📋 FBI: credenziali accademiche statunitensi compromesse disponibili su vari forum del DarkWeb
L'FBI ha emesso un avviso per informare il settore dell'istruzione superiore sulla disponibilità di credenziali di accesso sui vari forum del DarkWeb che possono essere utilizzate dagli attori delle minacce per lanciare attacchi contro individui e organizzazioni del settore. La disponibilità di questi dati è il risultato di continui attacchi condotti dagli autori delle minacce contro college e università statunitensi. L'avviso include anche raccomandazioni e mitigazioni per questi attacchi.
I truffatori ottengono le informazioni conducendo attacchi di spear-phishing o altri mezzi.
Nel 2017, i truffatori hanno lanciato una campagna di phishing contro le università per compromettere gli account .edu. Gli aggressori hanno creato false pagine di accesso all'università e hanno incorporato un collegamento per la raccolta delle credenziali nelle e-mail di phishing.
Alla fine del 2020, le credenziali per le università con sede negli Stati Uniti sono state trovate in vendita sul DarkWeb. Il venditore ha elencato circa 2.000 credenziali univoche.
Nel maggio 2021, i triffatori hanno offerto più di 36.000 credenziali di accesso per account di posta elettronica .edu e pubblicizzato i dati sui molteplici forum del DarkWeb.
A gennaio 2022, sono stati osservati agli attori delle minacce che offrivano in vendita credenziali di accesso alla rete e alla VPN appartenenti a università e college con sede negli Stati Uniti sui forum russi.
L'FBI ha emesso un avviso per informare il settore dell'istruzione superiore sulla disponibilità di credenziali di accesso sui vari forum del DarkWeb che possono essere utilizzate dagli attori delle minacce per lanciare attacchi contro individui e organizzazioni del settore. La disponibilità di questi dati è il risultato di continui attacchi condotti dagli autori delle minacce contro college e università statunitensi. L'avviso include anche raccomandazioni e mitigazioni per questi attacchi.
I truffatori ottengono le informazioni conducendo attacchi di spear-phishing o altri mezzi.
Nel 2017, i truffatori hanno lanciato una campagna di phishing contro le università per compromettere gli account .edu. Gli aggressori hanno creato false pagine di accesso all'università e hanno incorporato un collegamento per la raccolta delle credenziali nelle e-mail di phishing.
Alla fine del 2020, le credenziali per le università con sede negli Stati Uniti sono state trovate in vendita sul DarkWeb. Il venditore ha elencato circa 2.000 credenziali univoche.
Nel maggio 2021, i triffatori hanno offerto più di 36.000 credenziali di accesso per account di posta elettronica .edu e pubblicizzato i dati sui molteplici forum del DarkWeb.
A gennaio 2022, sono stati osservati agli attori delle minacce che offrivano in vendita credenziali di accesso alla rete e alla VPN appartenenti a università e college con sede negli Stati Uniti sui forum russi.
🇷🇺 La Russia fallisce nella sua missione di destabilizzare le reti ucraine
La Russia sta fallendo nella sua missione di scuotere la resilienza informatica dell'Ucraina mentre il paese continua a contrastare con successo gli attacchi informatici del suo oppressore.
Questo è stato il risultato della conferenza WithSecure's Sphere tenutasi nei giorni scorsi a Helsinki, in Finlandia. Il capo della ricerca Mikko Hyppönen ha infatti dichiarato ai partecipanti che il regime di Putin "sta in gran parte fallendo".
Durante l'evento, Mikko ha anche condiviso informazioni sul conflitto tra i due paesi, che è in corso ormai da più di tre mesi.
Da prima ancora che la sua invasione dell'Ucraina iniziasse il 24 febbraio 2022, la Russia ha condotto una serie di attacchi informatici sia contro l'infrastruttura internet del paese che altri servizi critici nel tentativo di destabilizzare l'Ucraina.
Hyppönen ha detto: "
“
I suoi commenti arrivano quando il regolatore finanziario tedesco BaFin ha avvertito questa settimana (31 maggio) che i mercati finanziari europei dovrebbero essere in massima allerta a seguito di un recente aumento degli attacchi informatici.
In un avviso di sicurezza, BaFin ha affermato che una serie di attacchi DDoS (Distributed Denial-of-Service) avevano preso di mira banche e servizi finanziari tedeschi. Questi attacchi molto probabilmente provengono dalla Russia, che continua a subire sanzioni economiche dopo l'invasione dell'Ucraina.
