alcuni dipendenti Airbus in Europa.
Airbus, il colosso dell'industria aerospaziale, è stato recentemente preso di mira in un grave attacco informatico che ha attirato l'attenzione della comunità della sicurezza informatica. Questo attacco ha comportato la compromissione di dati di grande valore, tra cui le informazioni personali di oltre 3.200 fornitori, comprendenti nomi, numeri di contatto e indirizzi email.
La situazione si è ulteriormente complicata con l'apparizione di un misterioso hacker che usa lo pseudonimo "USDoD". Questo individuo ha sostenuto che le informazioni sottratte provengono dal database InfraGrad dell'FBI, mettendo in discussione l'efficacia dei sistemi di sicurezza governativi.
Gli esperti di sicurezza informatica hanno segnalato che lo stesso hacker ha minacciato direttamente i giganti nel settore della difesa, come Raytheon e Lockheed Martin. Le sue tattiche di attacco hanno coinvolto l'utilizzo del noto malware infostealer Redline, utilizzato per sottrarre informazioni attraverso il framework Microsoft .NET.
Tutto ha avuto inizio quando "USDoD" ha divulgato dati rubati su un forum frequentato da hacker criminali nel dicembre del 2022.
In risposta, l'FBI ha immediatamente avviato un'indagine e alla fine ha interrotto le attività illegali legate al blog che diffondeva questi dati. Il gruppo dietro questa violazione è sospettato di essere affiliato al Ransomed Ransomware Group e ha intensificato le minacce, minacciando di rilasciare informazioni ancora più sensibili se le loro richieste non fossero state soddisfatte.
Dato che Airbus è un produttore di attrezzature per la difesa e l'aviazione civile, una perdita di dati potrebbe avere conseguenze non solo per l'azienda stessa, ma anche per la sicurezza nazionale, in quanto queste informazioni potrebbero essere sfruttate da stati ostili o organizzazioni terroristiche.
Di conseguenza è fondamentale non solo per Airbus, ma anche per l'intero settore della difesa, adottare tutte le misure possibili per rafforzare le proprie difese informatiche. Queste misure dovrebbero includere una maggiore sensibilizzazione tra i dipendenti, il monitoraggio costante delle minacce e lo sviluppo di competenze avanzate in materia di sicurezza informatica.
È importante sottolineare che Airbus è già stato precedentemente bersaglio di attacchi informatici, come nel 2019, quando un gruppo criminale informatico noto come Avivore ha condotto diversi attacchi di grandi dimensioni contro l'azienda nel corso di mesi. Gli aggressori hanno cercato di infiltrarsi nelle reti di Airbus attraverso società di consulenza come Expleo in Francia, il produttore di motori Rolls Royce nel Regno Unito e due fornitori Airbus non specificati.
Inoltre, nello stesso anno, aggressori sconosciuti sono riusciti ad accedere ai dati personali di Airbus, compresi i recapiti professionali di alcuni dipendenti Airbus in Europa.
🏭 All'interno del toolkit degli hacker - Serie - 1
È innegabile che le aziende siano spesso nel mirino di potenziali criminali che cercano di sfruttarle. Sebbene le queste stiano attivamente cercando soluzioni e offrendo formazione per garantire la sicurezza del loro perimetro, spesso il punto debole risiede nei propri dipendenti, ovvero nell'elemento umano.
In questa mini serie riporteremo un'intervista con Jack Chapman per esaminare le misure e le strategie che le aziende possono adottare per rimanere un passo avanti rispetto ai loro avversari.
📋 Durante l'intervista, verranno affrontati i seguenti argomenti:
• I punti deboli che gli aggressori cercano di sfruttare.
• L'evoluzione delle toolkit.
• La protezione dell'autenticazione a più fattori (MFA) e altri aspetti correlati.
È innegabile che le aziende siano spesso nel mirino di potenziali criminali che cercano di sfruttarle. Sebbene le queste stiano attivamente cercando soluzioni e offrendo formazione per garantire la sicurezza del loro perimetro, spesso il punto debole risiede nei propri dipendenti, ovvero nell'elemento umano.
In questa mini serie riporteremo un'intervista con Jack Chapman per esaminare le misure e le strategie che le aziende possono adottare per rimanere un passo avanti rispetto ai loro avversari.
📋 Durante l'intervista, verranno affrontati i seguenti argomenti:
• I punti deboli che gli aggressori cercano di sfruttare.
• L'evoluzione delle toolkit.
• La protezione dell'autenticazione a più fattori (MFA) e altri aspetti correlati.
📝 Prosegue in un prossimo post🍀 Mercato darkweb finlandese Piilopuoti chiuso
Il sequestro del market, operativo dal maggio 2022, è stato annunciato dalla Dogana finlandese. Il mercato facilitava la distribuzione di droghe illecite in tutta la Finlandia.
Il sequestro è avvenuto in seguito a indagini condotte dalla Dogana finlandese con l'aiuto di Europol ed Eurojust, nonché delle autorità in Germania e Lituania.
Come rivelato nel banner del sequestro visualizzato sulla homepage del mercato, le autorità investigative hanno ricevuto assistenza da Bitdefender.
Alexandru Catalin Cosoi, direttore senior dell'unità di investigazioni e informatica forense di Bitdefender rivela: "
La Dogana finlandese ha reso noto di aver sequestrato i contenuti del server del mercato. Tuttavia, non hanno rivelato se il sequestro abbia portato ad arresti.
Le indagini sulle operazioni del mercato sono ancora in corso. Gli utenti del mercato dovrebbero presumere di essere sotto indagine e agire di conseguenza.
Il sequestro del market, operativo dal maggio 2022, è stato annunciato dalla Dogana finlandese. Il mercato facilitava la distribuzione di droghe illecite in tutta la Finlandia.
Il sequestro è avvenuto in seguito a indagini condotte dalla Dogana finlandese con l'aiuto di Europol ed Eurojust, nonché delle autorità in Germania e Lituania.
Come rivelato nel banner del sequestro visualizzato sulla homepage del mercato, le autorità investigative hanno ricevuto assistenza da Bitdefender.
Alexandru Catalin Cosoi, direttore senior dell'unità di investigazioni e informatica forense di Bitdefender rivela: "
Siamo estremamente soddisfatti che Piilopuoti sia stato sequestrato e desideriamo congratularci con le forze dell'ordine, la Dogana finlandese e tutti coloro coinvolti. Questa operazione è un esempio lampante della collaborazione tra settore pubblico e privato nell'unire le risorse e lavorare insieme per interrompere le attività illegali online. Dovrebbe anche servire da campanello d'allarme per i criminali che credono erroneamente che le loro infrastrutture, l'anonimato e le azioni siano completamente protetti dal dark web. Dovrebbero capire che se sono nel mirino di uno sforzo internazionale, saranno alla fine portati davanti alla giustizia."La Dogana finlandese ha reso noto di aver sequestrato i contenuti del server del mercato. Tuttavia, non hanno rivelato se il sequestro abbia portato ad arresti.
Le indagini sulle operazioni del mercato sono ancora in corso. Gli utenti del mercato dovrebbero presumere di essere sotto indagine e agire di conseguenza.
✉️ Signal verso il futuro: la crittografia post-quantum ora protegge i nostri messaggi
Signal ha annunciato un significativo miglioramento nella crittografia del suo messenger. Il suo protocollo di comunicazione end-to-end ora è dotato di chiavi crittografiche resistenti ai computer quantistici, rendendolo immune da possibili attacchi futuri da parte di tali macchine.
Attualmente, i computer quantistici, nonostante non abbiano ancora applicazioni concrete, hanno il potenziale per diventare estremamente potenti e veloci, superando di gran lunga i sistemi informatici attuali. Questo potrebbe consentire loro di decifrare rapidamente dati protetti, mettendo a rischio la sicurezza delle informazioni.
Tuttavia, sta emergendo l'idea di raccogliere informazioni crittografate per poi decifrarle una volta che i computer quantistici diventeranno una realtà. Questo problema può essere affrontato, se non risolto, mediante l'implementazione di algoritmi resistenti ai computer quantistici, come suggerito dal National Institute of Standards and Technology (NIST).
Per le app di messaggistica come Signal, che si affidano alla crittografia end-to-end per garantire la privacy delle comunicazioni, l'adozione di tali approcci e l'utilizzo di algoritmi resistenti ai computer quantistici diventano sempre più cruciali.
Signal ha spiegato che ha aggiornato il suo protocollo X3DH (Extended Triple Diffie-Hellman) a PQXDH (Post-Quantum Extended Diffie-Hellman), che ora incorpora meccanismi di generazione di chiavi resistenti ai computer quantistici nel suo protocollo di crittografia end-to-end.
Questo passo rappresenta un ulteriore miglioramento nella protezione delle comunicazioni, e Signal utilizza il meccanismo di incapsulamento della chiave CRYSTALS-Kyber, approvato dal NIST, per garantire la sicurezza. La transizione a PQXDH rappresenta solo l'inizio del percorso verso una crittografia end-to-end resistente ai computer quantistici, un passo fondamentale per proteggere le comunicazioni delle persone.
Signal ha annunciato un significativo miglioramento nella crittografia del suo messenger. Il suo protocollo di comunicazione end-to-end ora è dotato di chiavi crittografiche resistenti ai computer quantistici, rendendolo immune da possibili attacchi futuri da parte di tali macchine.
