🏭 All'interno del toolkit degli hacker - Serie - 3
🔗 Vai al post precedente
❓: "Quali sono le vulnerabilità che gli aggressori cercano di sfruttare nelle aziende?"
👤 Jack Chapman: "La prima è rappresentata dalle persone. Gli attaccanti, con lo sviluppo degli ecosistemi criminali basati sui servizi, hanno adottato un approccio orientato al ritorno sugli investimenti. La stragrande maggioranza degli attaccanti è spinta principalmente da motivi finanziari. Come parte di questo approccio, valutano le loro TTP (Tactics, Techniques, and Procedures) e come attaccare le organizzazioni. Stranamente, quando lo diciamo ad alta voce, ha senso: è molto più conveniente e semplice prendere di mira un essere umano rispetto a investire mezzo milione di dollari nella prossima zero-day. Quindi, l'attenzione è molto focalizzata sull'aspetto umano e da lì si sviluppano gli altri tipi di attacchi."
❓: "Quindi sembra che non importa quanto cambiano gli anni, sarà sempre l'elemento umano il problema principale per le aziende."
👤 Jack Chapman: "Sì, assolutamente. E sembrava che stesse cambiando un paio di anni fa, ma poi, nel complesso, le organizzazioni hanno maturato la loro postura in materia di sicurezza informatica, hanno implementato le prime 10 vulnerabilità elencate dall'OWASP, i test di penetrazione e le politiche sulle password, il che è ottimo da vedere. Ed è quasi come se avessimo riportato l'attenzione degli aggressori sul metodo tradizionale, quindi siamo tornati alle persone."
❓: "E si tratta solo di phishing? Ci sono altre minacce, come so che abbiamo visto situazioni in cui le persone hanno perso chiavette USB in passato. Ma si tratta solo di phishing? È il livello più semplice o ci sono altre opzioni?"
👤 Jack Chapman: "Penso che il phishing sia la maggior parte, ma ci sono elementi marginali come l'ingegneria sociale, il phishing, lo smishing e tutti questi altri grandi termini di marketing che abbiamo in ambito cyber, il che non mi infastidisce affatto, onestamente. Ma inoltre, stiamo iniziando a vedere più attacchi di riproduzione di violazioni e la quantità di violazioni dei dati a cui sono soggetti individui e organizzazioni sembra essere il principale canale di attacco al momento, insieme al phishing e alla riproduzione di violazioni."
📝
🔗 Vai al post precedente
❓: "Quali sono le vulnerabilità che gli aggressori cercano di sfruttare nelle aziende?"
👤 Jack Chapman: "La prima è rappresentata dalle persone. Gli attaccanti, con lo sviluppo degli ecosistemi criminali basati sui servizi, hanno adottato un approccio orientato al ritorno sugli investimenti. La stragrande maggioranza degli attaccanti è spinta principalmente da motivi finanziari. Come parte di questo approccio, valutano le loro TTP (Tactics, Techniques, and Procedures) e come attaccare le organizzazioni. Stranamente, quando lo diciamo ad alta voce, ha senso: è molto più conveniente e semplice prendere di mira un essere umano rispetto a investire mezzo milione di dollari nella prossima zero-day. Quindi, l'attenzione è molto focalizzata sull'aspetto umano e da lì si sviluppano gli altri tipi di attacchi."
❓: "Quindi sembra che non importa quanto cambiano gli anni, sarà sempre l'elemento umano il problema principale per le aziende."
👤 Jack Chapman: "Sì, assolutamente. E sembrava che stesse cambiando un paio di anni fa, ma poi, nel complesso, le organizzazioni hanno maturato la loro postura in materia di sicurezza informatica, hanno implementato le prime 10 vulnerabilità elencate dall'OWASP, i test di penetrazione e le politiche sulle password, il che è ottimo da vedere. Ed è quasi come se avessimo riportato l'attenzione degli aggressori sul metodo tradizionale, quindi siamo tornati alle persone."
❓: "E si tratta solo di phishing? Ci sono altre minacce, come so che abbiamo visto situazioni in cui le persone hanno perso chiavette USB in passato. Ma si tratta solo di phishing? È il livello più semplice o ci sono altre opzioni?"
👤 Jack Chapman: "Penso che il phishing sia la maggior parte, ma ci sono elementi marginali come l'ingegneria sociale, il phishing, lo smishing e tutti questi altri grandi termini di marketing che abbiamo in ambito cyber, il che non mi infastidisce affatto, onestamente. Ma inoltre, stiamo iniziando a vedere più attacchi di riproduzione di violazioni e la quantità di violazioni dei dati a cui sono soggetti individui e organizzazioni sembra essere il principale canale di attacco al momento, insieme al phishing e alla riproduzione di violazioni."
📝
Prosegue in un prossimo post🚩 La Banda di Ransomware LockBit Rivendica il Furto di Dati da Boeing
Nel mondo della cibercriminalità, il ransomware LockBit ha scelto un nuovo obiettivo di alto profilo: il gigante aerospaziale e appaltatore della difesa, Boeing. Con un fatturato di 66,61 miliardi di dollari nel 2022, Boeing rappresenta una delle aziende più importanti nel settore aerospaziale e della difesa.
LockBit ha recentemente aggiornato il proprio sito su Tor, elencando Boeing come una delle sue ultime vittime. La banda afferma di aver effettuato un furto massiccio di dati sensibili dall'azienda e minaccia di renderli pubblici se Boeing non dovesse contattarli entro la scadenza stabilita, fissata per il 2 novembre 2023 alle 13:25:39 UTC.
Boeing, una società dal valore di 60 miliardi di dollari, è coinvolta nella progettazione, sviluppo, produzione, vendita e assistenza di aerei di linea commerciali, aerei militari, satelliti, sistemi missilistici, voli spaziali umani e servizi di lancio in tutto il mondo.
Esperti di sicurezza informatica hanno sottolineato che LockBit ha precedentemente quotato in borsa aziende che sono state compromesse, spingendo le vittime a trattare con i criminali. La richiesta di riscatto da parte di LockBit per Boeing non è stata ancora resa pubblica, ma gli analisti ritengono che potrebbe raggiungere cifre molto elevate.
Questo non è il primo colpo di LockBit nel settore aziendale. A metà ottobre, il gruppo aveva affermato di aver violato il gigante dei servizi tecnologici CDW, chiedendo un riscatto di 80 milioni di dollari, una cifra significativa che l'azienda ha cercato di negoziare drasticamente, offrendo solo 1 milione di dollari.
La recente incursione di LockBit in aziende di fama mondiale solleva nuovamente l'allarme sulla crescente minaccia dei ransomware, che non risparmiano nemmeno le organizzazioni più potenti e ben finanziate. Resta da vedere come questa situazione si evolverà e come Boeing risponderà a questa sfida alla sicurezza dei dati.
Nel mondo della cibercriminalità, il ransomware LockBit ha scelto un nuovo obiettivo di alto profilo: il gigante aerospaziale e appaltatore della difesa, Boeing. Con un fatturato di 66,61 miliardi di dollari nel 2022, Boeing rappresenta una delle aziende più importanti nel settore aerospaziale e della difesa.
LockBit ha recentemente aggiornato il proprio sito su Tor, elencando Boeing come una delle sue ultime vittime. La banda afferma di aver effettuato un furto massiccio di dati sensibili dall'azienda e minaccia di renderli pubblici se Boeing non dovesse contattarli entro la scadenza stabilita, fissata per il 2 novembre 2023 alle 13:25:39 UTC.
Boeing, una società dal valore di 60 miliardi di dollari, è coinvolta nella progettazione, sviluppo, produzione, vendita e assistenza di aerei di linea commerciali, aerei militari, satelliti, sistemi missilistici, voli spaziali umani e servizi di lancio in tutto il mondo.
Esperti di sicurezza informatica hanno sottolineato che LockBit ha precedentemente quotato in borsa aziende che sono state compromesse, spingendo le vittime a trattare con i criminali. La richiesta di riscatto da parte di LockBit per Boeing non è stata ancora resa pubblica, ma gli analisti ritengono che potrebbe raggiungere cifre molto elevate.
Questo non è il primo colpo di LockBit nel settore aziendale. A metà ottobre, il gruppo aveva affermato di aver violato il gigante dei servizi tecnologici CDW, chiedendo un riscatto di 80 milioni di dollari, una cifra significativa che l'azienda ha cercato di negoziare drasticamente, offrendo solo 1 milione di dollari.
La recente incursione di LockBit in aziende di fama mondiale solleva nuovamente l'allarme sulla crescente minaccia dei ransomware, che non risparmiano nemmeno le organizzazioni più potenti e ben finanziate. Resta da vedere come questa situazione si evolverà e come Boeing risponderà a questa sfida alla sicurezza dei dati.
💣 Gli Hacktivisti Ucraini Disabilitano i Servizi Internet in Territori Occupati dall'Esercito Russo
Nel contesto delle tensioni in corso tra Ucraina e Russia e delle complicazioni legate all'occupazione militare di territori ucraini, gli hacktivisti ucraini del gruppo IT Army of Ukraine hanno temporaneamente disabilitato i servizi Internet in alcune delle regioni occupate dall'esercito russo, in un tentativo di disturbare le comunicazioni dell'avversario.
Dopo l'invasione della Crimea e dell'Ucraina orientale, le infrastrutture di telecomunicazioni ucraine hanno subito pesanti danni causati dalle operazioni militari russe. In questo contesto, gli hacktivisti ucraini hanno lanciato attacchi distribuiti denial of service (DDoS) contro tre provider di servizi Internet russi: "Miranda-media," "Krimtelekom," e "MirTelekom."
Il gruppo IT Army of Ukraine ha invitato i suoi sostenitori a unirsi alla causa, installando il loro software e partecipando alle operazioni.