Hyppönen ha infine concluso il suo discorso incoraggiando una maggiore collaborazione tra nazioni europee ed extraeuropee, come gli Stati Uniti.
La Russia sta fallendo nella sua missione di scuotere la resilienza informatica dell'Ucraina mentre il paese continua a contrastare con successo gli attacchi informatici del suo oppressore.
Questo è stato il risultato della conferenza WithSecure's Sphere tenutasi nei giorni scorsi a Helsinki, in Finlandia. Il capo della ricerca Mikko Hyppönen ha infatti dichiarato ai partecipanti che il regime di Putin "sta in gran parte fallendo".
Durante l'evento, Mikko ha anche condiviso informazioni sul conflitto tra i due paesi, che è in corso ormai da più di tre mesi.
Da prima ancora che la sua invasione dell'Ucraina iniziasse il 24 febbraio 2022, la Russia ha condotto una serie di attacchi informatici sia contro l'infrastruttura internet del paese che altri servizi critici nel tentativo di destabilizzare l'Ucraina.
Hyppönen ha detto: "
Hanno cercato di fare cose del genere più e più volte, quindi la mancanza di attività nel cyberspazio offensivo che abbiamo visto negli ultimi mesi non è perché la Russia non ci sta provando - ci stanno provando - ma non stiamo vedendo più attività perché l'Ucraina si sta difendendo [con successo]”.“
L'Ucraina ha saputo difendersi sia nel mondo reale che in quello online. In effetti, affermerò che l'Ucraina è il miglior paese in Europa per difendere le sue reti dagli attacchi del governo russo”.I suoi commenti arrivano quando il regolatore finanziario tedesco BaFin ha avvertito questa settimana (31 maggio) che i mercati finanziari europei dovrebbero essere in massima allerta a seguito di un recente aumento degli attacchi informatici.
In un avviso di sicurezza, BaFin ha affermato che una serie di attacchi DDoS (Distributed Denial-of-Service) avevano preso di mira banche e servizi finanziari tedeschi. Questi attacchi molto probabilmente provengono dalla Russia, che continua a subire sanzioni economiche dopo l'invasione dell'Ucraina.
Hyppönen ha infine concluso il suo discorso incoraggiando una maggiore collaborazione tra nazioni europee ed extraeuropee, come gli Stati Uniti.
💲Nuovo blackout di Solana: il prezzo di SOL ne risente
Solana ha subito la sua quinta interruzione del servizio del 2022, questa volta della durata di quattro ore: dal picco di novembre 2021, il prezzo dell'asset è diminuito dell'85%.
Il co-fondatore di Solana Labs, Anatoly Yakovenko, ha spiegato cosa è successo in un tweet:
"
Il durable transaction nonce è un meccanismo che mira a risolvere il problema della vita eccessivamente breve degli hash dei blocchi di transazioni. Un bug in questa funzione ha causato la generazione di output diversi da parte dei nodi, rendendo impossibile per il network raggiungere il consenso.
La rete è stata riavviata con questa funzione disabilitata; Yakovenko ha aggiunto che le correzioni per il bug saranno rilasciate il prima possibile.
Naturalmente, la community ha reagito negativamente all'incidente. Alcuni utenti hanno twittato:
“
Il prezzo di SOL è notevolmente diminuito in seguito al blackout, ora a circa 40$ dopo un collasso del 14% in 12 ore.
Il valore del token di Solana è crollato dell'85% dal suo massimo storico di novembre 2021, quando si trovava a quota 260$, e rischia ora di scivolare fuori dalla Top 10 per capitalizzazione di mercato.
Solana ha subito la sua quinta interruzione del servizio del 2022, questa volta della durata di quattro ore: dal picco di novembre 2021, il prezzo dell'asset è diminuito dell'85%.
Il co-fondatore di Solana Labs, Anatoly Yakovenko, ha spiegato cosa è successo in un tweet:
"
La durable nonce instruction ha indotto una parte della rete a considerare il blocco non valido, non è stato quindi possibile formare un consenso."Il durable transaction nonce è un meccanismo che mira a risolvere il problema della vita eccessivamente breve degli hash dei blocchi di transazioni. Un bug in questa funzione ha causato la generazione di output diversi da parte dei nodi, rendendo impossibile per il network raggiungere il consenso.