Attualmente, i computer quantistici, nonostante non abbiano ancora applicazioni concrete, hanno il potenziale per diventare estremamente potenti e veloci, superando di gran lunga i sistemi informatici attuali. Questo potrebbe consentire loro di decifrare rapidamente dati protetti, mettendo a rischio la sicurezza delle informazioni.
Tuttavia, sta emergendo l'idea di raccogliere informazioni crittografate per poi decifrarle una volta che i computer quantistici diventeranno una realtà. Questo problema può essere affrontato, se non risolto, mediante l'implementazione di algoritmi resistenti ai computer quantistici, come suggerito dal National Institute of Standards and Technology (NIST).
Per le app di messaggistica come Signal, che si affidano alla crittografia end-to-end per garantire la privacy delle comunicazioni, l'adozione di tali approcci e l'utilizzo di algoritmi resistenti ai computer quantistici diventano sempre più cruciali.
Signal ha spiegato che ha aggiornato il suo protocollo X3DH (Extended Triple Diffie-Hellman) a PQXDH (Post-Quantum Extended Diffie-Hellman), che ora incorpora meccanismi di generazione di chiavi resistenti ai computer quantistici nel suo protocollo di crittografia end-to-end.
Questo passo rappresenta un ulteriore miglioramento nella protezione delle comunicazioni, e Signal utilizza il meccanismo di incapsulamento della chiave CRYSTALS-Kyber, approvato dal NIST, per garantire la sicurezza. La transizione a PQXDH rappresenta solo l'inizio del percorso verso una crittografia end-to-end resistente ai computer quantistici, un passo fondamentale per proteggere le comunicazioni delle persone.
👾 Malware USB rinati: gli hacker cinesi diffondono il pericoloso Sogu in un'infezione globale
Le chiavette USB come veicolo per il malware sembravano appartenere al passato, ma la società di sicurezza Mandiant rivela che il gruppo di hacker cinese UNC53 ha utilizzato questo metodo per attaccare obiettivi in tutto il mondo dall'inizio dello scorso anno.
La maggior parte delle infezioni, secondo Mandiant, si sono verificate in paesi africani come Egitto, Zimbabwe, Tanzania, Kenya, Ghana e Madagascar. Il malware, noto come Sogu, ha trovato la sua strada in alcune occasioni attraverso computer pubblici in Internet café e tipografie.
Sorprendentemente, questo vecchio metodo di infezione è risultato efficace, specialmente nei paesi in via di sviluppo, dove le unità flash USB sono ancora molto utilizzate. Le aziende multinazionali con dipendenti in queste regioni sono particolarmente vulnerabili.
Il malware Sogu utilizza metodi semplici ma sofisticati per infettare i computer e sottrarre dati. La sua capacità di infettare sistemi in reti Air Gap, non connessi a Internet, è preoccupante. Una volta installato, stabilisce una connessione a un server remoto per inviare i dati rubati. Questo consente agli hacker di creare una vasta rete di sistemi infetti e selezionare le vittime con attenzione.
Sogu è solo uno dei molti malware USB che stanno facendo la loro ricomparsa. Ad esempio, i ricercatori di sicurezza di Check Point hanno scoperto che il gruppo cinese Camaro Dragon (Mustang Panda) sta utilizzando un nuovo malware chiamato WispRider, progettato per rubare dati e diffuso attraverso chiavette USB compromesse.
È evidente che i virus USB rappresentano ancora una minaccia, specialmente nelle reti globali con operazioni nei paesi in via di sviluppo. Mentre in Nord America ed Europa si crede che questo vettore sia stato ampiamente mitigato, esistono ancora vulnerabilità in altre parti del mondo che vengono sfruttate.
Le chiavette USB come veicolo per il malware sembravano appartenere al passato, ma la società di sicurezza Mandiant rivela che il gruppo di hacker cinese UNC53 ha utilizzato questo metodo per attaccare obiettivi in tutto il mondo dall'inizio dello scorso anno.
La maggior parte delle infezioni, secondo Mandiant, si sono verificate in paesi africani come Egitto, Zimbabwe, Tanzania, Kenya, Ghana e Madagascar. Il malware, noto come Sogu, ha trovato la sua strada in alcune occasioni attraverso computer pubblici in Internet café e tipografie.
Sorprendentemente, questo vecchio metodo di infezione è risultato efficace, specialmente nei paesi in via di sviluppo, dove le unità flash USB sono ancora molto utilizzate. Le aziende multinazionali con dipendenti in queste regioni sono particolarmente vulnerabili.
Il malware Sogu utilizza metodi semplici ma sofisticati per infettare i computer e sottrarre dati. La sua capacità di infettare sistemi in reti Air Gap, non connessi a Internet, è preoccupante. Una volta installato, stabilisce una connessione a un server remoto per inviare i dati rubati. Questo consente agli hacker di creare una vasta rete di sistemi infetti e selezionare le vittime con attenzione.
Sogu è solo uno dei molti malware USB che stanno facendo la loro ricomparsa. Ad esempio, i ricercatori di sicurezza di Check Point hanno scoperto che il gruppo cinese Camaro Dragon (Mustang Panda) sta utilizzando un nuovo malware chiamato WispRider, progettato per rubare dati e diffuso attraverso chiavette USB compromesse.
È evidente che i virus USB rappresentano ancora una minaccia, specialmente nelle reti globali con operazioni nei paesi in via di sviluppo. Mentre in Nord America ed Europa si crede che questo vettore sia stato ampiamente mitigato, esistono ancora vulnerabilità in altre parti del mondo che vengono sfruttate.
🗃 La divisione di ricerca Microsoft AI espone accidentalmente 38TB di dati sensibili.
L'azienda di sicurezza informatica Wiz ha scoperto che la divisione di ricerca Microsoft AI ha accidentalmente rilasciato 38 TB di dati sensibili mentre pubblicava un bucket di dati di addestramento open source su GitHub.
I dati esposti includevano un backup su disco di due workstation de dipendenti contenenti segreti, chiavi private, password e oltre 30.000 messaggi interni di Microsoft Teams.
"
Il team di ricerca di Wiz ha scoperto il repository durante la scansione di Internet alla ricerca di contenitori di archiviazione mal configurati che espongono dati ospitati nel cloud. Gli esperti hanno trovato un repository su GitHub nell'organizzazione Microsoft chiamato robust-models-transfer.
Il repository appartiene alla divisione di ricerca Microsoft AI, che lo ha utilizzato per fornire codice open source e modelli di intelligenza artificiale per il riconoscimento delle immagini. Il team di ricerca Microsoft AI ha iniziato a pubblicare dati nel luglio 2020.
Microsoft ha utilizzato token SAS Azure per condividere dati memorizzati in account di archiviazione Azure utilizzati dal suo team di ricerca.
L'URL firmato di Azure Storage utilizzato per accedere al repository è stato erroneamente configurato per concedere autorizzazioni sull'intero account di archiviazione, esponendo dati privati.
"
Wiz ha sottolineato che i token SAS non possono essere facilmente tracciati perché Microsoft non fornisce un modo centralizzato per gestirli all'interno del portale Azure.
Microsoft ha dichiarato che la fuga di dati non ha esposto dati dei clienti.
L'azienda di sicurezza informatica Wiz ha scoperto che la divisione di ricerca Microsoft AI ha accidentalmente rilasciato 38 TB di dati sensibili mentre pubblicava un bucket di dati di addestramento open source su GitHub.
I dati esposti includevano un backup su disco di due workstation de dipendenti contenenti segreti, chiavi private, password e oltre 30.000 messaggi interni di Microsoft Teams.
"
I ricercatori hanno condiviso i loro file utilizzando una funzione Azure chiamata token SAS, che consente di condividere dati da account di archiviazione Azure", recita il rapporto pubblicato da Wiz. "Il livello di accesso può essere limitato solo a file specifici; tuttavia, in questo caso, il collegamento è stato configurato per condividere l'intero account di archiviazione, compresi altri 38 TB di file privati."Il team di ricerca di Wiz ha scoperto il repository durante la scansione di Internet alla ricerca di contenitori di archiviazione mal configurati che espongono dati ospitati nel cloud. Gli esperti hanno trovato un repository su GitHub nell'organizzazione Microsoft chiamato robust-models-transfer.
Il repository appartiene alla divisione di ricerca Microsoft AI, che lo ha utilizzato per fornire codice open source e modelli di intelligenza artificiale per il riconoscimento delle immagini. Il team di ricerca Microsoft AI ha iniziato a pubblicare dati nel luglio 2020.
Microsoft ha utilizzato token SAS Azure per condividere dati memorizzati in account di archiviazione Azure utilizzati dal suo team di ricerca.
L'URL firmato di Azure Storage utilizzato per accedere al repository è stato erroneamente configurato per concedere autorizzazioni sull'intero account di archiviazione, esponendo dati privati.
"
Tuttavia, questo URL consentiva l'accesso a molto più che modelli open source. È stato configurato per concedere autorizzazioni sull'intero account di archiviazione, esponendo per errore dati privati aggiuntivi", continua l'azienda. "Il semplice passo di condivisione di un set di dati di intelligenza artificiale ha portato a una grave perdita di dati, contenente oltre 38 TB di dati privati. La causa principale è stata l'uso di token SAS dell'account come meccanismo di condivisione. A causa della mancanza di monitoraggio e governance, i token SAS rappresentano un rischio per la sicurezza e il loro utilizzo dovrebbe essere il più limitato possibile."Wiz ha sottolineato che i token SAS non possono essere facilmente tracciati perché Microsoft non fornisce un modo centralizzato per gestirli all'interno del portale Azure.