La risposta dell'ISP Miranda Media è stata rapida. L'azienda ha dichiarato di aver registrato un massiccio attacco DDoS da parte di gruppi di hacker ucraini, il che ha causato temporaneamente l'indisponibilità dei servizi. L'ISP russo è riuscito a mitigare l'attacco entro la fine della giornata, ripristinando parzialmente i suoi servizi nella serata di venerdì.
Le infrastrutture di telecomunicazioni e i servizi Internet rappresentano obiettivi di grande importanza strategica, e questa non è la prima volta che vengono presi di mira da autori di minacce, sia russi che ucraini.
Un gruppo APT (Advanced Persistent Threat) noto come Sandworm (UAC-0165), presumibilmente collegato alla Russia, è stato accusato di aver compromesso undici fornitori di servizi di telecomunicazioni in Ucraina tra maggio e settembre 2023, causando significative interruzioni nei servizi forniti ai consumatori.
Nel contesto delle tensioni in corso tra Ucraina e Russia e delle complicazioni legate all'occupazione militare di territori ucraini, gli hacktivisti ucraini del gruppo IT Army of Ukraine hanno temporaneamente disabilitato i servizi Internet in alcune delle regioni occupate dall'esercito russo, in un tentativo di disturbare le comunicazioni dell'avversario.
Dopo l'invasione della Crimea e dell'Ucraina orientale, le infrastrutture di telecomunicazioni ucraine hanno subito pesanti danni causati dalle operazioni militari russe. In questo contesto, gli hacktivisti ucraini hanno lanciato attacchi distribuiti denial of service (DDoS) contro tre provider di servizi Internet russi: "Miranda-media," "Krimtelekom," e "MirTelekom."
Il gruppo IT Army of Ukraine ha invitato i suoi sostenitori a unirsi alla causa, installando il loro software e partecipando alle operazioni.
La risposta dell'ISP Miranda Media è stata rapida. L'azienda ha dichiarato di aver registrato un massiccio attacco DDoS da parte di gruppi di hacker ucraini, il che ha causato temporaneamente l'indisponibilità dei servizi. L'ISP russo è riuscito a mitigare l'attacco entro la fine della giornata, ripristinando parzialmente i suoi servizi nella serata di venerdì.
Le infrastrutture di telecomunicazioni e i servizi Internet rappresentano obiettivi di grande importanza strategica, e questa non è la prima volta che vengono presi di mira da autori di minacce, sia russi che ucraini.
Un gruppo APT (Advanced Persistent Threat) noto come Sandworm (UAC-0165), presumibilmente collegato alla Russia, è stato accusato di aver compromesso undici fornitori di servizi di telecomunicazioni in Ucraina tra maggio e settembre 2023, causando significative interruzioni nei servizi forniti ai consumatori.
⛓ Il Gruppo Lazarus Collegato alla Corea del Nord Utilizza il Malware macOS KandyKorn per Attaccare gli Ingegneri Blockchain
Nel mondo sempre più complesso e interconnesso della sicurezza informatica, il gruppo Lazarus APT, notoriamente associato alla Corea del Nord, ha messo in atto una nuova e audace campagna che ha come obiettivo gli ingegneri blockchain.
Secondo i report di Elastic Security Labs, il gruppo Lazarus ha adottato il malware macOS KandyKorn, dotato di sofisticate funzionalità, per condurre attacchi mirati contro questa comunità di esperti.
KandyKorn è stato descritto come un "impianto avanzato" con capacità che spaziano dal monitoraggio all'interazione, passando per l'elusione delle misure di rilevamento. Una delle caratteristiche più intriganti di questo malware è l'uso del "caricamento riflettente", una tecnica di esecuzione in memoria progettata per sfuggire all'individuazione da parte degli strumenti di sicurezza.
Gli autori delle minacce si sono fatti passare per membri della comunità di ingegneri blockchain, utilizzando un server Discord pubblico frequentato da professionisti del settore. Attraverso questa piattaforma, hanno cercato di convincere le vittime a scaricare un archivio ZIP, apparentemente relativo a uno strumento di arbitraggio nel mondo delle criptovalute. Tuttavia, all'interno dell'archivio si celava il malware macOS KandyKorn.
La sequenza degli attacchi è stata suddivisa in diverse fasi, ognuna delle quali svolgeva un ruolo specifico nel processo di compromissione. Queste fasi comprendevano il compromesso iniziale, il dropper, il caricamento di payload, il loader e infine il carico utile effettivo.
Un aspetto significativo di questa campagna è il suo obiettivo finanziario. Il gruppo Lazarus sembra aver mirato alle organizzazioni del settore delle criptovalute con l'obiettivo di rubare criptovaluta. Questo sarebbe parte di uno sforzo più ampio per aggirare le sanzioni internazionali e finanziare le operazioni militari del regime nordcoreano.
Nel mondo sempre più complesso e interconnesso della sicurezza informatica, il gruppo Lazarus APT, notoriamente associato alla Corea del Nord, ha messo in atto una nuova e audace campagna che ha come obiettivo gli ingegneri blockchain.
Secondo i report di Elastic Security Labs, il gruppo Lazarus ha adottato il malware macOS KandyKorn, dotato di sofisticate funzionalità, per condurre attacchi mirati contro questa comunità di esperti.
KandyKorn è stato descritto come un "impianto avanzato" con capacità che spaziano dal monitoraggio all'interazione, passando per l'elusione delle misure di rilevamento. Una delle caratteristiche più intriganti di questo malware è l'uso del "caricamento riflettente", una tecnica di esecuzione in memoria progettata per sfuggire all'individuazione da parte degli strumenti di sicurezza.
Gli autori delle minacce si sono fatti passare per membri della comunità di ingegneri blockchain, utilizzando un server Discord pubblico frequentato da professionisti del settore. Attraverso questa piattaforma, hanno cercato di convincere le vittime a scaricare un archivio ZIP, apparentemente relativo a uno strumento di arbitraggio nel mondo delle criptovalute. Tuttavia, all'interno dell'archivio si celava il malware macOS KandyKorn.
La sequenza degli attacchi è stata suddivisa in diverse fasi, ognuna delle quali svolgeva un ruolo specifico nel processo di compromissione. Queste fasi comprendevano il compromesso iniziale, il dropper, il caricamento di payload, il loader e infine il carico utile effettivo.
Un aspetto significativo di questa campagna è il suo obiettivo finanziario. Il gruppo Lazarus sembra aver mirato alle organizzazioni del settore delle criptovalute con l'obiettivo di rubare criptovaluta. Questo sarebbe parte di uno sforzo più ampio per aggirare le sanzioni internazionali e finanziare le operazioni militari del regime nordcoreano.
🌐 Google Calendar: Nuova Minaccia nell'Abuso dei Servizi Cloud
Google, uno dei giganti del web, ha recentemente avvertito che i suoi servizi, in particolare Google Calendar, stanno diventando una piattaforma di scelta per gli autori di minacce che cercano di eludere le difese informatiche tradizionali.
La minaccia in questione è nota come "Google Calendar RAT," un Proof-of-Concept (PoC) sviluppato per attività di red teaming, ma che potrebbe facilmente essere sfruttato da malintenzionati.
Questo PoC sfrutta Google Calendar Events per ospitare un'infrastruttura di comando e controllo (C2) e si basa su un exploit pubblico. Ciò significa che chiunque disponga di un account Gmail può potenzialmente utilizzare questa tecnica.
Il funzionamento di questo PoC è relativamente semplice ma ingegnoso. Sfrutta le descrizioni degli eventi in Google Calendar per creare un "canale nascosto" attraverso il quale le istruzioni possono essere inviate e ricevute. Il bersaglio, nel caso di un attacco, si connetterebbe direttamente a Google, il che rende difficile per i difensori rilevare attività sospette.
Mandiant, nel suo ottavo rapporto di Threat Horizons, ha evidenziato il continuo interesse da parte di vari attori nel mondo cibernetico nell'abuso dei servizi cloud. La prova pubblica del concetto è stata condivisa su forum clandestini, dimostrando come la comunità delle minacce stia esplorando costantemente nuove tecniche per sfuggire alla rilevazione.
L'uso di servizi cloud come Google Calendar come parte di un'infrastruttura di comando e controllo rappresenta una sfida significativa per i difensori. Poiché questi servizi sono legittimi, le attività dannose possono passare inosservate. In passato, il gruppo di esperti di Google TAG (Threat Analysis Group) ha già identificato autori di minacce che sfruttavano servizi Google nelle loro operazioni. Ad esempio, è stato scoperto un gruppo legato all'Iran che utilizzava Gmail come infrastruttura C2 per una backdoor denominata BANANAMAIL.
Google, uno dei giganti del web, ha recentemente avvertito che i suoi servizi, in particolare Google Calendar, stanno diventando una piattaforma di scelta per gli autori di minacce che cercano di eludere le difese informatiche tradizionali.
La minaccia in questione è nota come "Google Calendar RAT," un Proof-of-Concept (PoC) sviluppato per attività di red teaming, ma che potrebbe facilmente essere sfruttato da malintenzionati.
Questo PoC sfrutta Google Calendar Events per ospitare un'infrastruttura di comando e controllo (C2) e si basa su un exploit pubblico. Ciò significa che chiunque disponga di un account Gmail può potenzialmente utilizzare questa tecnica.
Il funzionamento di questo PoC è relativamente semplice ma ingegnoso. Sfrutta le descrizioni degli eventi in Google Calendar per creare un "canale nascosto" attraverso il quale le istruzioni possono essere inviate e ricevute. Il bersaglio, nel caso di un attacco, si connetterebbe direttamente a Google, il che rende difficile per i difensori rilevare attività sospette.