La rete è stata riavviata con questa funzione disabilitata; Yakovenko ha aggiunto che le correzioni per il bug saranno rilasciate il prima possibile.
Naturalmente, la community ha reagito negativamente all'incidente. Alcuni utenti hanno twittato:
“
Solana, datevi una regolata. Queste cose non dovrebbero più accadere. Sono un grande sostenitore, ma a questo punto comincio a dubitare persino io."Il prezzo di SOL è notevolmente diminuito in seguito al blackout, ora a circa 40$ dopo un collasso del 14% in 12 ore.
Il valore del token di Solana è crollato dell'85% dal suo massimo storico di novembre 2021, quando si trovava a quota 260$, e rischia ora di scivolare fuori dalla Top 10 per capitalizzazione di mercato.
🗣 Anonymous: Operazione Russia dopo 100 giorni di guerra
L' Operazione Russia lanciata da Anonymous contro la Russia dopo l'invasione dell'Ucraina continua, anche se molto più lentamente rispetto al mese scorso. Il collettivo ha recentemente fatto trapelare dati rubati tramite DDoSecrets, dai quali emergono le principali vittime dell’attacco.
RRustam Kurmaev and Partners (RKP Law): si tratta di uno studio legale russo che lavora con le principali società bancarie, mediatiche, petrolifere e industriali e interessi statali, comprese le società americane. Alcuni dei loro clienti includono Ikea, Volkswagen Group Russia, Toyota Russia, Oilfield Service Company e Panasonic. B00da e Porteur hanno fatto trapelare un archivio 1T contenente dati ed e-mail dello studio legale.
Vyberi Radio invece è un gruppo di società che gestisce circa 100 stazioni radio in 18 città della Russia, con oltre 8 milioni di ascoltatori. Anonymous ha fatto emergere un archivio di 823 GB contenente 1,5 milioni di e-mail.
Metprom Group infine, è un gruppo di ingegneria metallurgica e investimento coinvolto in dozzine di progetti con ArcelorMittal, PAO NLMK, imprese del gruppo EVRAZ, stabilimenti PAO Mechel, PAO Severstal, stabilimento metallurgico di Isfahan (Repubblica islamica dell'Iran), stabilimento metallurgico di Helwan (Repubblica araba d'Egitto) e altri. B00da, Porteur e Wh1t3 Sh4d0w hanno fatto trapelare un archivio da 184 GB contenente e-mail aziendali.
Anonymous ha anche lanciato massicci attacchi DDoS contro i principali siti web del governo bielorusso per il supporto che la Bielorussia fornisce alla Russia nell'invasione dell'Ucraina️.
Un paio di settimane fa, Anonymous ha anche affermato di aver violato gli account di posta elettronica appartenenti ai membri del gruppo di hacker pro-Russia Killnet.
L' Operazione Russia lanciata da Anonymous contro la Russia dopo l'invasione dell'Ucraina continua, anche se molto più lentamente rispetto al mese scorso. Il collettivo ha recentemente fatto trapelare dati rubati tramite DDoSecrets, dai quali emergono le principali vittime dell’attacco.
RRustam Kurmaev and Partners (RKP Law): si tratta di uno studio legale russo che lavora con le principali società bancarie, mediatiche, petrolifere e industriali e interessi statali, comprese le società americane. Alcuni dei loro clienti includono Ikea, Volkswagen Group Russia, Toyota Russia, Oilfield Service Company e Panasonic. B00da e Porteur hanno fatto trapelare un archivio 1T contenente dati ed e-mail dello studio legale.
Vyberi Radio invece è un gruppo di società che gestisce circa 100 stazioni radio in 18 città della Russia, con oltre 8 milioni di ascoltatori. Anonymous ha fatto emergere un archivio di 823 GB contenente 1,5 milioni di e-mail.
Metprom Group infine, è un gruppo di ingegneria metallurgica e investimento coinvolto in dozzine di progetti con ArcelorMittal, PAO NLMK, imprese del gruppo EVRAZ, stabilimenti PAO Mechel, PAO Severstal, stabilimento metallurgico di Isfahan (Repubblica islamica dell'Iran), stabilimento metallurgico di Helwan (Repubblica araba d'Egitto) e altri. B00da, Porteur e Wh1t3 Sh4d0w hanno fatto trapelare un archivio da 184 GB contenente e-mail aziendali.