Microsoft ha dichiarato che la fuga di dati non ha esposto dati dei clienti.
"Nessun dato dei clienti è stato esposto e nessun altro servizio interno è stato messo a rischio a causa di questo problema. Non è richiesta alcuna azione da parte del cliente in risposta a questo problema", si legge nel post pubblicato da Microsoft.🇨🇳 La Cina sotto attacco: NSA e il suo arsenale di 5 malware contro le università del paese asiatico
Di recente, il National Computer Virus Response Center cinese e i dati forniti da Qihoo 360 hanno rivelato un sofisticato attacco informatico condotto da un gruppo presumibilmente sostenuto dal governo degli Stati Uniti contro la Northwestern Polytechnic University cinese. Questo attacco ha coinvolto l'uso di cinque diversi strumenti di accesso remoto, ognuno dei quali è stato descritto dettagliatamente dagli esperti:
1. NOPEN: Si tratta di un trojan progettato per sistemi Unix/Linux, compresi i firewall. Questo malware è composto da una parte client e una parte server, con la connessione stabilita su un canale crittografato. NOPEN è stato impiegato per compromettere i firewall sfruttando vulnerabilità specifiche.
2. Fury Spray: Questo è un Trojan di accesso remoto (RAT) progettato per sistemi Windows, dotato di numerose utilità tra cui keylogging, screenshot, e browser di file. Fury Spray consente di stabilire una connessione in vari modi, inclusa la comunicazione tramite HTTP. È stato utilizzato per il monitoraggio a lungo termine delle postazioni di lavoro.
3. Second Date: Si tratta di un trojan proxy progettato per intercettare il traffico su firewall e router. Questo malware permette di filtrare il traffico in base a regole specifiche e di introdurre codice dannoso. È stato utilizzato insieme alla piattaforma FoxAcid.
4. Cunning Heretics: Questo è un backdoor nascosto progettato per il controllo a lungo termine dei sistemi. È in grado di rimuovere le tracce della sua presenza ed è utilizzato per caricare altri strumenti, come ad esempio NOPEN.
5. Stoic Surgeon: Questo rootkit multifunzionale è destinato a sistemi Linux, Solaris e FreeBSD. Consente di nascondere file, processi e connessioni di rete ed è stato utilizzato per mascherare l'attività di NOPEN sui sistemi infetti.
L'utilizzo coordinato di questi strumenti ha permesso al gruppo di hacker presumibilmente supportato dal governo americano di penetrare efficacemente nella rete interna dell'università cinese e stabilire un controllo segreto sui sistemi. Questo approccio altamente sofisticato evidenzia una notevole formazione tecnica da parte degli aggressori, che dimostrano una profonda comprensione dell'architettura della rete attaccata, selezionando con precisione gli strumenti più adatti per ciascuna fase dell'attacco.
È interessante notare che alcuni di questi strumenti sembrano essere stati progettati specificamente per questo tipo di attacco, come "Second Date" e "Cunning Heretics", che non erano stati precedentemente identificati in attacchi mirati e sono scarsamente documentati dagli esperti.
Gli analisti cinesi ritengono che questi strumenti possano essere sviluppati dalla National Security Agency (NSA) degli Stati Uniti, nell'ambito del programma Tailored Access Operations (TAO), finalizzato allo spionaggio informatico e all'hacking di sistemi di informazione stranieri.
Il crescente numero di attacchi informatici di questa natura mette in luce la crescente importanza della sicurezza informatica e della protezione dei dati come aspetti chiave della sicurezza nazionale per molte nazioni. Tali incidenti complicano ulteriormente le relazioni tra le principali potenze mondiali, rendendo più difficile la ricerca di soluzioni diplomatiche a questa crescente sfida.
Di recente, il National Computer Virus Response Center cinese e i dati forniti da Qihoo 360 hanno rivelato un sofisticato attacco informatico condotto da un gruppo presumibilmente sostenuto dal governo degli Stati Uniti contro la Northwestern Polytechnic University cinese. Questo attacco ha coinvolto l'uso di cinque diversi strumenti di accesso remoto, ognuno dei quali è stato descritto dettagliatamente dagli esperti:
1. NOPEN: Si tratta di un trojan progettato per sistemi Unix/Linux, compresi i firewall. Questo malware è composto da una parte client e una parte server, con la connessione stabilita su un canale crittografato. NOPEN è stato impiegato per compromettere i firewall sfruttando vulnerabilità specifiche.
2. Fury Spray: Questo è un Trojan di accesso remoto (RAT) progettato per sistemi Windows, dotato di numerose utilità tra cui keylogging, screenshot, e browser di file. Fury Spray consente di stabilire una connessione in vari modi, inclusa la comunicazione tramite HTTP. È stato utilizzato per il monitoraggio a lungo termine delle postazioni di lavoro.
3. Second Date: Si tratta di un trojan proxy progettato per intercettare il traffico su firewall e router. Questo malware permette di filtrare il traffico in base a regole specifiche e di introdurre codice dannoso. È stato utilizzato insieme alla piattaforma FoxAcid.
4. Cunning Heretics: Questo è un backdoor nascosto progettato per il controllo a lungo termine dei sistemi. È in grado di rimuovere le tracce della sua presenza ed è utilizzato per caricare altri strumenti, come ad esempio NOPEN.
5. Stoic Surgeon: Questo rootkit multifunzionale è destinato a sistemi Linux, Solaris e FreeBSD. Consente di nascondere file, processi e connessioni di rete ed è stato utilizzato per mascherare l'attività di NOPEN sui sistemi infetti.
L'utilizzo coordinato di questi strumenti ha permesso al gruppo di hacker presumibilmente supportato dal governo americano di penetrare efficacemente nella rete interna dell'università cinese e stabilire un controllo segreto sui sistemi. Questo approccio altamente sofisticato evidenzia una notevole formazione tecnica da parte degli aggressori, che dimostrano una profonda comprensione dell'architettura della rete attaccata, selezionando con precisione gli strumenti più adatti per ciascuna fase dell'attacco.
È interessante notare che alcuni di questi strumenti sembrano essere stati progettati specificamente per questo tipo di attacco, come "Second Date" e "Cunning Heretics", che non erano stati precedentemente identificati in attacchi mirati e sono scarsamente documentati dagli esperti.
Gli analisti cinesi ritengono che questi strumenti possano essere sviluppati dalla National Security Agency (NSA) degli Stati Uniti, nell'ambito del programma Tailored Access Operations (TAO), finalizzato allo spionaggio informatico e all'hacking di sistemi di informazione stranieri.
Il crescente numero di attacchi informatici di questa natura mette in luce la crescente importanza della sicurezza informatica e della protezione dei dati come aspetti chiave della sicurezza nazionale per molte nazioni. Tali incidenti complicano ulteriormente le relazioni tra le principali potenze mondiali, rendendo più difficile la ricerca di soluzioni diplomatiche a questa crescente sfida.
🏭 All'interno del toolkit degli hacker - Serie - 2
🔗 Vai al post precedente
❓: "Ciao a tutti e benvenuti. Oggi siamo in compagnia di Jack Chapman di Egress. È il Vice Presidente dell'intelligence sulle minacce presso Egress e ha il compito di comprendere profondamente il panorama delle minacce informatiche in evoluzione per rimanere un passo avanti ai criminali informatici.
Sfruttando queste conoscenze e la sua vasta esperienza nella ricerca e sviluppo, Jack supervisiona l'intelligence sulle minacce per Egress. In precedenza, Jack ha co-fondato l'azienda anti-phishing Aquila AI e ne è stato il direttore tecnico, lavorando a stretto contatto con l'agenzia di intelligence e cyber del Regno Unito, il GCHQ, per sviluppare capacità produttive all'avanguardia. Aquila AI è stata acquisita da Egress nel 2021. Jack, benvenuto. Come stai oggi?"
👤 Jack Chapman: "Bene. Felice di essere qui."
❓: "È sempre un piacere vederti. Spero che tutto stia procedendo bene nel Regno Unito oggi. Guardando il tuo background, volevo vedere se potevamo approfondire un po' il lato più oscuro della sicurezza informatica e guardare dentro la mentalità degli aggressori. Va bene per te?"
👤 Jack Chapman: "È il mio pane quotidiano, è quello che faccio ogni giorno ed è il mio argomento preferito."
❓: "Beh, è una buona cosa, perché allora ci addentreremo un po' in esso."
🔗 Vai al post precedente
❓: "Ciao a tutti e benvenuti. Oggi siamo in compagnia di Jack Chapman di Egress. È il Vice Presidente dell'intelligence sulle minacce presso Egress e ha il compito di comprendere profondamente il panorama delle minacce informatiche in evoluzione per rimanere un passo avanti ai criminali informatici.
Sfruttando queste conoscenze e la sua vasta esperienza nella ricerca e sviluppo, Jack supervisiona l'intelligence sulle minacce per Egress. In precedenza, Jack ha co-fondato l'azienda anti-phishing Aquila AI e ne è stato il direttore tecnico, lavorando a stretto contatto con l'agenzia di intelligence e cyber del Regno Unito, il GCHQ, per sviluppare capacità produttive all'avanguardia. Aquila AI è stata acquisita da Egress nel 2021. Jack, benvenuto. Come stai oggi?"