Mandiant, nel suo ottavo rapporto di Threat Horizons, ha evidenziato il continuo interesse da parte di vari attori nel mondo cibernetico nell'abuso dei servizi cloud. La prova pubblica del concetto è stata condivisa su forum clandestini, dimostrando come la comunità delle minacce stia esplorando costantemente nuove tecniche per sfuggire alla rilevazione.
L'uso di servizi cloud come Google Calendar come parte di un'infrastruttura di comando e controllo rappresenta una sfida significativa per i difensori. Poiché questi servizi sono legittimi, le attività dannose possono passare inosservate. In passato, il gruppo di esperti di Google TAG (Threat Analysis Group) ha già identificato autori di minacce che sfruttavano servizi Google nelle loro operazioni. Ad esempio, è stato scoperto un gruppo legato all'Iran che utilizzava Gmail come infrastruttura C2 per una backdoor denominata BANANAMAIL.
🎮 Xbox Rivoluziona i Dialoghi di Gioco con l'Intelligenza Artificiale Generativa
L'universo dei videogiochi sta per subire una trasformazione epocale grazie alla partnership pluriennale tra Xbox e Inworld AI. L'obiettivo dichiarato è integrare l'intelligenza artificiale generativa negli strumenti di sviluppo, offrendo agli sviluppatori un potente set di strumenti per migliorare i dialoghi e le narrazioni all'interno dei giochi.
Haiyan Zhang, general manager Xbox per il gaming AI, ha annunciato l'iniziativa attraverso un post sul blog, sottolineando la visione di Xbox di "
Il set di strumenti per l'intelligenza artificiale includerà un "copilota di progettazione IA", progettato per assistere i designer durante la fase esplorativa delle idee. Questo strumento consentirà agli sviluppatori di trasformare prompt in script, alberi di dialogo e missioni, contribuendo a semplificare il processo creativo.
Oltre al copilota di progettazione IA, Xbox introdurrà anche un "motore runtime per personaggi AI", che potrà essere integrato direttamente nei client di gioco. Questa caratteristica aprirà le porte alla creazione di nuove narrazioni e storie, promettendo un'esperienza di gioco più coinvolgente per i giocatori.
Le risposte dei personaggi AI saranno generate dinamicamente dall'IA, sostituendo i tradizionali script fissi che limitano l'interazione nei giochi convenzionali.
Questa innovazione arriva dopo che, all'inizio di quest'anno, gli sviluppatori hanno iniziato a esplorare l'uso dell'IA nei giochi. Esempi recenti includono un video del 28 aprile che mostra dialoghi generati dall'IA nel celebre videogioco The Elder Scrolls V: Skyrim.
In un altro sviluppo, il 29 maggio, Nvidia ha dimostrato l'integrazione del dialogo AI nei PNG dei giochi, consentendo ai giocatori di interagire con i personaggi attraverso una conversazione naturale utilizzando il microfono.
L'universo dei videogiochi sta per subire una trasformazione epocale grazie alla partnership pluriennale tra Xbox e Inworld AI. L'obiettivo dichiarato è integrare l'intelligenza artificiale generativa negli strumenti di sviluppo, offrendo agli sviluppatori un potente set di strumenti per migliorare i dialoghi e le narrazioni all'interno dei giochi.
Haiyan Zhang, general manager Xbox per il gaming AI, ha annunciato l'iniziativa attraverso un post sul blog, sottolineando la visione di Xbox di "
un mondo di opportunità per accelerare la creatività degli sviluppatori di giochi, ridurre la complessità e migliorare le esperienze dei giocatori".Il set di strumenti per l'intelligenza artificiale includerà un "copilota di progettazione IA", progettato per assistere i designer durante la fase esplorativa delle idee. Questo strumento consentirà agli sviluppatori di trasformare prompt in script, alberi di dialogo e missioni, contribuendo a semplificare il processo creativo.
Oltre al copilota di progettazione IA, Xbox introdurrà anche un "motore runtime per personaggi AI", che potrà essere integrato direttamente nei client di gioco. Questa caratteristica aprirà le porte alla creazione di nuove narrazioni e storie, promettendo un'esperienza di gioco più coinvolgente per i giocatori.
Le risposte dei personaggi AI saranno generate dinamicamente dall'IA, sostituendo i tradizionali script fissi che limitano l'interazione nei giochi convenzionali.
Questa innovazione arriva dopo che, all'inizio di quest'anno, gli sviluppatori hanno iniziato a esplorare l'uso dell'IA nei giochi. Esempi recenti includono un video del 28 aprile che mostra dialoghi generati dall'IA nel celebre videogioco The Elder Scrolls V: Skyrim.
In un altro sviluppo, il 29 maggio, Nvidia ha dimostrato l'integrazione del dialogo AI nei PNG dei giochi, consentendo ai giocatori di interagire con i personaggi attraverso una conversazione naturale utilizzando il microfono.
💻 Anonymous Sudan Blocca Cloudflare con un Attacco DDoS: Continua la Serie di Colpi del Gruppo Hacktivista
Il gruppo hacktivista Anonymous Sudan ha colpito nuovamente, questa volta con un massiccio attacco DDoS (Distributed Denial of Service) diretto al sito web di Cloudflare.
La società di sicurezza informatica ha confermato l'attacco e in un comunicato ufficiale, Cloudflare ha chiarito: "
Il gruppo Anonymous Sudan ha rivendicato la responsabilità dell'attacco, sottolineando la durata dell'azione che si è protratta per un'ora.
Attraverso il loro canale Telegram, gli hacktivisti hanno ironizzato su Cloudflare, mettendo in dubbio la capacità del servizio di proteggere le aziende che lo utilizzano.
Anonymous Sudan, attivo dal gennaio 2023, sostiene di mirare a qualsiasi paese contrario al Sudan. Tuttavia, alcuni ricercatori di sicurezza ipotizzano che il gruppo sia un sottogruppo di Killnet, un gruppo minaccioso filo-russo.
L'arsenale di Anonymous Sudan include l'accesso a server privati virtuali (VPS), infrastrutture cloud noleggiate, proxy aperti e strumenti DDoS. In passato, il gruppo ha già attaccato con successo Microsoft, Telegram e, più recentemente, OpenAI, causando interruzioni significative nei servizi di queste aziende.
Il continuo susseguirsi di attacchi da parte di Anonymous Sudan solleva preoccupazioni sulla sicurezza informatica.
Il gruppo hacktivista Anonymous Sudan ha colpito nuovamente, questa volta con un massiccio attacco DDoS (Distributed Denial of Service) diretto al sito web di Cloudflare.
La società di sicurezza informatica ha confermato l'attacco e in un comunicato ufficiale, Cloudflare ha chiarito: "
Per essere chiari, non c’è stata alcuna violazione di Cloudflare. Cloudflare ha subito un attacco DDoS che ha causato problemi di connettività intermittente al sito per alcuni minuti. Questo attacco DDoS non ha influito su alcun servizio o funzionalità del prodotto fornito da Cloudflare e nessun cliente è stato interessato da questo incidente."Il gruppo Anonymous Sudan ha rivendicato la responsabilità dell'attacco, sottolineando la durata dell'azione che si è protratta per un'ora.
Attraverso il loro canale Telegram, gli hacktivisti hanno ironizzato su Cloudflare, mettendo in dubbio la capacità del servizio di proteggere le aziende che lo utilizzano.
Anonymous Sudan, attivo dal gennaio 2023, sostiene di mirare a qualsiasi paese contrario al Sudan. Tuttavia, alcuni ricercatori di sicurezza ipotizzano che il gruppo sia un sottogruppo di Killnet, un gruppo minaccioso filo-russo.
L'arsenale di Anonymous Sudan include l'accesso a server privati virtuali (VPS), infrastrutture cloud noleggiate, proxy aperti e strumenti DDoS. In passato, il gruppo ha già attaccato con successo Microsoft, Telegram e, più recentemente, OpenAI, causando interruzioni significative nei servizi di queste aziende.
Il continuo susseguirsi di attacchi da parte di Anonymous Sudan solleva preoccupazioni sulla sicurezza informatica.
📲 Google Intente Causa contro Truffatori per Falso Chatbot AI Bard
Google ha intrapreso un'azione legale contro tre truffatori anonimi accusati di promuovere una versione fraudolenta del chatbot AI Bard di Google.
La causa, presentata il 13 novembre, afferma che i truffatori hanno utilizzato marchi registrati come "Google", "Google AI" e "Bard" per ingannare le vittime a scaricare malware sui loro dispositivi.
Gli imputati avrebbero creato pagine ingannevoli su social media e contenuti con marchi registrati, invitando gli utenti a scaricare versioni gratuite di Bard e altri prodotti di intelligenza artificiale.
Una volta scaricato, il malware avrebbe colpito principalmente aziende e inserzionisti, sfruttando le credenziali di accesso ai social media degli utenti.
Google ha richiesto al tribunale il risarcimento dei danni, il riconoscimento delle fee legali, un'ingiunzione permanente e tutti i profitti ottenuti dai truffatori.
Questa azione legale si inserisce in un contesto in cui i servizi di intelligenza artificiale, inclusi i chatbot, stanno registrando un notevole aumento degli utenti in tutto il mondo.
Google ha intrapreso un'azione legale contro tre truffatori anonimi accusati di promuovere una versione fraudolenta del chatbot AI Bard di Google.
La causa, presentata il 13 novembre, afferma che i truffatori hanno utilizzato marchi registrati come "Google", "Google AI" e "Bard" per ingannare le vittime a scaricare malware sui loro dispositivi.
Gli imputati avrebbero creato pagine ingannevoli su social media e contenuti con marchi registrati, invitando gli utenti a scaricare versioni gratuite di Bard e altri prodotti di intelligenza artificiale.
Una volta scaricato, il malware avrebbe colpito principalmente aziende e inserzionisti, sfruttando le credenziali di accesso ai social media degli utenti.