Anonymous ha anche lanciato massicci attacchi DDoS contro i principali siti web del governo bielorusso per il supporto che la Bielorussia fornisce alla Russia nell'invasione dell'Ucraina️.
Un paio di settimane fa, Anonymous ha anche affermato di aver violato gli account di posta elettronica appartenenti ai membri del gruppo di hacker pro-Russia Killnet.
⛱️ Buona domenica da @DeepWebITA!
Finalmente l'estate è alle porte, ma Deep Web ITA non va in vacanza! Continueremo, come sempre, a portarvi le migliori storie ogni giorno alle 18, così da permettervi di godervele anche direttamente da sotto il sole cocente estivo, mentre, piano piano, vi trasformate in aragoste.
📮 Per chi invece in vacanza non ci andasse, vi ricordiamo che siamo sempre in cerca di nuovi membri dello staff per aiutarci nella produzione di nuovi articoli. Se sei interessato, contattaci tramite il bot @SelezioneAdminBOT. Risponderemo il prima possibile.
🤖 Vi ricordiamo il nostro bot️, dove potete contattarci, proporci argomenti da portare nel canale e avere informazioni riguardanti le sponsor sul canale.
Finalmente l'estate è alle porte, ma Deep Web ITA non va in vacanza! Continueremo, come sempre, a portarvi le migliori storie ogni giorno alle 18, così da permettervi di godervele anche direttamente da sotto il sole cocente estivo, mentre, piano piano, vi trasformate in aragoste.
📮 Per chi invece in vacanza non ci andasse, vi ricordiamo che siamo sempre in cerca di nuovi membri dello staff per aiutarci nella produzione di nuovi articoli. Se sei interessato, contattaci tramite il bot @SelezioneAdminBOT. Risponderemo il prima possibile.
🤖 Vi ricordiamo il nostro bot️, dove potete contattarci, proporci argomenti da portare nel canale e avere informazioni riguardanti le sponsor sul canale.
👾 Attacco informatico contro GitHub
Non molto tempo fa GitHub ha sostenuto di essere stato vittima di un attacco informatico in cui gli attori delle minacce dannose hanno utilizzato token utente OAuth rubati ed emessi da integratori di terze parti Heroku e Travis CI.
Recentemente la piattaforma di hosting del codice ha rivelato ulteriori informazioni sull'incidente, condividendo che l'attore della minaccia è stato in grado di intensificare l'accesso all'infrastruttura interna di npm (Node Package Manager), il gestore di pacchetti per la piattaforma JavaScript Node.
Greg Ose, Senior Director for Product Security Engineering di GitHub, ha affermato questo sull'incidente:
"
Dopo la scoperta della compromissione iniziale di npm, GitHub ha studiato l'impatto su npm. Sulla base di questa analisi, sono state trovate prove che l'attore è stato in grado di accedere ai dati npm interni e alle informazioni sui clienti npm.
L'attaccante ha avuto accesso alle seguenti informazioni circa 100.000 nomi utente npm, hash delle password e indirizzi e-mail da un archivio del 2015 di informazioni sugli utenti, tutti i manifest e i metadati dei pacchetti privati a partire dal 7 aprile 2021, Nomi e semVer delle versioni pubblicate di tutti i pacchetti privati a partire dal 10 aprile 2022, pacchetti privati da due organizzazioni.
L'azienda sta adottando le misure necessarie per porre rimedio alla situazione, tra cui la reimpostazione delle password per gli utenti interessati, la notifica alle due organizzazioni a cui sono state rubate le informazioni e il contatto diretto con manifesti di pacchetti privati, metadati, nomi e versioni esposti.
Non molto tempo fa GitHub ha sostenuto di essere stato vittima di un attacco informatico in cui gli attori delle minacce dannose hanno utilizzato token utente OAuth rubati ed emessi da integratori di terze parti Heroku e Travis CI.
Recentemente la piattaforma di hosting del codice ha rivelato ulteriori informazioni sull'incidente, condividendo che l'attore della minaccia è stato in grado di intensificare l'accesso all'infrastruttura interna di npm (Node Package Manager), il gestore di pacchetti per la piattaforma JavaScript Node.