👤 Jack Chapman: "Bene. Felice di essere qui."
❓: "È sempre un piacere vederti. Spero che tutto stia procedendo bene nel Regno Unito oggi. Guardando il tuo background, volevo vedere se potevamo approfondire un po' il lato più oscuro della sicurezza informatica e guardare dentro la mentalità degli aggressori. Va bene per te?"
👤 Jack Chapman: "È il mio pane quotidiano, è quello che faccio ogni giorno ed è il mio argomento preferito."
❓: "Beh, è una buona cosa, perché allora ci addentreremo un po' in esso."
📝 Prosegue in un prossimo post🤖 NASA: L'intelligenza artificiale contribuirà a migliorare il mondo, non a distruggerlo.
Da quando è stato lanciato ChatGPT, numerosi media si sono concentrati sulle preoccupazioni etiche legate all'intelligenza artificiale. Tra questi timori figura la paura che le macchine possano usurpare il lavoro umano o addirittura portare alla distruzione del mondo, come nel famoso scenario di Skynet dei film Terminator. Tuttavia, la NASA, l'agenzia spaziale degli Stati Uniti, sembra abbracciare una prospettiva molto diversa riguardo allo sviluppo dell'intelligenza artificiale.
Gli scienziati e gli ingegneri della NASA che lavorano con i rover su Marte utilizzano l'intelligenza artificiale non con l'obiettivo di sostituire gli esseri umani, ma piuttosto di migliorare le loro abilità.
Molte persone vedono la collaborazione tra esseri umani e robot solo come un passo verso l'automazione totale. Tuttavia, la ricerca condotta dalla NASA suggerisce che molte delle preoccupazioni etiche associate all'intelligenza artificiale possono essere superate quando si adotta un modello di collaborazione tra uomo e robot.
I risultati più promettenti si manifestano quando i robot ampliano e integrano le capacità umane. Questi robot vengono inviati a compiere compiti pericolosi, come il disarmo di mine o missioni di ricerca e soccorso, e utilizzano le loro abilità per affrontare sfide impossibili per gli esseri umani.
Gli esperti della NASA citano ad esempio i rover su Marte, dotati di telecamere capaci di registrare lunghezze d'onda nella gamma degli infrarossi, impercettibili all'occhio umano. Tuttavia, questi robot non possono trarre conclusioni scientifiche autonomamente basandosi su tali dati. È solo combinando queste informazioni con il giudizio degli esperti che gli scienziati possono scoprire nuove verità su Marte.
Un'altra questione etica legata all'intelligenza artificiale riguarda la raccolta e l'uso delle informazioni. Anche i robot su Marte dipendono dai dati raccolti, ma il loro focus è sul mondo circostante, evitando così problemi come la sorveglianza invadente, la parzialità e lo sfruttamento spesso associati all'IA moderna.
Invece di concentrarsi sulle fantasie hollywoodiane riguardanti i robot, potremmo trarre ispirazione dai team di successo formati da persone e macchine, sia nello spazio che sulla Terra.
Da quando è stato lanciato ChatGPT, numerosi media si sono concentrati sulle preoccupazioni etiche legate all'intelligenza artificiale. Tra questi timori figura la paura che le macchine possano usurpare il lavoro umano o addirittura portare alla distruzione del mondo, come nel famoso scenario di Skynet dei film Terminator. Tuttavia, la NASA, l'agenzia spaziale degli Stati Uniti, sembra abbracciare una prospettiva molto diversa riguardo allo sviluppo dell'intelligenza artificiale.
Gli scienziati e gli ingegneri della NASA che lavorano con i rover su Marte utilizzano l'intelligenza artificiale non con l'obiettivo di sostituire gli esseri umani, ma piuttosto di migliorare le loro abilità.
Molte persone vedono la collaborazione tra esseri umani e robot solo come un passo verso l'automazione totale. Tuttavia, la ricerca condotta dalla NASA suggerisce che molte delle preoccupazioni etiche associate all'intelligenza artificiale possono essere superate quando si adotta un modello di collaborazione tra uomo e robot.
I risultati più promettenti si manifestano quando i robot ampliano e integrano le capacità umane. Questi robot vengono inviati a compiere compiti pericolosi, come il disarmo di mine o missioni di ricerca e soccorso, e utilizzano le loro abilità per affrontare sfide impossibili per gli esseri umani.
Gli esperti della NASA citano ad esempio i rover su Marte, dotati di telecamere capaci di registrare lunghezze d'onda nella gamma degli infrarossi, impercettibili all'occhio umano. Tuttavia, questi robot non possono trarre conclusioni scientifiche autonomamente basandosi su tali dati. È solo combinando queste informazioni con il giudizio degli esperti che gli scienziati possono scoprire nuove verità su Marte.
Un'altra questione etica legata all'intelligenza artificiale riguarda la raccolta e l'uso delle informazioni. Anche i robot su Marte dipendono dai dati raccolti, ma il loro focus è sul mondo circostante, evitando così problemi come la sorveglianza invadente, la parzialità e lo sfruttamento spesso associati all'IA moderna.
Invece di concentrarsi sulle fantasie hollywoodiane riguardanti i robot, potremmo trarre ispirazione dai team di successo formati da persone e macchine, sia nello spazio che sulla Terra.
🇨🇳 Hacker cinesi del gruppo BlackTech attaccano aziende negli Stati Uniti e in Giappone sfruttando router
Le agenzie di sicurezza informatica del Giappone e degli Stati Uniti hanno lanciato un avvertimento riguardo agli attacchi orchestrati da un gruppo di hacker sostenuti dallo stato cinese. Questi attacchi mirano a compromettere silenziosamente i router di filiali aziendali e a utilizzarli come punti di ingresso per accedere alle reti di varie società nei due paesi.
Il gruppo di hacker, noto come BlackTech, è stato identificato dalla National Security Agency (NSA) degli Stati Uniti, dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA), dalla Japan National Police Agency (NPA) e dal Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) come un attore informatico malintenzionato.
BlackTech ha dimostrato abilità nel modificare il firmware dei router senza essere rilevato e sfruttare le relazioni di fiducia tra i router per muoversi dalle filiali internazionali alle sedi centrali in Giappone e negli Stati Uniti, che rappresentano gli obiettivi principali. I settori presi di mira includono il governo, l'industria, la tecnologia, i media, l'elettronica, le telecomunicazioni e le entità che supportano le forze armate degli Stati Uniti e del Giappone.
BlackTech ha una lunga storia di operazioni contro obiettivi in Asia orientale, in particolare Taiwan, Giappone e Hong Kong, risalente almeno al 2007. Questo gruppo è stato associato a una serie di backdoor, tra cui BendyBear, BIFROSE, Consock, KIVARS, PLEAD, TSCookie, XBOW e Waterbear.
Una delle loro strategie tipiche coinvolge l'invio di e-mail di spear-phishing con allegati contenenti malware progettato per raccogliere dati sensibili. L'attacco si basa spesso sull'uso di router compromessi come server di comando e controllo (C&C).
Le agenzie di sicurezza sottolineano che BlackTech ha la capacità di sviluppare malware personalizzato e meccanismi di persistenza su misura per infiltrarsi nei dispositivi di rete, spesso modificando il firmware per mantenere la presenza nascosta.
In altre parole, modificano il firmware per incorporare una backdoor SSH, che consente loro di mantenere l'accesso segreto ai router tramite l'uso di pacchetti speciali. Questo approccio non si limita ai router Cisco, ma potrebbe essere utilizzato su altre apparecchiature di rete.
È importante notare che il vettore di accesso principale per questi attacchi coinvolge credenziali amministrative deboli o rubate, e non sono state riscontrate evidenze di sfruttamento attivo di difetti di sicurezza nei software coinvolti.
Per prevenire tali attacchi, i difensori della rete dovrebbero monitorare attentamente i dispositivi di rete per individuare download non autorizzati di bootloader e immagini firmware, nonché riavvii anomali. Dovrebbero anche prestare attenzione al traffico inusuale destinato ai router, inclusi tentativi di accesso tramite SSH non autorizzati.
Le agenzie di sicurezza informatica del Giappone e degli Stati Uniti hanno lanciato un avvertimento riguardo agli attacchi orchestrati da un gruppo di hacker sostenuti dallo stato cinese. Questi attacchi mirano a compromettere silenziosamente i router di filiali aziendali e a utilizzarli come punti di ingresso per accedere alle reti di varie società nei due paesi.
Il gruppo di hacker, noto come BlackTech, è stato identificato dalla National Security Agency (NSA) degli Stati Uniti, dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA), dalla Japan National Police Agency (NPA) e dal Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) come un attore informatico malintenzionato.
BlackTech ha dimostrato abilità nel modificare il firmware dei router senza essere rilevato e sfruttare le relazioni di fiducia tra i router per muoversi dalle filiali internazionali alle sedi centrali in Giappone e negli Stati Uniti, che rappresentano gli obiettivi principali. I settori presi di mira includono il governo, l'industria, la tecnologia, i media, l'elettronica, le telecomunicazioni e le entità che supportano le forze armate degli Stati Uniti e del Giappone.