Google ha richiesto al tribunale il risarcimento dei danni, il riconoscimento delle fee legali, un'ingiunzione permanente e tutti i profitti ottenuti dai truffatori.
Questa azione legale si inserisce in un contesto in cui i servizi di intelligenza artificiale, inclusi i chatbot, stanno registrando un notevole aumento degli utenti in tutto il mondo.
📚 British Library Colpita da Attacco Ransomware Rhysida: Dati Rubati e Richiesta di Riscatto da 20 BTC
Il gruppo di ransomware Rhysida ha dichiarato di aver orchestrato un attacco informatico alla prestigiosa British Library, annunciando la compromissione dei dati sulla sua piattaforma su Tor.
La British Library, una delle più grandi biblioteche di ricerca al mondo, è stata colpita il 28 ottobre, causando disagi ai servizi locali e Wi-Fi pubblico.
Rhysida ha successivamente affermato di aver trafugato una notevole quantità di "dati impressionanti" e li metterà all'asta per 20 BTC, da consegnare a un singolo acquirente.
La banda minaccia di rendere pubblici i dati entro sette giorni dalla richiesta di riscatto.
L'azienda ha riferito che i dati compromessi sembrano provenire dal reparto risorse umane. I servizi online e alcuni servizi locali sono stati interrotti, con la biblioteca che prevede di ripristinare parzialmente i servizi nelle prossime settimane.
Rhysida è attivo dal maggio 2023 e il recente attacco alla British Library si aggiunge a una lista di almeno 62 aziende vittime. Il gruppo ransomware, noto per colpire "bersagli di opportunità", opera in settori diversi come istruzione, sanità, produzione, tecnologia dell'informazione e governo.
Gli autori di Rhysida utilizzano tattiche sofisticate, compreso l'affitto di strumenti e infrastrutture ransomware come servizio (RaaS). Si ritiene che abbiano sfruttato servizi remoti per ottenere l'accesso iniziale alle reti di destinazione, utilizzando anche tecniche di phishing e vulnerabilità come Zerologon (CVE-2020-1472) di Microsoft.
Il gruppo di ransomware Rhysida ha dichiarato di aver orchestrato un attacco informatico alla prestigiosa British Library, annunciando la compromissione dei dati sulla sua piattaforma su Tor.
La British Library, una delle più grandi biblioteche di ricerca al mondo, è stata colpita il 28 ottobre, causando disagi ai servizi locali e Wi-Fi pubblico.
Rhysida ha successivamente affermato di aver trafugato una notevole quantità di "dati impressionanti" e li metterà all'asta per 20 BTC, da consegnare a un singolo acquirente.
La banda minaccia di rendere pubblici i dati entro sette giorni dalla richiesta di riscatto.
L'azienda ha riferito che i dati compromessi sembrano provenire dal reparto risorse umane. I servizi online e alcuni servizi locali sono stati interrotti, con la biblioteca che prevede di ripristinare parzialmente i servizi nelle prossime settimane.
Rhysida è attivo dal maggio 2023 e il recente attacco alla British Library si aggiunge a una lista di almeno 62 aziende vittime. Il gruppo ransomware, noto per colpire "bersagli di opportunità", opera in settori diversi come istruzione, sanità, produzione, tecnologia dell'informazione e governo.
Gli autori di Rhysida utilizzano tattiche sofisticate, compreso l'affitto di strumenti e infrastrutture ransomware come servizio (RaaS). Si ritiene che abbiano sfruttato servizi remoti per ottenere l'accesso iniziale alle reti di destinazione, utilizzando anche tecniche di phishing e vulnerabilità come Zerologon (CVE-2020-1472) di Microsoft.
⛓ Gestore del Mercato Illecito Monopoli su Dark Web Condannato per Traffico di Droga
Il cittadino serbo Milomir Desnica, 33 anni, ha dichiarato la sua colpevolezza davanti alla Corte distrettuale degli Stati Uniti per il ruolo chiave nella gestione del mercato del Monopoli sul dark web.
Desnica aveva lanciato il Monopoli nel 2019, trasformandolo rapidamente in uno dei principali mercati globali per la compravendita di sostanze illecite, tra cui oppioidi, stimolanti, sostanze psichedeliche e farmaci da prescrizione.
Accusato di associazione a delinquere finalizzata alla distribuzione di metanfetamine, Desnica ha ammesso la sua responsabilità nell'agevolare la vendita di narcotici attraverso il mercato.
L'indagine dell'FBI ha rivelato che il Monopoli ha facilitato la vendita di narcotici per oltre 18 milioni di dollari in tutto il mondo, incluso il traffico di oltre 30 chilogrammi di metanfetamine negli Stati Uniti.
La sentenza è prevista per il 15 febbraio 2024, con il rischio di pena massima dell'ergastolo e sanzioni pecuniarie.
Desnica è stato arrestato in Austria nell'ambito di un'operazione internazionale e poi estradato negli Stati Uniti per affrontare le accuse di traffico di droga.
Il cittadino serbo Milomir Desnica, 33 anni, ha dichiarato la sua colpevolezza davanti alla Corte distrettuale degli Stati Uniti per il ruolo chiave nella gestione del mercato del Monopoli sul dark web.
Desnica aveva lanciato il Monopoli nel 2019, trasformandolo rapidamente in uno dei principali mercati globali per la compravendita di sostanze illecite, tra cui oppioidi, stimolanti, sostanze psichedeliche e farmaci da prescrizione.
Accusato di associazione a delinquere finalizzata alla distribuzione di metanfetamine, Desnica ha ammesso la sua responsabilità nell'agevolare la vendita di narcotici attraverso il mercato.
L'indagine dell'FBI ha rivelato che il Monopoli ha facilitato la vendita di narcotici per oltre 18 milioni di dollari in tutto il mondo, incluso il traffico di oltre 30 chilogrammi di metanfetamine negli Stati Uniti.
La sentenza è prevista per il 15 febbraio 2024, con il rischio di pena massima dell'ergastolo e sanzioni pecuniarie.
Desnica è stato arrestato in Austria nell'ambito di un'operazione internazionale e poi estradato negli Stati Uniti per affrontare le accuse di traffico di droga.
🧐 Incidente di Sicurezza: HTX Perde $13,6 Milioni in un Attacco agli Hot Wallet
Il 22 novembre, l'ecosistema HTX, insieme a Tron e BitTorrent, ha perso circa $13,6 milioni a causa di un exploit che ha colpito il bridge HECO Chain.
Un rapporto di Cyvers, un'azienda di sicurezza blockchain, rivela che l'attacco ha coinvolto tre hot wallet compromessi.
Gli utenti e gli asset dell'exchange sono stati scambiati in Ethereum (ETH) e successivamente distribuiti su vari indirizzi Ethereum.
Il fondatore di Tron e BitTorrent, Justin Sun, che è anche il proprietario de-facto di HTX, ha dichiarato immediatamente dopo l'incidente che HTX avrebbe completamente risarcito le perdite degli hot wallet.
Al fine di proteggere ulteriormente i fondi, sono stati temporaneamente sospesi depositi e prelievi.
L'attuale violazione arriva dopo il rebranding da Huobi Global a HTX, annunciato durante il Token2049 a Singapore. Nonostante gli sforzi per migliorare la sicurezza, l'exchange è ancora vulnerabile agli attacchi.
In risposta all'attacco, il fondatore ha assicurato che tutti i fondi di HTX sono al sicuro e ha invitato la community a rimanere tranquilla mentre vengono indagate le cause dell'exploit.
HTX è attualmente sotto la lente degli investigatori che cercano di comprendere meglio gli eventi che hanno portato alla perdita di milioni di dollari.
Il 22 novembre, l'ecosistema HTX, insieme a Tron e BitTorrent, ha perso circa $13,6 milioni a causa di un exploit che ha colpito il bridge HECO Chain.
Un rapporto di Cyvers, un'azienda di sicurezza blockchain, rivela che l'attacco ha coinvolto tre hot wallet compromessi.
Gli utenti e gli asset dell'exchange sono stati scambiati in Ethereum (ETH) e successivamente distribuiti su vari indirizzi Ethereum.
Il fondatore di Tron e BitTorrent, Justin Sun, che è anche il proprietario de-facto di HTX, ha dichiarato immediatamente dopo l'incidente che HTX avrebbe completamente risarcito le perdite degli hot wallet.
Al fine di proteggere ulteriormente i fondi, sono stati temporaneamente sospesi depositi e prelievi.
L'attuale violazione arriva dopo il rebranding da Huobi Global a HTX, annunciato durante il Token2049 a Singapore. Nonostante gli sforzi per migliorare la sicurezza, l'exchange è ancora vulnerabile agli attacchi.
In risposta all'attacco, il fondatore ha assicurato che tutti i fondi di HTX sono al sicuro e ha invitato la community a rimanere tranquilla mentre vengono indagate le cause dell'exploit.
HTX è attualmente sotto la lente degli investigatori che cercano di comprendere meglio gli eventi che hanno portato alla perdita di milioni di dollari.
🏆 Operazione Internazionale Smantella Gruppo di Ransomware: Colpo alle Reti Criminali
Le forze dell'ordine internazionali, sotto la guida di Europol ed Eurojust e con il supporto della polizia di sette nazioni, hanno condotto con successo un'operazione congiunta che ha portato allo smantellamento del nucleo di un pericoloso gruppo di ransomware con base in Ucraina.
L'operazione ha portato all'arresto del capo del gruppo insieme ad altri quattro membri chiave. In totale, sono stati perquisiti 30 luoghi e sequestrate oltre un centinaio di apparecchiature digitali.
Il gruppo di ransomware, responsabile di attacchi che hanno preso di mira organizzazioni in 71 paesi, utilizzava famiglie di ransomware tra cui LockerGoga, MegaCortex, HIVE e Dharma.