Greg Ose, Senior Director for Product Security Engineering di GitHub, ha affermato questo sull'incidente:
"
Non crediamo che l'attaccante abbia ottenuto questi token tramite una compromissione di GitHub o dei suoi sistemi perché i token in questione non sono archiviati da GitHub nei loro formati utilizzabili originali”. Dopo la scoperta della compromissione iniziale di npm, GitHub ha studiato l'impatto su npm. Sulla base di questa analisi, sono state trovate prove che l'attore è stato in grado di accedere ai dati npm interni e alle informazioni sui clienti npm.
L'attaccante ha avuto accesso alle seguenti informazioni circa 100.000 nomi utente npm, hash delle password e indirizzi e-mail da un archivio del 2015 di informazioni sugli utenti, tutti i manifest e i metadati dei pacchetti privati a partire dal 7 aprile 2021, Nomi e semVer delle versioni pubblicate di tutti i pacchetti privati a partire dal 10 aprile 2022, pacchetti privati da due organizzazioni.
L'azienda sta adottando le misure necessarie per porre rimedio alla situazione, tra cui la reimpostazione delle password per gli utenti interessati, la notifica alle due organizzazioni a cui sono state rubate le informazioni e il contatto diretto con manifesti di pacchetti privati, metadati, nomi e versioni esposti.
✈️ Violazione a Pegasus Airlines
L'operatore di volo turco Pegasus Airlines ha subito una violazione dei dati dopo che un bucket di archiviazione cloud AWS sarebbe stato lasciato non protetto.
Secondo quanto riferito, le informazioni sull'Electronic Flight Bag (EFB) appartenenti a un numero imprecisato di clienti sono state archiviate in maniera non corretta, consentendo l'accesso a informazioni sensibili tra cui nomi, cognomi, numeri di telefono, indirizzi e-mail, titoli, informazioni sui voli di viaggi precedenti, posizioni dei voli e fotografie e immagini della firma di alcuni dipendenti.
La dichiarazione di Kişisel Verileri Koruma Kurumu, autorità turca per la protezione dei dati personali, ha confermato che vi era un accesso non autorizzato a determinate informazioni detenute da Pegasus.
Secondo Safety Detectives, che ha rivelato la violazione, nel bucket sono stati trovati quasi 23 milioni di file, per un totale di circa 6,5 TB di dati.
Dalla pubblicazione di un post si può leggere: “
Questa esposizione potrebbe avere un impatto sulla sicurezza di ogni passeggero e membro dell'equipaggio Pegasus in tutto il mondo, secondo i ricercatori. Anche le compagnie aeree affiliate che utilizzano PegasusEFB potrebbero essere interessate.
L'operatore di volo turco Pegasus Airlines ha subito una violazione dei dati dopo che un bucket di archiviazione cloud AWS sarebbe stato lasciato non protetto.
Secondo quanto riferito, le informazioni sull'Electronic Flight Bag (EFB) appartenenti a un numero imprecisato di clienti sono state archiviate in maniera non corretta, consentendo l'accesso a informazioni sensibili tra cui nomi, cognomi, numeri di telefono, indirizzi e-mail, titoli, informazioni sui voli di viaggi precedenti, posizioni dei voli e fotografie e immagini della firma di alcuni dipendenti.
La dichiarazione di Kişisel Verileri Koruma Kurumu, autorità turca per la protezione dei dati personali, ha confermato che vi era un accesso non autorizzato a determinate informazioni detenute da Pegasus.
Secondo Safety Detectives, che ha rivelato la violazione, nel bucket sono stati trovati quasi 23 milioni di file, per un totale di circa 6,5 TB di dati.
Dalla pubblicazione di un post si può leggere: “
Le informazioni erano collegate a un software EFB sviluppato da PegasusEFB che i piloti utilizzano per la navigazione degli aerei, il decollo/atterraggio, il rifornimento, le procedure di sicurezza e vari altri processi in volo. Il bucket aperto di PegasusEFB ha lasciato i dati tra cui mappe di volo, materiali di navigazione e PII dell'equipaggio accessibili a chiunque. È stato esposto anche il codice sorgente del software, che conteneva password in testo semplice e chiavi segrete che qualcuno potrebbe utilizzare per manomettere file extra-sensibili".Questa esposizione potrebbe avere un impatto sulla sicurezza di ogni passeggero e membro dell'equipaggio Pegasus in tutto il mondo, secondo i ricercatori. Anche le compagnie aeree affiliate che utilizzano PegasusEFB potrebbero essere interessate.