BlackTech ha una lunga storia di operazioni contro obiettivi in Asia orientale, in particolare Taiwan, Giappone e Hong Kong, risalente almeno al 2007. Questo gruppo è stato associato a una serie di backdoor, tra cui BendyBear, BIFROSE, Consock, KIVARS, PLEAD, TSCookie, XBOW e Waterbear.
Una delle loro strategie tipiche coinvolge l'invio di e-mail di spear-phishing con allegati contenenti malware progettato per raccogliere dati sensibili. L'attacco si basa spesso sull'uso di router compromessi come server di comando e controllo (C&C).
Le agenzie di sicurezza sottolineano che BlackTech ha la capacità di sviluppare malware personalizzato e meccanismi di persistenza su misura per infiltrarsi nei dispositivi di rete, spesso modificando il firmware per mantenere la presenza nascosta.
In altre parole, modificano il firmware per incorporare una backdoor SSH, che consente loro di mantenere l'accesso segreto ai router tramite l'uso di pacchetti speciali. Questo approccio non si limita ai router Cisco, ma potrebbe essere utilizzato su altre apparecchiature di rete.
È importante notare che il vettore di accesso principale per questi attacchi coinvolge credenziali amministrative deboli o rubate, e non sono state riscontrate evidenze di sfruttamento attivo di difetti di sicurezza nei software coinvolti.
Per prevenire tali attacchi, i difensori della rete dovrebbero monitorare attentamente i dispositivi di rete per individuare download non autorizzati di bootloader e immagini firmware, nonché riavvii anomali. Dovrebbero anche prestare attenzione al traffico inusuale destinato ai router, inclusi tentativi di accesso tramite SSH non autorizzati.
👾 Nuovo malware ZenRAT che prende di mira gli utenti Windows tramite un software di gestione password falso
Un nuovo tipo di malware, noto come ZenRAT, è stato scoperto e si diffonde attraverso pacchetti di installazione falsi del gestore di password Bitwarden, prendendo di mira gli utenti Windows. Il malware è un trojan di accesso remoto modulare (RAT) con capacità di furto di informazioni.
ZenRAT è ospitato su siti Web falsi che fanno finta di essere collegati a Bitwarden. Il payload, denominato "
Una caratteristica interessante di questa campagna è che gli utenti che visitano il sito Web fraudolento da sistemi non Windows vengono reindirizzati a un articolo clonato su "Come gestire le password con Bitwarden, un'alternativa a LastPass".
Inoltre, gli utenti Windows che cercano di scaricare il software per Linux o macOS dalla pagina di download vengono reindirizzati al sito legittimo di Bitwarden.
Il malware ZenRAT raccoglie dettagli sull'host, inclusi dettagli hardware, versione del sistema operativo, credenziali del browser e altro, inviando queste informazioni a un server di comando e controllo gestito dagli attaccanti.
Per mitigare questa minaccia, è importante scaricare software solo da fonti attendibili e verificare sempre l'autenticità dei siti Web. La scoperta di ZenRAT avviene contemporaneamente all'osservazione di un altro malware noto come Lumma Stealer, che sta compromettendo industrie manifatturiere, al dettaglio e commerciali.
I siti Web fraudolenti che impersonano servizi Google come Google Business Profile e Google Sheets sono stati utilizzati per indurre gli utenti a installare un malware stealer chiamato Stealc sotto il falso pretesto di un aggiornamento di sicurezza. L'uso di download drive-by per diffondere malware rimane un metodo comune per gli aggressori.
Un nuovo tipo di malware, noto come ZenRAT, è stato scoperto e si diffonde attraverso pacchetti di installazione falsi del gestore di password Bitwarden, prendendo di mira gli utenti Windows. Il malware è un trojan di accesso remoto modulare (RAT) con capacità di furto di informazioni.
ZenRAT è ospitato su siti Web falsi che fanno finta di essere collegati a Bitwarden. Il payload, denominato "
Bitwarden-Installer-version-2023-7-1.exe", è una versione alterata del pacchetto di installazione standard di Bitwarden, contenente un eseguibile .NET dannoso chiamato "ApplicationRuntimeMonitor.exe". Una caratteristica interessante di questa campagna è che gli utenti che visitano il sito Web fraudolento da sistemi non Windows vengono reindirizzati a un articolo clonato su "Come gestire le password con Bitwarden, un'alternativa a LastPass".
Inoltre, gli utenti Windows che cercano di scaricare il software per Linux o macOS dalla pagina di download vengono reindirizzati al sito legittimo di Bitwarden.
Il malware ZenRAT raccoglie dettagli sull'host, inclusi dettagli hardware, versione del sistema operativo, credenziali del browser e altro, inviando queste informazioni a un server di comando e controllo gestito dagli attaccanti.
Per mitigare questa minaccia, è importante scaricare software solo da fonti attendibili e verificare sempre l'autenticità dei siti Web. La scoperta di ZenRAT avviene contemporaneamente all'osservazione di un altro malware noto come Lumma Stealer, che sta compromettendo industrie manifatturiere, al dettaglio e commerciali.
I siti Web fraudolenti che impersonano servizi Google come Google Business Profile e Google Sheets sono stati utilizzati per indurre gli utenti a installare un malware stealer chiamato Stealc sotto il falso pretesto di un aggiornamento di sicurezza. L'uso di download drive-by per diffondere malware rimane un metodo comune per gli aggressori.
🔑 Microsoft aggiunge passkey a Windows 11
In un importante aggiornamento di questa settimana, Microsoft ha integrato nel sistema operativo Windows 11 il Passkeys, insieme a Windows Hello, il suo strumento di autenticazione biometrica.
Passkeys crea una credenziale unica che consente agli utenti di autenticarsi con il loro volto, l'impronta digitale o un PIN in un processo più sicuro rispetto alla tradizionale password.
Le passkeys di Microsoft saranno disponibili su diversi browser, tra cui Firefox, Google Chrome ed Edge.
La gestione delle passkey è stata disponibile nel programma Windows Insider sin da giugno di quest'anno, ma questa sarà la prima volta che la funzionalità sarà disponibile per l'intera piattaforma.
Microsoft ha annunciato per la prima volta nel maggio 2022 che Apple, Google e Microsoft avrebbero ampliato il supporto per un accesso senza password, creato da FIDO Alliance e World Wide Web Consortium.
"
In un importante aggiornamento di questa settimana, Microsoft ha integrato nel sistema operativo Windows 11 il Passkeys, insieme a Windows Hello, il suo strumento di autenticazione biometrica.
Passkeys crea una credenziale unica che consente agli utenti di autenticarsi con il loro volto, l'impronta digitale o un PIN in un processo più sicuro rispetto alla tradizionale password.
Le passkeys di Microsoft saranno disponibili su diversi browser, tra cui Firefox, Google Chrome ed Edge.
La gestione delle passkey è stata disponibile nel programma Windows Insider sin da giugno di quest'anno, ma questa sarà la prima volta che la funzionalità sarà disponibile per l'intera piattaforma.
Microsoft ha annunciato per la prima volta nel maggio 2022 che Apple, Google e Microsoft avrebbero ampliato il supporto per un accesso senza password, creato da FIDO Alliance e World Wide Web Consortium.
"
La threat intelligence globale di Microsoft elabora più di 65 trilioni di segnali di sicurezza ogni giorno. Questa intelligence ci ha mostrato che ci sono più di 4.000 attacchi alle password ogni secondo", ha dichiarato Microsoft in un post sul blog. "Windows 11 renderà molto più difficile per gli hacker che sfruttano password rubate attraverso attacchi di phishing, dando agli utenti la possibilità di sostituire le password con passkeys".🐄 Cult of the Dead Cow (cDc): la storia del gruppo hacker di risonanza mondiale - [1]
La cultura hacker rappresenta un ambito affascinante che ha subito notevoli evoluzioni nel corso del tempo, fino a giungere ai giorni attuali.
In un'epoca che coincide con gli anni '80 e '90, durante l'era delle BBS e di IRC, emersero numerosi gruppi di hacker in tutto il mondo. Questi gruppi influenzarono e contribuirono a definire la cultura hacker e la sicurezza informatica di quel periodo storico.
All'interno di questi gruppi, i più noti non erano soltanto dedicati alla sicurezza informatica. Erano luoghi in cui si discuteva di politica, musica, arte e, soprattutto, di come superare i limiti e sfidare le convenzioni con innovazione e originalità.
Nel giugno del 1984, presso il macello Farm Pac a Lubbock, in Texas, un luogo frequentato soprattutto dai giovani, si formò uno dei gruppi più antichi, rispettati e famosi di tutti i tempi: i Cult of the Dead Cow.
🛖 Le origini dei Cult of the Dead Cow
Il macello era, in quel periodo, un luogo di ritrovo per molti giovani, sebbene in seguito venne incendiato nel 1996 e utilizzato come casa infestata per gli Halloween successivi. In questo luogo misterioso, Swamp Rat (noto anche come il Gran Maestro), insieme a Franken Ghibe (Gibe) e Sid Vicious, installò tre BBS, ma in breve tempo si espansero in un collettivo di BBS in tutti gli Stati Uniti, compreso il Canada.
Fu durante questo periodo che i Cult of the Dead Cow (che abbrevieremo in cDc) coniarono il termine "1337", o "Leet", un termine diffuso nel gergo delle BBS per descrivere abilità o risultati straordinari, specialmente nei campi dei giochi online o nell'hacking dei computer.