Le perdite causate da questo gruppo criminale sono stimate in diverse centinaia di milioni di euro, colpendo grandi aziende in tutto il mondo.
Il comunicato stampa rilasciato da Eurojust sottolinea l'entità degli attacchi, affermando: "
I membri del gruppo di ransomware avevano ruoli diversificati, partecipando a tentativi di infiltrazione attraverso varie tecniche, dalle e-mail di phishing al malware. Dopo aver ottenuto l'accesso alle reti delle vittime, gli aggressori distribuivano malware come Trickbot o utilizzavano framework post-exploitation come Cobalt Strike o PowerShell Empire.
Il comunicato stampa conclude sottolineando il modus operandi del gruppo criminale: "
Le forze dell'ordine internazionali, sotto la guida di Europol ed Eurojust e con il supporto della polizia di sette nazioni, hanno condotto con successo un'operazione congiunta che ha portato allo smantellamento del nucleo di un pericoloso gruppo di ransomware con base in Ucraina.
L'operazione ha portato all'arresto del capo del gruppo insieme ad altri quattro membri chiave. In totale, sono stati perquisiti 30 luoghi e sequestrate oltre un centinaio di apparecchiature digitali.
Il gruppo di ransomware, responsabile di attacchi che hanno preso di mira organizzazioni in 71 paesi, utilizzava famiglie di ransomware tra cui LockerGoga, MegaCortex, HIVE e Dharma.
Le perdite causate da questo gruppo criminale sono stimate in diverse centinaia di milioni di euro, colpendo grandi aziende in tutto il mondo.
Il comunicato stampa rilasciato da Eurojust sottolinea l'entità degli attacchi, affermando: "
Si ritiene che questi attacchi abbiano colpito oltre 1.800 vittime in 71 paesi."I membri del gruppo di ransomware avevano ruoli diversificati, partecipando a tentativi di infiltrazione attraverso varie tecniche, dalle e-mail di phishing al malware. Dopo aver ottenuto l'accesso alle reti delle vittime, gli aggressori distribuivano malware come Trickbot o utilizzavano framework post-exploitation come Cobalt Strike o PowerShell Empire.
Il comunicato stampa conclude sottolineando il modus operandi del gruppo criminale: "
Dopo essere rimasti inosservati nei sistemi compromessi, a volte per mesi, i criminali distribuivano diversi tipi di ransomware, come LockerGoga, MegaCortex, HIVE o Dharma. Alla vittima è stata quindi presentata una richiesta di riscatto per pagare gli aggressori in bitcoin in cambio di chiavi di decrittazione."⚠️ Rhysida Colpisce Ancora: Violato il Conglomerato Energetico Cinese CEEC
Il gruppo di ransomware Rhysida continua la sua scia di attacchi, questa volta rivolgendo la sua attenzione al conglomerato energetico cinese di proprietà statale China Energy Engineering Corporation (CEEC).
La notizia è stata confermata dal gruppo stesso, che ha incluso l'azienda nella lista delle sue vittime sul suo sito di fuga su Tor.
La CEEC, una delle più grandi società energetiche integrate della Cina, è coinvolta in progetti energetici di vasta portata a livello nazionale e internazionale.
Rhysida sostiene di aver rubato una notevole quantità di "dati impressionanti" e offre di metterli all'asta per 50 BTC, con l'intenzione di vendere i dati a un unico acquirente.
La banda minaccia di rendere pubblici i dati entro sette giorni dalla data dell'annuncio, se il riscatto non verrà pagato.
L'FBI e la CISA hanno emesso un avviso congiunto, nell'ambito dell'iniziativa , per mettere in guardia contro gli attacchi di Rhysida, fornendo informazioni sulle tattiche, le tecniche e le procedure utilizzate dal gruppo fino a settembre 2023.
Rhysida è attivo dal maggio 2023 e, secondo il suo sito su Tor, ha colpito almeno 62 aziende in diversi settori, tra cui istruzione, sanità, produzione, tecnologia dell'informazione e settori governativi.
Il gruppo si concentra su "bersagli di opportunità", colpendo organizzazioni in diversi settori in cui individuano vulnerabilità.
Gli attacchi di Rhysida coinvolgono l'uso di servizi remoti esterni, come VPN e RDP, per ottenere l'accesso iniziale alle reti di destinazione e mantenerne la persistenza. Il gruppo si affida a credenziali compromesse e ha sfruttato vulnerabilità come Zerologon (CVE-2020-1472) nel Netlogon Remote Protocol di Microsoft attraverso tentativi di phishing.
Il modus operandi di Rhysida comprende anche l'utilizzo di tecniche "fuori dal territorio", come l'impiego di strumenti di amministrazione di rete nativi integrati nei sistemi operativi, rendendo le operazioni dannose più difficili da rilevare.
Il gruppo di ransomware Rhysida continua la sua scia di attacchi, questa volta rivolgendo la sua attenzione al conglomerato energetico cinese di proprietà statale China Energy Engineering Corporation (CEEC).
La notizia è stata confermata dal gruppo stesso, che ha incluso l'azienda nella lista delle sue vittime sul suo sito di fuga su Tor.
La CEEC, una delle più grandi società energetiche integrate della Cina, è coinvolta in progetti energetici di vasta portata a livello nazionale e internazionale.
Rhysida sostiene di aver rubato una notevole quantità di "dati impressionanti" e offre di metterli all'asta per 50 BTC, con l'intenzione di vendere i dati a un unico acquirente.
La banda minaccia di rendere pubblici i dati entro sette giorni dalla data dell'annuncio, se il riscatto non verrà pagato.
L'FBI e la CISA hanno emesso un avviso congiunto, nell'ambito dell'iniziativa , per mettere in guardia contro gli attacchi di Rhysida, fornendo informazioni sulle tattiche, le tecniche e le procedure utilizzate dal gruppo fino a settembre 2023.
Rhysida è attivo dal maggio 2023 e, secondo il suo sito su Tor, ha colpito almeno 62 aziende in diversi settori, tra cui istruzione, sanità, produzione, tecnologia dell'informazione e settori governativi.
Il gruppo si concentra su "bersagli di opportunità", colpendo organizzazioni in diversi settori in cui individuano vulnerabilità.
Gli attacchi di Rhysida coinvolgono l'uso di servizi remoti esterni, come VPN e RDP, per ottenere l'accesso iniziale alle reti di destinazione e mantenerne la persistenza. Il gruppo si affida a credenziali compromesse e ha sfruttato vulnerabilità come Zerologon (CVE-2020-1472) nel Netlogon Remote Protocol di Microsoft attraverso tentativi di phishing.
Il modus operandi di Rhysida comprende anche l'utilizzo di tecniche "fuori dal territorio", come l'impiego di strumenti di amministrazione di rete nativi integrati nei sistemi operativi, rendendo le operazioni dannose più difficili da rilevare.
🌬 Nuovo Studio Difende il Mining di Bitcoin: Uno Strumento Critico per l'Energia Pulita
Un recente documento di lavoro redatto da sostenitori di Bitcoin, tra cui Nic Carter e l'ex presidente dell'Electric Reliability Council of Texas (ERCOT), ha sollevato punti interessanti che contrastano con la narrativa comune sull'impatto climatico del mining di Bitcoin.
Il documento, intitolato "Leveraging Bitcoin Miners as Flexible Load Resources for Power System Stability and Efficiency," sottolinea il ruolo critico che il mining di Bitcoin può svolgere nell'energia pulita e nel bilanciamento della rete.
Gli autori sostengono che la natura intrinsecamente interrompibile e la rapida capacità di risposta del mining di Bitcoin potrebbero migliorare la flessibilità della rete, consentendo una migliore integrazione delle fonti di energia rinnovabile variabili.
Il documento fornisce casi studio di miner di Bitcoin che forniscono servizi di rete in Texas, evidenziando le loro capacità uniche come carichi flessibili e controllabili. Gli autori concludono suggerendo che i miner di Bitcoin possono rafforzare la stabilità tecnica ed economica della rete.
Le argomentazioni presentate nel documento vanno contro le affermazioni di alcuni politici anti-crypto che hanno incolpato i miner di Bitcoin per l'elevato consumo di energia. A ottobre 2022, la senatrice degli Stati Uniti Elizabeth Warren aveva pressato l'ERCOT per informazioni dettagliate sul consumo di elettricità delle operazioni di mining di Bitcoin.
Il pioniere del mining di Bitcoin, Marshall Long, ha risposto al documento su Twitter taggando la senatrice Warren, affermando che le persone che gestiscono le reti sostengono che le sue affermazioni sono errate.
I ricercatori hanno concluso che l'impatto complessivo di Bitcoin sulla domanda globale di energia e sui cambiamenti climatici "rimane complesso". Tuttavia, i dati emergenti suggeriscono che gli effetti potrebbero essere più articolati di quanto comunemente creduto.
Uno studio recente della Cornell University ha anche dimostrato come i progetti eolici e solari possano trarre profitto dal mining di Bitcoin.
Inoltre, innovazioni come le farm di idro-raffreddamento e l'uso di gas di petrolio associato hanno contribuito a rendere il mining di Bitcoin più sostenibile.
Un recente documento di lavoro redatto da sostenitori di Bitcoin, tra cui Nic Carter e l'ex presidente dell'Electric Reliability Council of Texas (ERCOT), ha sollevato punti interessanti che contrastano con la narrativa comune sull'impatto climatico del mining di Bitcoin.
Il documento, intitolato "Leveraging Bitcoin Miners as Flexible Load Resources for Power System Stability and Efficiency," sottolinea il ruolo critico che il mining di Bitcoin può svolgere nell'energia pulita e nel bilanciamento della rete.