🌐 Cyber Spetsnaz: attacchi alle agenzie governative
Resecurity, Inc. (USA) ha identificato un aumento dell'attività all'interno dei gruppi di hacktivisti, che stanno sfruttando le attuali tensioni geopolitiche tra Ucraina e Russia per eseguire attacchi informatici.
A seguito degli attacchi del Killnet Collective, il gruppo responsabile degli attacchi contro le principali risorse governative e le forze dell'ordine, è stato individuato un nuovo gruppo chiamato Cyber Spetsnaz. Gli attori si stanno posizionando come un gruppo di cyber-offensiva d'élite che prende di mira le infrastrutture della NATO ed esegue il cyberspionaggio per rubare dati sensibili.
A partire dal 24 maggio, il gruppo Cyber Spetsnaz ha annunciato il lancio di una nuova campagna "Panopticon" che mirava a reclutare 3.000 specialisti di cyber offensive volontari disposti a partecipare ad attacchi contro l'Unione Europea e le istituzioni governative ucraine, comprese le società ucraine.
Il 2 giugno il gruppo ha creato una nuova divisione denominata “Sparta”. La responsabilità della nuova divisione include il cyber sabotaggio, l'interruzione delle risorse Internet, il furto di dati e l'intelligence finanziaria incentrata sulla NATO, sui suoi membri e alleati. In particolare, "Sparta" delinea questa attività come una priorità chiave e conferma che la divisione appena creata è una parte ufficiale del gruppo Killnet Collective.
Secondo Resecurity, tali campagne di hacktivist in genere hanno l'obiettivo di orchestrare determinate operazioni di informazione piuttosto che un vero attacco informatico che interrompe le reti o la disponibilità di risorse critiche.
Sulla base delle vittime osservate e della stretta collaborazione con diverse organizzazioni interessate, gli attacchi si sono concentrati principalmente sullo sfruttamento di server WEB mal configurati e interruzioni a breve termine.
Resecurity, Inc. (USA) ha identificato un aumento dell'attività all'interno dei gruppi di hacktivisti, che stanno sfruttando le attuali tensioni geopolitiche tra Ucraina e Russia per eseguire attacchi informatici.
A seguito degli attacchi del Killnet Collective, il gruppo responsabile degli attacchi contro le principali risorse governative e le forze dell'ordine, è stato individuato un nuovo gruppo chiamato Cyber Spetsnaz. Gli attori si stanno posizionando come un gruppo di cyber-offensiva d'élite che prende di mira le infrastrutture della NATO ed esegue il cyberspionaggio per rubare dati sensibili.
A partire dal 24 maggio, il gruppo Cyber Spetsnaz ha annunciato il lancio di una nuova campagna "Panopticon" che mirava a reclutare 3.000 specialisti di cyber offensive volontari disposti a partecipare ad attacchi contro l'Unione Europea e le istituzioni governative ucraine, comprese le società ucraine.
Il 2 giugno il gruppo ha creato una nuova divisione denominata “Sparta”. La responsabilità della nuova divisione include il cyber sabotaggio, l'interruzione delle risorse Internet, il furto di dati e l'intelligence finanziaria incentrata sulla NATO, sui suoi membri e alleati. In particolare, "Sparta" delinea questa attività come una priorità chiave e conferma che la divisione appena creata è una parte ufficiale del gruppo Killnet Collective.
Secondo Resecurity, tali campagne di hacktivist in genere hanno l'obiettivo di orchestrare determinate operazioni di informazione piuttosto che un vero attacco informatico che interrompe le reti o la disponibilità di risorse critiche.
Sulla base delle vittime osservate e della stretta collaborazione con diverse organizzazioni interessate, gli attacchi si sono concentrati principalmente sullo sfruttamento di server WEB mal configurati e interruzioni a breve termine.
🇨🇳 Aoqin Dragon: il gruppo APT che da 10 anni agisce per la Cina
Aoqin Dragon è il nome che Joey Chen, un ricercatore di sicurezza, ha dato a questo gruppo specializzato in spionaggio che da 10 anni attua indisturbato una campagna di malware.
Il gruppo APT induce la vittima ad aprire un documento Word dannoso (di contenuto pornografico o politico), il quale installa sul sistema la blackdoor Mongall oppure una versione modificata del progetto open source Heyoka.