La cultura hacker rappresenta un ambito affascinante che ha subito notevoli evoluzioni nel corso del tempo, fino a giungere ai giorni attuali.
In un'epoca che coincide con gli anni '80 e '90, durante l'era delle BBS e di IRC, emersero numerosi gruppi di hacker in tutto il mondo. Questi gruppi influenzarono e contribuirono a definire la cultura hacker e la sicurezza informatica di quel periodo storico.
All'interno di questi gruppi, i più noti non erano soltanto dedicati alla sicurezza informatica. Erano luoghi in cui si discuteva di politica, musica, arte e, soprattutto, di come superare i limiti e sfidare le convenzioni con innovazione e originalità.
Nel giugno del 1984, presso il macello Farm Pac a Lubbock, in Texas, un luogo frequentato soprattutto dai giovani, si formò uno dei gruppi più antichi, rispettati e famosi di tutti i tempi: i Cult of the Dead Cow.
🛖 Le origini dei Cult of the Dead Cow
Il macello era, in quel periodo, un luogo di ritrovo per molti giovani, sebbene in seguito venne incendiato nel 1996 e utilizzato come casa infestata per gli Halloween successivi. In questo luogo misterioso, Swamp Rat (noto anche come il Gran Maestro), insieme a Franken Ghibe (Gibe) e Sid Vicious, installò tre BBS, ma in breve tempo si espansero in un collettivo di BBS in tutti gli Stati Uniti, compreso il Canada.
Fu durante questo periodo che i Cult of the Dead Cow (che abbrevieremo in cDc) coniarono il termine "1337", o "Leet", un termine diffuso nel gergo delle BBS per descrivere abilità o risultati straordinari, specialmente nei campi dei giochi online o nell'hacking dei computer.
📝 Prosegue in un prossimo post🖥 GPU moderne vulnerabili alle nuove GPU.zip attacco side-channel
Un nuovo attacco di tipo side-channel sta mettendo in pericolo le GPU prodotte da NVIDIA, AMD, Intel e altre aziende. Questo attacco, noto come "GPU.zip", è stato sviluppato da ricercatori provenienti da quattro università americane: l'Università del Texas ad Austin, la Carnegie Mellon University, l'Università di Washington e l'Università di Illinois Urbana-Champaign. L'attacco sfrutta la compressione dei dati grafici.
Secondo quanto riportato sul loro sito dedicato, "
I ricercatori hanno informato i produttori di GPU interessati, tra cui AMD, Apple, Arm, Intel, Nvidia e Qualcomm, della vulnerabilità a marzo, ma fino ad oggi nessuno di loro, né Google, ha rilasciato una patch per risolvere il problema. Google sembra ancora in fase di valutazione per decidere "quando e come" distribuire un aggiornamento.
In genere, il software disattiva la compressione quando si trattano dati sensibili, ma i ricercatori hanno scoperto che le GPU comprimono i dati in modo visibile dal software anche quando non richiesto esplicitamente.
"
Gli algoritmi di compressione utilizzati dai produttori sono diversi tra loro e possono variare anche in base alle singole architetture. Inoltre, spesso questi algoritmi non sono documentati. Attraverso un processo di reverse engineering, i ricercatori sono riusciti a sfruttare la compressione per rivelare dati visivi dalle GPU, concentrandosi in particolare sulle GPU AMD e Intel integrate.
Nello specifico, hanno dimostrato un attacco che estrae i dati dei singoli pixel attraverso un browser web su vari dispositivi e architetture grafiche. Un esempio concreto ha mostrato che è possibile ottenere il nome utente da un iframe di Wikipedia in 30 minuti su una CPU Ryzen e in 215 minuti su una GPU Intel, con una precisione rispettivamente del 97% e del 98,3%.
GPU.zip potenzialmente può influenzare miliardi di dispositivi, ma la sua pericolosità è limitata da due fattori: la complessità e il tempo necessario per eseguire l'attacco. Inoltre, i ricercatori spiegano che l'attacco non funziona su quei siti web che impediscono l'incorporamento di iframe "cross-origin". Quindi, l'utente medio può rimanere abbastanza tranquillo.
"
Un nuovo attacco di tipo side-channel sta mettendo in pericolo le GPU prodotte da NVIDIA, AMD, Intel e altre aziende. Questo attacco, noto come "GPU.zip", è stato sviluppato da ricercatori provenienti da quattro università americane: l'Università del Texas ad Austin, la Carnegie Mellon University, l'Università di Washington e l'Università di Illinois Urbana-Champaign. L'attacco sfrutta la compressione dei dati grafici.
Secondo quanto riportato sul loro sito dedicato, "
GPU.zip è un nuovo tipo di side channel che espone i dati visivi elaborati dalla GPU. Questo canale sfrutta un'ottimizzazione che è dipendente dai dati, invisibile al software e presente in quasi tutte le GPU moderne: la compressione dei dati grafici. Questo studio presenta la prima analisi focalizzata sulla sicurezza di questa ottimizzazione e dimostra che può essere sfruttata per rivelare dati visivi. Ad esempio, utilizzando GPU.zip, una pagina web dannosa può estrarre pixel da un'altra pagina web nell'ultima versione di Google Chrome, violando il modello di sicurezza del browser".I ricercatori hanno informato i produttori di GPU interessati, tra cui AMD, Apple, Arm, Intel, Nvidia e Qualcomm, della vulnerabilità a marzo, ma fino ad oggi nessuno di loro, né Google, ha rilasciato una patch per risolvere il problema. Google sembra ancora in fase di valutazione per decidere "quando e come" distribuire un aggiornamento.
In genere, il software disattiva la compressione quando si trattano dati sensibili, ma i ricercatori hanno scoperto che le GPU comprimono i dati in modo visibile dal software anche quando non richiesto esplicitamente.
"
La compressione dei dati grafici è una caratteristica delle moderne GPU utilizzata per risparmiare larghezza di banda della memoria e migliorare le prestazioni senza coinvolgere il software. In particolare, le moderne GPU comprimono i dati grafici in modo lossless (senza perdita di informazioni, ndr) anche quando il software non richiede alcuna compressione".Gli algoritmi di compressione utilizzati dai produttori sono diversi tra loro e possono variare anche in base alle singole architetture. Inoltre, spesso questi algoritmi non sono documentati. Attraverso un processo di reverse engineering, i ricercatori sono riusciti a sfruttare la compressione per rivelare dati visivi dalle GPU, concentrandosi in particolare sulle GPU AMD e Intel integrate.
Nello specifico, hanno dimostrato un attacco che estrae i dati dei singoli pixel attraverso un browser web su vari dispositivi e architetture grafiche. Un esempio concreto ha mostrato che è possibile ottenere il nome utente da un iframe di Wikipedia in 30 minuti su una CPU Ryzen e in 215 minuti su una GPU Intel, con una precisione rispettivamente del 97% e del 98,3%.
GPU.zip potenzialmente può influenzare miliardi di dispositivi, ma la sua pericolosità è limitata da due fattori: la complessità e il tempo necessario per eseguire l'attacco. Inoltre, i ricercatori spiegano che l'attacco non funziona su quei siti web che impediscono l'incorporamento di iframe "cross-origin". Quindi, l'utente medio può rimanere abbastanza tranquillo.
"
Il più delle volte, i siti web sensibili già impediscono l'incorporamento da parte di siti web esterni. Di conseguenza, non sono vulnerabili al furto di pixel che abbiamo dimostrato utilizzando GPU.zip. Tuttavia, alcuni siti web rimangono vulnerabili. Ad esempio, se un utente che ha effettuato l'accesso a Wikipedia visita una pagina web dannosa, questa pagina può sfruttare GPU.zip per scoprire il nome utente Wikipedia dell'utente", spiegano i ricercatori.🏭 All'interno del toolkit degli hacker - Serie - 3
🔗 Vai al post precedente
❓: "Quali sono le vulnerabilità che gli aggressori cercano di sfruttare nelle aziende?"
👤 Jack Chapman: "La prima è rappresentata dalle persone. Gli attaccanti, con lo sviluppo degli ecosistemi criminali basati sui servizi, hanno adottato un approccio orientato al ritorno sugli investimenti. La stragrande maggioranza degli attaccanti è spinta principalmente da motivi finanziari. Come parte di questo approccio, valutano le loro TTP (Tactics, Techniques, and Procedures) e come attaccare le organizzazioni. Stranamente, quando lo diciamo ad alta voce, ha senso: è molto più conveniente e semplice prendere di mira un essere umano rispetto a investire mezzo milione di dollari nella prossima zero-day. Quindi, l'attenzione è molto focalizzata sull'aspetto umano e da lì si sviluppano gli altri tipi di attacchi."
❓: "Quindi sembra che non importa quanto cambiano gli anni, sarà sempre l'elemento umano il problema principale per le aziende."
👤 Jack Chapman: "Sì, assolutamente. E sembrava che stesse cambiando un paio di anni fa, ma poi, nel complesso, le organizzazioni hanno maturato la loro postura in materia di sicurezza informatica, hanno implementato le prime 10 vulnerabilità elencate dall'OWASP, i test di penetrazione e le politiche sulle password, il che è ottimo da vedere. Ed è quasi come se avessimo riportato l'attenzione degli aggressori sul metodo tradizionale, quindi siamo tornati alle persone."