Gli autori sostengono che la natura intrinsecamente interrompibile e la rapida capacità di risposta del mining di Bitcoin potrebbero migliorare la flessibilità della rete, consentendo una migliore integrazione delle fonti di energia rinnovabile variabili.
Il documento fornisce casi studio di miner di Bitcoin che forniscono servizi di rete in Texas, evidenziando le loro capacità uniche come carichi flessibili e controllabili. Gli autori concludono suggerendo che i miner di Bitcoin possono rafforzare la stabilità tecnica ed economica della rete.
Le argomentazioni presentate nel documento vanno contro le affermazioni di alcuni politici anti-crypto che hanno incolpato i miner di Bitcoin per l'elevato consumo di energia. A ottobre 2022, la senatrice degli Stati Uniti Elizabeth Warren aveva pressato l'ERCOT per informazioni dettagliate sul consumo di elettricità delle operazioni di mining di Bitcoin.
Il pioniere del mining di Bitcoin, Marshall Long, ha risposto al documento su Twitter taggando la senatrice Warren, affermando che le persone che gestiscono le reti sostengono che le sue affermazioni sono errate.
I ricercatori hanno concluso che l'impatto complessivo di Bitcoin sulla domanda globale di energia e sui cambiamenti climatici "rimane complesso". Tuttavia, i dati emergenti suggeriscono che gli effetti potrebbero essere più articolati di quanto comunemente creduto.
Uno studio recente della Cornell University ha anche dimostrato come i progetti eolici e solari possano trarre profitto dal mining di Bitcoin.
Inoltre, innovazioni come le farm di idro-raffreddamento e l'uso di gas di petrolio associato hanno contribuito a rendere il mining di Bitcoin più sostenibile.
🛩 Ucraina Annuncia Attacco Hacker a Rosaviatsia: Rivelazioni sull'Aviazione Russa in Crisi
Un recente annuncio dei servizi segreti ucraini ha svelato un audace attacco hacker contro l'agenzia federale russa per il trasporto aereo, Rosaviatsia.
L'operazione informatica speciale è stata definita un successo, con l'acquisizione di un vasto volume di documenti riservati che gettano luce sulla situazione critica dell'aviazione civile russa.
Secondo l'intelligence della difesa ucraina, i dati ottenuti dall'hacking includono un elenco dettagliato di rapporti giornalieri di Rosaviatsia per oltre un anno e mezzo.
Le rivelazioni puntano a una serie di problemi nel settore dell'aviazione russa, attribuiti principalmente alle sanzioni internazionali e all'embargo sui pezzi di ricambio.
Tra i principali punti emersi dai documenti rubati: Nel gennaio 2023, sono stati registrati 185 incidenti nell'aviazione civile russa, con un terzo classificato come incidenti con diversi livelli di pericolo. Il "dry superjet" russo è stato coinvolto in 34 casi di emergenza; nei primi nove mesi del 2023, i malfunzionamenti degli aerei in Russia sono aumentati a 150 rispetto ai 50 registrati nello stesso periodo del 2022, triplicando il rischio per la sicurezza dei voli; la mancanza di pezzi di ricambio ha portato a pratiche di "cannibalismo aereo", con oltre il 35% degli aerei donati per riparare gli altri; e l'uso di manutenzione non certificata e la scarsità di specialisti hanno creato una crisi nel settore.
La relazione sottolinea che questi problemi mettono in pericolo la sicurezza degli abitanti russi e cerca di nascondere le difficoltà dell'aviazione civile russa.
Un recente annuncio dei servizi segreti ucraini ha svelato un audace attacco hacker contro l'agenzia federale russa per il trasporto aereo, Rosaviatsia.
L'operazione informatica speciale è stata definita un successo, con l'acquisizione di un vasto volume di documenti riservati che gettano luce sulla situazione critica dell'aviazione civile russa.
Secondo l'intelligence della difesa ucraina, i dati ottenuti dall'hacking includono un elenco dettagliato di rapporti giornalieri di Rosaviatsia per oltre un anno e mezzo.
Le rivelazioni puntano a una serie di problemi nel settore dell'aviazione russa, attribuiti principalmente alle sanzioni internazionali e all'embargo sui pezzi di ricambio.
Tra i principali punti emersi dai documenti rubati: Nel gennaio 2023, sono stati registrati 185 incidenti nell'aviazione civile russa, con un terzo classificato come incidenti con diversi livelli di pericolo. Il "dry superjet" russo è stato coinvolto in 34 casi di emergenza; nei primi nove mesi del 2023, i malfunzionamenti degli aerei in Russia sono aumentati a 150 rispetto ai 50 registrati nello stesso periodo del 2022, triplicando il rischio per la sicurezza dei voli; la mancanza di pezzi di ricambio ha portato a pratiche di "cannibalismo aereo", con oltre il 35% degli aerei donati per riparare gli altri; e l'uso di manutenzione non certificata e la scarsità di specialisti hanno creato una crisi nel settore.
La relazione sottolinea che questi problemi mettono in pericolo la sicurezza degli abitanti russi e cerca di nascondere le difficoltà dell'aviazione civile russa.
💣 Gruppo legato ad Hamas utilizza Backdoor SysJoker in Attacchi contro Entità Israeliane
Recenti ricerche condotte da Check Point hanno rivelato che un gruppo legato ad Hamas sta attualmente utilizzando la backdoor SysJoker in attacchi diretti a entità israeliane.
La backdoor SysJoker, scoperta per la prima volta da esperti di sicurezza di Intezer nel dicembre 2021, ha dimostrato la sua pericolosità, essendo in grado di infettare sistemi operativi Windows, macOS e Linux.
La versione specificamente impiegata in questi attacchi contro Israele è stata scritta in linguaggio Rust, indicando una possibile riscrittura completa del malware.
Nonostante questa riscrittura, il codice dannoso mantiene le stesse funzionalità delle varianti precedenti. Un cambiamento significativo è l'utilizzo di OneDrive anziché Google Drive per archiviare gli URL dinamici dei server di comando e controllo (C2), consentendo agli aggressori di adattarsi più facilmente a diversi servizi basati sulla reputazione.
La backdoor SysJoker è progettata per raccogliere informazioni dettagliate sui sistemi infetti, come la versione di Windows, il nome utente e l'indirizzo MAC, inviandole all'endpoint API sul server C2.
Una volta registrato con il server C2, il malware avvia il ciclo principale, ricevendo istruzioni attraverso richieste JSON. Le azioni possono variare, ma la backdoor è capace di eseguire comandi dannosi sul sistema infetto.
La scoperta di due campioni SysJoker aggiuntivi, più complessi della versione Rust, sottolinea la persistenza e l'evoluzione delle minacce informatiche legate a questo gruppo.
L'analisi indica che SysJoker, originariamente individuato nel 2021, è stato utilizzato in relazione al conflitto Israele-Hamas, fornendo ulteriori prove dell'implicazione di questo malware in contesti geopolitici sensibili.
Inoltre, la transizione del malware da C++ a Rust suggerisce una riscrittura completa, aprendo la possibilità di modifiche e miglioramenti futuri da parte degli attori di minacce.
Recenti ricerche condotte da Check Point hanno rivelato che un gruppo legato ad Hamas sta attualmente utilizzando la backdoor SysJoker in attacchi diretti a entità israeliane.
La backdoor SysJoker, scoperta per la prima volta da esperti di sicurezza di Intezer nel dicembre 2021, ha dimostrato la sua pericolosità, essendo in grado di infettare sistemi operativi Windows, macOS e Linux.
La versione specificamente impiegata in questi attacchi contro Israele è stata scritta in linguaggio Rust, indicando una possibile riscrittura completa del malware.
Nonostante questa riscrittura, il codice dannoso mantiene le stesse funzionalità delle varianti precedenti. Un cambiamento significativo è l'utilizzo di OneDrive anziché Google Drive per archiviare gli URL dinamici dei server di comando e controllo (C2), consentendo agli aggressori di adattarsi più facilmente a diversi servizi basati sulla reputazione.
La backdoor SysJoker è progettata per raccogliere informazioni dettagliate sui sistemi infetti, come la versione di Windows, il nome utente e l'indirizzo MAC, inviandole all'endpoint API sul server C2.
Una volta registrato con il server C2, il malware avvia il ciclo principale, ricevendo istruzioni attraverso richieste JSON. Le azioni possono variare, ma la backdoor è capace di eseguire comandi dannosi sul sistema infetto.
La scoperta di due campioni SysJoker aggiuntivi, più complessi della versione Rust, sottolinea la persistenza e l'evoluzione delle minacce informatiche legate a questo gruppo.
L'analisi indica che SysJoker, originariamente individuato nel 2021, è stato utilizzato in relazione al conflitto Israele-Hamas, fornendo ulteriori prove dell'implicazione di questo malware in contesti geopolitici sensibili.
Inoltre, la transizione del malware da C++ a Rust suggerisce una riscrittura completa, aprendo la possibilità di modifiche e miglioramenti futuri da parte degli attori di minacce.
🚨 Collaborazione Inaspettata tra Gruppi di Ransomware: BianLian, White Rabbit e Mario
Recenti indagini condotte da Resecurity hanno rivelato un inaspettato legame tra tre noti gruppi di ransomware: BianLian, White Rabbit e Mario.
Secondo uno studio l'unità HUNTER di Resecurity ha individuato una collaborazione attiva tra questi gruppi nella realizzazione di una campagna di estorsione contro società di servizi finanziari quotate in borsa, con particolare focus nella regione APAC.
L'attacco, basato su un sofisticato utilizzo di "password spraying", ha coinvolto l'impiego di indirizzi IP associati a un attacco simultaneo condotto da tutti e tre i gruppi di ransomware.
La peculiarità di questa collaborazione risiede nel fatto che i malintenzionati hanno adottato un approccio di Business Email Compromise (BEC) come vettore principale, utilizzando account di posta elettronica compromessi di altre organizzazioni per inviare richieste di pagamento del riscatto in modo anonimo.