❓: "E si tratta solo di phishing? Ci sono altre minacce, come so che abbiamo visto situazioni in cui le persone hanno perso chiavette USB in passato. Ma si tratta solo di phishing? È il livello più semplice o ci sono altre opzioni?"
👤 Jack Chapman: "Penso che il phishing sia la maggior parte, ma ci sono elementi marginali come l'ingegneria sociale, il phishing, lo smishing e tutti questi altri grandi termini di marketing che abbiamo in ambito cyber, il che non mi infastidisce affatto, onestamente. Ma inoltre, stiamo iniziando a vedere più attacchi di riproduzione di violazioni e la quantità di violazioni dei dati a cui sono soggetti individui e organizzazioni sembra essere il principale canale di attacco al momento, insieme al phishing e alla riproduzione di violazioni."
📝
🔗 Vai al post precedente
❓: "Quali sono le vulnerabilità che gli aggressori cercano di sfruttare nelle aziende?"
👤 Jack Chapman: "La prima è rappresentata dalle persone. Gli attaccanti, con lo sviluppo degli ecosistemi criminali basati sui servizi, hanno adottato un approccio orientato al ritorno sugli investimenti. La stragrande maggioranza degli attaccanti è spinta principalmente da motivi finanziari. Come parte di questo approccio, valutano le loro TTP (Tactics, Techniques, and Procedures) e come attaccare le organizzazioni. Stranamente, quando lo diciamo ad alta voce, ha senso: è molto più conveniente e semplice prendere di mira un essere umano rispetto a investire mezzo milione di dollari nella prossima zero-day. Quindi, l'attenzione è molto focalizzata sull'aspetto umano e da lì si sviluppano gli altri tipi di attacchi."
❓: "Quindi sembra che non importa quanto cambiano gli anni, sarà sempre l'elemento umano il problema principale per le aziende."
👤 Jack Chapman: "Sì, assolutamente. E sembrava che stesse cambiando un paio di anni fa, ma poi, nel complesso, le organizzazioni hanno maturato la loro postura in materia di sicurezza informatica, hanno implementato le prime 10 vulnerabilità elencate dall'OWASP, i test di penetrazione e le politiche sulle password, il che è ottimo da vedere. Ed è quasi come se avessimo riportato l'attenzione degli aggressori sul metodo tradizionale, quindi siamo tornati alle persone."
❓: "E si tratta solo di phishing? Ci sono altre minacce, come so che abbiamo visto situazioni in cui le persone hanno perso chiavette USB in passato. Ma si tratta solo di phishing? È il livello più semplice o ci sono altre opzioni?"
👤 Jack Chapman: "Penso che il phishing sia la maggior parte, ma ci sono elementi marginali come l'ingegneria sociale, il phishing, lo smishing e tutti questi altri grandi termini di marketing che abbiamo in ambito cyber, il che non mi infastidisce affatto, onestamente. Ma inoltre, stiamo iniziando a vedere più attacchi di riproduzione di violazioni e la quantità di violazioni dei dati a cui sono soggetti individui e organizzazioni sembra essere il principale canale di attacco al momento, insieme al phishing e alla riproduzione di violazioni."
📝
Prosegue in un prossimo post🚩 La Banda di Ransomware LockBit Rivendica il Furto di Dati da Boeing
Nel mondo della cibercriminalità, il ransomware LockBit ha scelto un nuovo obiettivo di alto profilo: il gigante aerospaziale e appaltatore della difesa, Boeing. Con un fatturato di 66,61 miliardi di dollari nel 2022, Boeing rappresenta una delle aziende più importanti nel settore aerospaziale e della difesa.
LockBit ha recentemente aggiornato il proprio sito su Tor, elencando Boeing come una delle sue ultime vittime. La banda afferma di aver effettuato un furto massiccio di dati sensibili dall'azienda e minaccia di renderli pubblici se Boeing non dovesse contattarli entro la scadenza stabilita, fissata per il 2 novembre 2023 alle 13:25:39 UTC.
Boeing, una società dal valore di 60 miliardi di dollari, è coinvolta nella progettazione, sviluppo, produzione, vendita e assistenza di aerei di linea commerciali, aerei militari, satelliti, sistemi missilistici, voli spaziali umani e servizi di lancio in tutto il mondo.
Esperti di sicurezza informatica hanno sottolineato che LockBit ha precedentemente quotato in borsa aziende che sono state compromesse, spingendo le vittime a trattare con i criminali. La richiesta di riscatto da parte di LockBit per Boeing non è stata ancora resa pubblica, ma gli analisti ritengono che potrebbe raggiungere cifre molto elevate.
Questo non è il primo colpo di LockBit nel settore aziendale. A metà ottobre, il gruppo aveva affermato di aver violato il gigante dei servizi tecnologici CDW, chiedendo un riscatto di 80 milioni di dollari, una cifra significativa che l'azienda ha cercato di negoziare drasticamente, offrendo solo 1 milione di dollari.
La recente incursione di LockBit in aziende di fama mondiale solleva nuovamente l'allarme sulla crescente minaccia dei ransomware, che non risparmiano nemmeno le organizzazioni più potenti e ben finanziate. Resta da vedere come questa situazione si evolverà e come Boeing risponderà a questa sfida alla sicurezza dei dati.
Nel mondo della cibercriminalità, il ransomware LockBit ha scelto un nuovo obiettivo di alto profilo: il gigante aerospaziale e appaltatore della difesa, Boeing. Con un fatturato di 66,61 miliardi di dollari nel 2022, Boeing rappresenta una delle aziende più importanti nel settore aerospaziale e della difesa.
LockBit ha recentemente aggiornato il proprio sito su Tor, elencando Boeing come una delle sue ultime vittime. La banda afferma di aver effettuato un furto massiccio di dati sensibili dall'azienda e minaccia di renderli pubblici se Boeing non dovesse contattarli entro la scadenza stabilita, fissata per il 2 novembre 2023 alle 13:25:39 UTC.
Boeing, una società dal valore di 60 miliardi di dollari, è coinvolta nella progettazione, sviluppo, produzione, vendita e assistenza di aerei di linea commerciali, aerei militari, satelliti, sistemi missilistici, voli spaziali umani e servizi di lancio in tutto il mondo.
Esperti di sicurezza informatica hanno sottolineato che LockBit ha precedentemente quotato in borsa aziende che sono state compromesse, spingendo le vittime a trattare con i criminali. La richiesta di riscatto da parte di LockBit per Boeing non è stata ancora resa pubblica, ma gli analisti ritengono che potrebbe raggiungere cifre molto elevate.
Questo non è il primo colpo di LockBit nel settore aziendale. A metà ottobre, il gruppo aveva affermato di aver violato il gigante dei servizi tecnologici CDW, chiedendo un riscatto di 80 milioni di dollari, una cifra significativa che l'azienda ha cercato di negoziare drasticamente, offrendo solo 1 milione di dollari.
La recente incursione di LockBit in aziende di fama mondiale solleva nuovamente l'allarme sulla crescente minaccia dei ransomware, che non risparmiano nemmeno le organizzazioni più potenti e ben finanziate. Resta da vedere come questa situazione si evolverà e come Boeing risponderà a questa sfida alla sicurezza dei dati.
💣 Gli Hacktivisti Ucraini Disabilitano i Servizi Internet in Territori Occupati dall'Esercito Russo
Nel contesto delle tensioni in corso tra Ucraina e Russia e delle complicazioni legate all'occupazione militare di territori ucraini, gli hacktivisti ucraini del gruppo IT Army of Ukraine hanno temporaneamente disabilitato i servizi Internet in alcune delle regioni occupate dall'esercito russo, in un tentativo di disturbare le comunicazioni dell'avversario.
Dopo l'invasione della Crimea e dell'Ucraina orientale, le infrastrutture di telecomunicazioni ucraine hanno subito pesanti danni causati dalle operazioni militari russe. In questo contesto, gli hacktivisti ucraini hanno lanciato attacchi distribuiti denial of service (DDoS) contro tre provider di servizi Internet russi: "Miranda-media," "Krimtelekom," e "MirTelekom."
Il gruppo IT Army of Ukraine ha invitato i suoi sostenitori a unirsi alla causa, installando il loro software e partecipando alle operazioni.
La risposta dell'ISP Miranda Media è stata rapida. L'azienda ha dichiarato di aver registrato un massiccio attacco DDoS da parte di gruppi di hacker ucraini, il che ha causato temporaneamente l'indisponibilità dei servizi. L'ISP russo è riuscito a mitigare l'attacco entro la fine della giornata, ripristinando parzialmente i suoi servizi nella serata di venerdì.
Le infrastrutture di telecomunicazioni e i servizi Internet rappresentano obiettivi di grande importanza strategica, e questa non è la prima volta che vengono presi di mira da autori di minacce, sia russi che ucraini.
Un gruppo APT (Advanced Persistent Threat) noto come Sandworm (UAC-0165), presumibilmente collegato alla Russia, è stato accusato di aver compromesso undici fornitori di servizi di telecomunicazioni in Ucraina tra maggio e settembre 2023, causando significative interruzioni nei servizi forniti ai consumatori.
Nel contesto delle tensioni in corso tra Ucraina e Russia e delle complicazioni legate all'occupazione militare di territori ucraini, gli hacktivisti ucraini del gruppo IT Army of Ukraine hanno temporaneamente disabilitato i servizi Internet in alcune delle regioni occupate dall'esercito russo, in un tentativo di disturbare le comunicazioni dell'avversario.
Dopo l'invasione della Crimea e dell'Ucraina orientale, le infrastrutture di telecomunicazioni ucraine hanno subito pesanti danni causati dalle operazioni militari russe. In questo contesto, gli hacktivisti ucraini hanno lanciato attacchi distribuiti denial of service (DDoS) contro tre provider di servizi Internet russi: "Miranda-media," "Krimtelekom," e "MirTelekom."
Il gruppo IT Army of Ukraine ha invitato i suoi sostenitori a unirsi alla causa, installando il loro software e partecipando alle operazioni.
La risposta dell'ISP Miranda Media è stata rapida. L'azienda ha dichiarato di aver registrato un massiccio attacco DDoS da parte di gruppi di hacker ucraini, il che ha causato temporaneamente l'indisponibilità dei servizi. L'ISP russo è riuscito a mitigare l'attacco entro la fine della giornata, ripristinando parzialmente i suoi servizi nella serata di venerdì.
Le infrastrutture di telecomunicazioni e i servizi Internet rappresentano obiettivi di grande importanza strategica, e questa non è la prima volta che vengono presi di mira da autori di minacce, sia russi che ucraini.
Un gruppo APT (Advanced Persistent Threat) noto come Sandworm (UAC-0165), presumibilmente collegato alla Russia, è stato accusato di aver compromesso undici fornitori di servizi di telecomunicazioni in Ucraina tra maggio e settembre 2023, causando significative interruzioni nei servizi forniti ai consumatori.
⛓ Il Gruppo Lazarus Collegato alla Corea del Nord Utilizza il Malware macOS KandyKorn per Attaccare gli Ingegneri Blockchain
Nel mondo sempre più complesso e interconnesso della sicurezza informatica, il gruppo Lazarus APT, notoriamente associato alla Corea del Nord, ha messo in atto una nuova e audace campagna che ha come obiettivo gli ingegneri blockchain.
Secondo i report di Elastic Security Labs, il gruppo Lazarus ha adottato il malware macOS KandyKorn, dotato di sofisticate funzionalità, per condurre attacchi mirati contro questa comunità di esperti.
KandyKorn è stato descritto come un "impianto avanzato" con capacità che spaziano dal monitoraggio all'interazione, passando per l'elusione delle misure di rilevamento. Una delle caratteristiche più intriganti di questo malware è l'uso del "caricamento riflettente", una tecnica di esecuzione in memoria progettata per sfuggire all'individuazione da parte degli strumenti di sicurezza.
Gli autori delle minacce si sono fatti passare per membri della comunità di ingegneri blockchain, utilizzando un server Discord pubblico frequentato da professionisti del settore. Attraverso questa piattaforma, hanno cercato di convincere le vittime a scaricare un archivio ZIP, apparentemente relativo a uno strumento di arbitraggio nel mondo delle criptovalute. Tuttavia, all'interno dell'archivio si celava il malware macOS KandyKorn.
La sequenza degli attacchi è stata suddivisa in diverse fasi, ognuna delle quali svolgeva un ruolo specifico nel processo di compromissione. Queste fasi comprendevano il compromesso iniziale, il dropper, il caricamento di payload, il loader e infine il carico utile effettivo.
Un aspetto significativo di questa campagna è il suo obiettivo finanziario. Il gruppo Lazarus sembra aver mirato alle organizzazioni del settore delle criptovalute con l'obiettivo di rubare criptovaluta. Questo sarebbe parte di uno sforzo più ampio per aggirare le sanzioni internazionali e finanziare le operazioni militari del regime nordcoreano.
Nel mondo sempre più complesso e interconnesso della sicurezza informatica, il gruppo Lazarus APT, notoriamente associato alla Corea del Nord, ha messo in atto una nuova e audace campagna che ha come obiettivo gli ingegneri blockchain.
Secondo i report di Elastic Security Labs, il gruppo Lazarus ha adottato il malware macOS KandyKorn, dotato di sofisticate funzionalità, per condurre attacchi mirati contro questa comunità di esperti.
KandyKorn è stato descritto come un "impianto avanzato" con capacità che spaziano dal monitoraggio all'interazione, passando per l'elusione delle misure di rilevamento. Una delle caratteristiche più intriganti di questo malware è l'uso del "caricamento riflettente", una tecnica di esecuzione in memoria progettata per sfuggire all'individuazione da parte degli strumenti di sicurezza.
Gli autori delle minacce si sono fatti passare per membri della comunità di ingegneri blockchain, utilizzando un server Discord pubblico frequentato da professionisti del settore. Attraverso questa piattaforma, hanno cercato di convincere le vittime a scaricare un archivio ZIP, apparentemente relativo a uno strumento di arbitraggio nel mondo delle criptovalute. Tuttavia, all'interno dell'archivio si celava il malware macOS KandyKorn.
La sequenza degli attacchi è stata suddivisa in diverse fasi, ognuna delle quali svolgeva un ruolo specifico nel processo di compromissione. Queste fasi comprendevano il compromesso iniziale, il dropper, il caricamento di payload, il loader e infine il carico utile effettivo.
Un aspetto significativo di questa campagna è il suo obiettivo finanziario. Il gruppo Lazarus sembra aver mirato alle organizzazioni del settore delle criptovalute con l'obiettivo di rubare criptovaluta. Questo sarebbe parte di uno sforzo più ampio per aggirare le sanzioni internazionali e finanziare le operazioni militari del regime nordcoreano.
🌐 Google Calendar: Nuova Minaccia nell'Abuso dei Servizi Cloud
Google, uno dei giganti del web, ha recentemente avvertito che i suoi servizi, in particolare Google Calendar, stanno diventando una piattaforma di scelta per gli autori di minacce che cercano di eludere le difese informatiche tradizionali.
La minaccia in questione è nota come "Google Calendar RAT," un Proof-of-Concept (PoC) sviluppato per attività di red teaming, ma che potrebbe facilmente essere sfruttato da malintenzionati.
Questo PoC sfrutta Google Calendar Events per ospitare un'infrastruttura di comando e controllo (C2) e si basa su un exploit pubblico. Ciò significa che chiunque disponga di un account Gmail può potenzialmente utilizzare questa tecnica.
Il funzionamento di questo PoC è relativamente semplice ma ingegnoso. Sfrutta le descrizioni degli eventi in Google Calendar per creare un "canale nascosto" attraverso il quale le istruzioni possono essere inviate e ricevute. Il bersaglio, nel caso di un attacco, si connetterebbe direttamente a Google, il che rende difficile per i difensori rilevare attività sospette.
Mandiant, nel suo ottavo rapporto di Threat Horizons, ha evidenziato il continuo interesse da parte di vari attori nel mondo cibernetico nell'abuso dei servizi cloud. La prova pubblica del concetto è stata condivisa su forum clandestini, dimostrando come la comunità delle minacce stia esplorando costantemente nuove tecniche per sfuggire alla rilevazione.
L'uso di servizi cloud come Google Calendar come parte di un'infrastruttura di comando e controllo rappresenta una sfida significativa per i difensori. Poiché questi servizi sono legittimi, le attività dannose possono passare inosservate. In passato, il gruppo di esperti di Google TAG (Threat Analysis Group) ha già identificato autori di minacce che sfruttavano servizi Google nelle loro operazioni. Ad esempio, è stato scoperto un gruppo legato all'Iran che utilizzava Gmail come infrastruttura C2 per una backdoor denominata BANANAMAIL.
Google, uno dei giganti del web, ha recentemente avvertito che i suoi servizi, in particolare Google Calendar, stanno diventando una piattaforma di scelta per gli autori di minacce che cercano di eludere le difese informatiche tradizionali.
La minaccia in questione è nota come "Google Calendar RAT," un Proof-of-Concept (PoC) sviluppato per attività di red teaming, ma che potrebbe facilmente essere sfruttato da malintenzionati.
Questo PoC sfrutta Google Calendar Events per ospitare un'infrastruttura di comando e controllo (C2) e si basa su un exploit pubblico. Ciò significa che chiunque disponga di un account Gmail può potenzialmente utilizzare questa tecnica.
Il funzionamento di questo PoC è relativamente semplice ma ingegnoso. Sfrutta le descrizioni degli eventi in Google Calendar per creare un "canale nascosto" attraverso il quale le istruzioni possono essere inviate e ricevute. Il bersaglio, nel caso di un attacco, si connetterebbe direttamente a Google, il che rende difficile per i difensori rilevare attività sospette.
Mandiant, nel suo ottavo rapporto di Threat Horizons, ha evidenziato il continuo interesse da parte di vari attori nel mondo cibernetico nell'abuso dei servizi cloud. La prova pubblica del concetto è stata condivisa su forum clandestini, dimostrando come la comunità delle minacce stia esplorando costantemente nuove tecniche per sfuggire alla rilevazione.
L'uso di servizi cloud come Google Calendar come parte di un'infrastruttura di comando e controllo rappresenta una sfida significativa per i difensori. Poiché questi servizi sono legittimi, le attività dannose possono passare inosservate. In passato, il gruppo di esperti di Google TAG (Threat Analysis Group) ha già identificato autori di minacce che sfruttavano servizi Google nelle loro operazioni. Ad esempio, è stato scoperto un gruppo legato all'Iran che utilizzava Gmail come infrastruttura C2 per una backdoor denominata BANANAMAIL.