La cooperazione tra queste bande di ransomware è un fenomeno relativamente raro ma potrebbe diventare più comune con l'implicazione degli Initial Access Broker (IAB), che facilitano la collaborazione tra gruppi sul Dark Web.
La flessibilità offerta dagli IAB nel mondo criminale informatico contribuisce a creare un panorama delle minacce più fluido, con operatori di ransomware che possono spostarsi tra gruppi in cerca delle condizioni finanziarie più vantaggiose.
L'entrata in vigore, il 18 dicembre, dei nuovi requisiti di informativa della Securities and Exchange Commission (SEC) rappresenta un ulteriore stimolo per i gruppi di ransomware.
Resecurity prevede un aumento significativo degli attacchi informatici, specialmente contro le organizzazioni quotate, con un picco di attività durante le festività natalizie.
Recenti indagini condotte da Resecurity hanno rivelato un inaspettato legame tra tre noti gruppi di ransomware: BianLian, White Rabbit e Mario.
Secondo uno studio l'unità HUNTER di Resecurity ha individuato una collaborazione attiva tra questi gruppi nella realizzazione di una campagna di estorsione contro società di servizi finanziari quotate in borsa, con particolare focus nella regione APAC.
L'attacco, basato su un sofisticato utilizzo di "password spraying", ha coinvolto l'impiego di indirizzi IP associati a un attacco simultaneo condotto da tutti e tre i gruppi di ransomware.
La peculiarità di questa collaborazione risiede nel fatto che i malintenzionati hanno adottato un approccio di Business Email Compromise (BEC) come vettore principale, utilizzando account di posta elettronica compromessi di altre organizzazioni per inviare richieste di pagamento del riscatto in modo anonimo.
La cooperazione tra queste bande di ransomware è un fenomeno relativamente raro ma potrebbe diventare più comune con l'implicazione degli Initial Access Broker (IAB), che facilitano la collaborazione tra gruppi sul Dark Web.
La flessibilità offerta dagli IAB nel mondo criminale informatico contribuisce a creare un panorama delle minacce più fluido, con operatori di ransomware che possono spostarsi tra gruppi in cerca delle condizioni finanziarie più vantaggiose.
L'entrata in vigore, il 18 dicembre, dei nuovi requisiti di informativa della Securities and Exchange Commission (SEC) rappresenta un ulteriore stimolo per i gruppi di ransomware.
Resecurity prevede un aumento significativo degli attacchi informatici, specialmente contro le organizzazioni quotate, con un picco di attività durante le festività natalizie.
🇬🇧 Allarme Ransomware: Il Regno Unito Potrebbe Affrontare un Attacco Catastrofico, Avverte il Comitato per la Strategia di Sicurezza Nazionale
Il governo britannico è sotto accusa per la sua presunta incapacità di mitigare il rischio di attacchi ransomware, con un recente rapporto del Comitato congiunto sulla strategia di sicurezza nazionale (JCNSS) che avverte della possibilità di un "attacco ransomware catastrofico in qualsiasi momento".
Il documento ha evidenziato l'approccio ritenuto superficiale del governo alla sicurezza informatica, in particolare sotto la gestione di Suella Braverman, ex ministro dell'Interno.
Il JCNSS ha criticato i risultati pubblici del Ministero degli Interni sulla sicurezza informatica, sottolineando la mancanza di attenzione nei confronti di temi cruciali a favore di questioni come le piccole imbarcazioni e l'immigrazione clandestina.
Dame Margaret Beckett, presidente del JCNSS, ha sottolineato il ruolo rilevante del Regno Unito come una delle nazioni più colpite dagli attacchi informatici e ha affermato che gli investimenti e la risposta del governo non sono all'altezza della minaccia.
Il rapporto ha esortato a un cambio di responsabilità, spostando la gestione della sicurezza da Ministero degli Interni e Cabinet Office all'NCSC.
Lindy Cameron, amministratore delegato dell'NCSC, ha sottolineato la pericolosità del ransomware, ma il rapporto evidenzia un mancato interesse proporzionato da parte ministeriale.
Si propone un potenziamento dell'NCSC con un programma dedicato di resilienza informatica per le autorità locali.
Il rapporto propone anche un aumento degli investimenti nell'NCSC e nell'NCA per contrastare gli attacchi ransomware e sostenere le organizzazioni sotto attacco.
Nonostante le critiche, il governo ha assicurato che il Ministero degli Interni manterrà il suo ruolo principale nella lotta alle minacce informatiche contro il paese.
Il governo britannico è sotto accusa per la sua presunta incapacità di mitigare il rischio di attacchi ransomware, con un recente rapporto del Comitato congiunto sulla strategia di sicurezza nazionale (JCNSS) che avverte della possibilità di un "attacco ransomware catastrofico in qualsiasi momento".
Il documento ha evidenziato l'approccio ritenuto superficiale del governo alla sicurezza informatica, in particolare sotto la gestione di Suella Braverman, ex ministro dell'Interno.
Il JCNSS ha criticato i risultati pubblici del Ministero degli Interni sulla sicurezza informatica, sottolineando la mancanza di attenzione nei confronti di temi cruciali a favore di questioni come le piccole imbarcazioni e l'immigrazione clandestina.
Dame Margaret Beckett, presidente del JCNSS, ha sottolineato il ruolo rilevante del Regno Unito come una delle nazioni più colpite dagli attacchi informatici e ha affermato che gli investimenti e la risposta del governo non sono all'altezza della minaccia.
Il rapporto ha esortato a un cambio di responsabilità, spostando la gestione della sicurezza da Ministero degli Interni e Cabinet Office all'NCSC.
Lindy Cameron, amministratore delegato dell'NCSC, ha sottolineato la pericolosità del ransomware, ma il rapporto evidenzia un mancato interesse proporzionato da parte ministeriale.
Si propone un potenziamento dell'NCSC con un programma dedicato di resilienza informatica per le autorità locali.
Il rapporto propone anche un aumento degli investimenti nell'NCSC e nell'NCA per contrastare gli attacchi ransomware e sostenere le organizzazioni sotto attacco.
Nonostante le critiche, il governo ha assicurato che il Ministero degli Interni manterrà il suo ruolo principale nella lotta alle minacce informatiche contro il paese.
🚩 Il GXC Team e l'Intelligenza Artificiale: Una Nuova Minaccia Emergente nella Criminalità Informatica
Nel buio mondo della criminalità informatica, un nuovo gruppo di cybercriminali noto come "GXC Team" ha recentemente fatto parlare di sé con l'introduzione di uno strumento avanzato che utilizza l'intelligenza artificiale (AI) per creare fatture fraudolente.
Questo strumento, denominato "Business Invoice Swapper", è stato presentato attraverso annunci sul Dark Web.
La fazione criminale, guidata dal misterioso "googleXcoder", ha dimostrato la capacità di adattarsi alle nuove tecnologie, sfruttando l'AI per rendere più sofisticate le loro operazioni. L'AI offre vantaggi specifici, e l'emergere di piattaforme come FraudGPT e WormGPT, basate su Large Language Models, ha rappresentato un punto di svolta nella loro strategia.
Questi strumenti consentono la creazione di campagne BEC complesse, la generazione di contenuti per lo spam "Money Mule", e forniscono strategie e strumenti dannosi predefiniti.
L'ultimo aggiornamento dell'AI-MONEY-2, è progettato per alterare le informazioni bancarie nelle fatture, sostituendole con dettagli specificati dal criminale. Questo processo di "swapping" avviene in modo automatico, grazie agli algoritmi di rilevamento proprietari implementati.
L'intelligenza artificiale offre un supporto cruciale per l'automazione delle operazioni criminali, dalla generazione di contenuti dannosi al bypassare filtri antifrode e controlli di sicurezza informatica.
GXC Team ha acquisito notorietà precedentemente per la creazione di una vasta gamma di strumenti di frode online, inclusi kit di phishing sofisticati, strumenti di furti bancari online e applicazioni Android dannose che imitano le applicazioni ufficiali di mobile banking.
Nel buio mondo della criminalità informatica, un nuovo gruppo di cybercriminali noto come "GXC Team" ha recentemente fatto parlare di sé con l'introduzione di uno strumento avanzato che utilizza l'intelligenza artificiale (AI) per creare fatture fraudolente.
Questo strumento, denominato "Business Invoice Swapper", è stato presentato attraverso annunci sul Dark Web.
La fazione criminale, guidata dal misterioso "googleXcoder", ha dimostrato la capacità di adattarsi alle nuove tecnologie, sfruttando l'AI per rendere più sofisticate le loro operazioni. L'AI offre vantaggi specifici, e l'emergere di piattaforme come FraudGPT e WormGPT, basate su Large Language Models, ha rappresentato un punto di svolta nella loro strategia.
Questi strumenti consentono la creazione di campagne BEC complesse, la generazione di contenuti per lo spam "Money Mule", e forniscono strategie e strumenti dannosi predefiniti.
L'ultimo aggiornamento dell'AI-MONEY-2, è progettato per alterare le informazioni bancarie nelle fatture, sostituendole con dettagli specificati dal criminale. Questo processo di "swapping" avviene in modo automatico, grazie agli algoritmi di rilevamento proprietari implementati.
L'intelligenza artificiale offre un supporto cruciale per l'automazione delle operazioni criminali, dalla generazione di contenuti dannosi al bypassare filtri antifrode e controlli di sicurezza informatica.
GXC Team ha acquisito notorietà precedentemente per la creazione di una vasta gamma di strumenti di frode online, inclusi kit di phishing sofisticati, strumenti di furti bancari online e applicazioni Android dannose che imitano le applicazioni ufficiali di mobile banking.
🚨 Il Generatore di Ransomware Zeppelin in Vendita nel Dark Web: Un Pericolo Amplificato
Recentemente, i ricercatori di sicurezza informatica della società KELA hanno scoperto che un hacker ha messo in vendita il codice sorgente e una versione crackata del generatore di ransomware Zeppelin per soli 500 dollari.
Questa rivelazione solleva nuove preoccupazioni riguardo alla proliferazione delle minacce ransomware, amplificata dalla vendita di strumenti di creazione di malware nel Dark Web.
Il venditore, noto online come RET, ha specificato di aver ceduto il pacchetto a un singolo acquirente e ha dichiarato che non sarà disponibile per altri clienti.
La vendita comprende il codice sorgente completo e una versione del builder del ransomware Zeppelin che è stata craccata per eludere le restrizioni di licenza.
L'hacker ha chiarito di non essere l'autore originale del ransomware, affermando di aver acquistato il pacchetto senza licenza e di aver successivamente bypassato le protezioni del builder.
Questo significa che il compratore potrebbe ora utilizzare il codice sorgente per creare un nuovo ceppo di ransomware e avviare un'operazione di attacco ransomware indipendente.
Il ransomware Zeppelin è emerso per la prima volta nel novembre 2019 e ha rapidamente guadagnato notorietà per gli attacchi contro una vasta gamma di settori, compresi tecnologia, sanità, difesa, e istruzione.
Distribuito attraverso attacchi wateringhole e sfruttando i payload di PowerShell su siti come Pastebin, Zeppelin è stato coinvolto in operazioni in Europa, Stati Uniti e Canada.
Gli autori di Zeppelin sono noti per utilizzare diversi vettori di attacco, tra cui lo sfruttamento di RDP, vulnerabilità del firewall SonicWall e attacchi di phishing.
Un elemento distintivo del ransomware Zeppelin è la sua pratica di doppia estorsione, minacciando di rilasciare dati rubati nel caso in cui le vittime rifiutino di pagare il riscatto.
Recentemente, i ricercatori di sicurezza informatica della società KELA hanno scoperto che un hacker ha messo in vendita il codice sorgente e una versione crackata del generatore di ransomware Zeppelin per soli 500 dollari.
Questa rivelazione solleva nuove preoccupazioni riguardo alla proliferazione delle minacce ransomware, amplificata dalla vendita di strumenti di creazione di malware nel Dark Web.
Il venditore, noto online come RET, ha specificato di aver ceduto il pacchetto a un singolo acquirente e ha dichiarato che non sarà disponibile per altri clienti.
La vendita comprende il codice sorgente completo e una versione del builder del ransomware Zeppelin che è stata craccata per eludere le restrizioni di licenza.
L'hacker ha chiarito di non essere l'autore originale del ransomware, affermando di aver acquistato il pacchetto senza licenza e di aver successivamente bypassato le protezioni del builder.
Questo significa che il compratore potrebbe ora utilizzare il codice sorgente per creare un nuovo ceppo di ransomware e avviare un'operazione di attacco ransomware indipendente.
Il ransomware Zeppelin è emerso per la prima volta nel novembre 2019 e ha rapidamente guadagnato notorietà per gli attacchi contro una vasta gamma di settori, compresi tecnologia, sanità, difesa, e istruzione.
Distribuito attraverso attacchi wateringhole e sfruttando i payload di PowerShell su siti come Pastebin, Zeppelin è stato coinvolto in operazioni in Europa, Stati Uniti e Canada.
Gli autori di Zeppelin sono noti per utilizzare diversi vettori di attacco, tra cui lo sfruttamento di RDP, vulnerabilità del firewall SonicWall e attacchi di phishing.
Un elemento distintivo del ransomware Zeppelin è la sua pratica di doppia estorsione, minacciando di rilasciare dati rubati nel caso in cui le vittime rifiutino di pagare il riscatto.
👨👧👦 Arrestato Wetty, fiero moderatore di un sito di abusi sessuali su minori
Brett Saunders, 50 anni, residente a Swindon, considerava un onore essere designato come "Moderatore Globale" del sito dark web di abusi sessuali su minori. Saunders aveva il compito di decidere chi potesse accedere al sito, che contava oltre 2000 membri.
Le indagini condotte dalla NCA si sono concentrate su un moderatore identificato con lo pseudonimo "Wetty". Wetty era responsabile della gestione del portale degli ospiti del sito, assegnando o sottraendo punti reputazione per determinare l'ammissione di nuovi membri. Assicurava anche il rispetto delle regole del sito e rispondeva alle domande degli utenti, partecipando attivamente alle discussioni e fornendo consigli su come evitare la rilevazione da parte delle forze dell'ordine.
Le indagini su Wetty hanno portato all'identificazione di Saunders, e gli investigatori hanno eseguito perquisizioni e arresti presso la sua abitazione nell'agosto del 2022.
L'analisi dell'account di Saunders ha rivelato oltre 3.000 post attribuibili a Saunders. Gli investigatori hanno accertato che Saunders aveva caricato 115 immagini e video di abusi su minori sul sito, con il recupero di ulteriori 65.000 file di materiale correlato dai suoi dispositivi.
Interrogato, Saunders ha ammesso di essere un Moderatore Globale del sito e di aver caricato immagini di abuso su minori sul sito.
I messaggi privati recuperati dal suo account hanno rivelato che, quando un altro membro lo ha congratulato per la promozione a Moderatore Globale, ha detto: "
Citazione di Adam Priestley della NCA: "
Dopo il suo arresto, la polizia di Wiltshire ha accusato Saunders di violare l'ordine di prevenzione del danno sessuale che gli era stato imposto al momento del rilascio dalla prigione per i suoi precedenti reati di abuso su minori.
È stato riconosciuto colpevole della violazione e condannato a due anni e otto mesi di prigione.
Alla fine del 2023, è stato accusato di altri nove capi d'accusa, tra cui facilitazione dello sfruttamento sessuale di un minore sotto i 13 anni, partecipazione alle attività criminali di un gruppo organizzato, distribuzione e produzione di immagini indecenti di minori nelle categorie A-C e possesso di un'immagine proibita di un minore.
Saunders è stato dichiarato colpevole di tutte le accuse il 19 gennaio 2024, presso il Tribunale di Swindon. Sarà condannato il 5 marzo.
Brett Saunders, 50 anni, residente a Swindon, considerava un onore essere designato come "Moderatore Globale" del sito dark web di abusi sessuali su minori. Saunders aveva il compito di decidere chi potesse accedere al sito, che contava oltre 2000 membri.
Le indagini condotte dalla NCA si sono concentrate su un moderatore identificato con lo pseudonimo "Wetty". Wetty era responsabile della gestione del portale degli ospiti del sito, assegnando o sottraendo punti reputazione per determinare l'ammissione di nuovi membri. Assicurava anche il rispetto delle regole del sito e rispondeva alle domande degli utenti, partecipando attivamente alle discussioni e fornendo consigli su come evitare la rilevazione da parte delle forze dell'ordine.
Le indagini su Wetty hanno portato all'identificazione di Saunders, e gli investigatori hanno eseguito perquisizioni e arresti presso la sua abitazione nell'agosto del 2022.
L'analisi dell'account di Saunders ha rivelato oltre 3.000 post attribuibili a Saunders. Gli investigatori hanno accertato che Saunders aveva caricato 115 immagini e video di abusi su minori sul sito, con il recupero di ulteriori 65.000 file di materiale correlato dai suoi dispositivi.
Interrogato, Saunders ha ammesso di essere un Moderatore Globale del sito e di aver caricato immagini di abuso su minori sul sito.
I messaggi privati recuperati dal suo account hanno rivelato che, quando un altro membro lo ha congratulato per la promozione a Moderatore Globale, ha detto: "
Grazie... Devo dire che è stata una sorpresa per me! Non sono sicuro di cosa abbia fatto per meritare questo onore, ma cercherò di continuare a farlo al meglio delle mie capacità!"Citazione di Adam Priestley della NCA: "
Brett Saunders è direttamente responsabile di facilitare l'abuso sessuale su minori. È entrato a far parte di una comunità globale di pedofili per soddisfare i propri interessi sessuali nei confronti dei minori, e la sua dedizione a questa piattaforma è stata tale che è stato nominato moderatore. Era evidente che prendesse questo ruolo estremamente seriamente, investendo una quantità significativa di tempo nel mantenere il sito operativo, oltre a svolgere un lavoro a tempo pieno.
Il sito ospitava video, immagini e discussioni orribili sull'abuso su minori, alcune delle quali Saunders aveva postato lui stesso o incoraggiato attivamente gli altri a farlo.
Lo faceva con sfacciataggine, presumendo chiaramente che fosse protetto dall’anonimato del dark web. La NCA si concentra nel mirare siti web oscuri come questi, che svolgono un ruolo enorme nella normalizzazione degli abusi. Abbiamo la capacità di individuare i trasgressori di massimo danno che cercano di nascondersi in questi spazi e ci impegniamo a portarli davanti alla giustizia."Dopo il suo arresto, la polizia di Wiltshire ha accusato Saunders di violare l'ordine di prevenzione del danno sessuale che gli era stato imposto al momento del rilascio dalla prigione per i suoi precedenti reati di abuso su minori.
È stato riconosciuto colpevole della violazione e condannato a due anni e otto mesi di prigione.
Alla fine del 2023, è stato accusato di altri nove capi d'accusa, tra cui facilitazione dello sfruttamento sessuale di un minore sotto i 13 anni, partecipazione alle attività criminali di un gruppo organizzato, distribuzione e produzione di immagini indecenti di minori nelle categorie A-C e possesso di un'immagine proibita di un minore.
Saunders è stato dichiarato colpevole di tutte le accuse il 19 gennaio 2024, presso il Tribunale di Swindon. Sarà condannato il 5 marzo.