Ma questo non è l'unico strumento a loro dispozione: in alcuni casi invogliano i malcapitati ad installare falsi antivirus. In altri invece installano sul sistema colpito un falso supporto rimovibile, una volta fatto click su di esso il gioco è fatto: malware installato.
Le vittime designate sono organizzazioni governative, istituzioni educative e società di telecomunicazioni situate prevalentemente in Australia, Cambogia, Hong Kong, Singapore e Vietnam.
Una delle accuse più rivolte alla Cina è quella di ottenere informazioni in modo poco onesto, il caso Aoqin Dragon non fa eccezione. Difatti i loro attacchi sono guidati dagli interessi del governo cinese.
Le parole del ricercatore Chen auspicano il peggio:
Aoqin Dragon è il nome che Joey Chen, un ricercatore di sicurezza, ha dato a questo gruppo specializzato in spionaggio che da 10 anni attua indisturbato una campagna di malware.
Il gruppo APT induce la vittima ad aprire un documento Word dannoso (di contenuto pornografico o politico), il quale installa sul sistema la blackdoor Mongall oppure una versione modificata del progetto open source Heyoka.
Ma questo non è l'unico strumento a loro dispozione: in alcuni casi invogliano i malcapitati ad installare falsi antivirus. In altri invece installano sul sistema colpito un falso supporto rimovibile, una volta fatto click su di esso il gioco è fatto: malware installato.
Le vittime designate sono organizzazioni governative, istituzioni educative e società di telecomunicazioni situate prevalentemente in Australia, Cambogia, Hong Kong, Singapore e Vietnam.
Una delle accuse più rivolte alla Cina è quella di ottenere informazioni in modo poco onesto, il caso Aoqin Dragon non fa eccezione. Difatti i loro attacchi sono guidati dagli interessi del governo cinese.
Le parole del ricercatore Chen auspicano il peggio:
“Stimiamo che è probabile che continueranno anche a migliorare le proprie abilità, trovando nuovi metodi per eludere il rilevamento e rimanere più a lungo nella rete attaccata”💡Jack Dorsey: lavoro su Web5 basato su Bitcoin
Il fondatore di Twitter, Jack Dorsey, ritiene che il Web3 non potrà mai raggiungere la reale decentralizzazione: è per questo che sta lavorando a un nuovo modello di Internet incentrato su BTC.
Il nuovo progetto, chiamato "Web5", rappresenta l'ultimo sforzo di Jack Dorsey per promuovere l'adozione di Bitcoin, dopo essersi dimesso dalla carica di CEO di Twitter nel novembre 2021.
Mentre il Web3 incorpora tecnologia blockchain e tokenizzazione per decentralizzare la concezione tradizionale di Internet, il Web5 è concepito come un sistema basato interamente su un solo network distribuito: quello di Bitcoin.
Su Twitter, l'utente Namcios ha spiegato in maniera più dettagliata il concetto di Web5, ovvero un ecosistema di diverse componenti software che lavorano in parallelo per migliorare l'esperienza dell'utente e consentire la gestione decentralizzata delle identità.
Il Web5 utilizzerà ION, descritto come un network DID aperto, pubblico e permissionless basato sulla blockchain di Bitcoin.
Il Web5 è essenzialmente una piattaforma web decentralizzata (Decentralized Web Platform, DWP) che consente agli sviluppatori di creare DApp tramite DID e nodi decentralizzati. Il Web5 avrà anche una rete monetaria incentrata su BTC, che rispecchia la convinzione di Dorsey che un giorno l'asset digitale diventerà la valuta nativa di Internet.
Il fondatore di Twitter, Jack Dorsey, ritiene che il Web3 non potrà mai raggiungere la reale decentralizzazione: è per questo che sta lavorando a un nuovo modello di Internet incentrato su BTC.
Il nuovo progetto, chiamato "Web5", rappresenta l'ultimo sforzo di Jack Dorsey per promuovere l'adozione di Bitcoin, dopo essersi dimesso dalla carica di CEO di Twitter nel novembre 2021.
Mentre il Web3 incorpora tecnologia blockchain e tokenizzazione per decentralizzare la concezione tradizionale di Internet, il Web5 è concepito come un sistema basato interamente su un solo network distribuito: quello di Bitcoin.
Su Twitter, l'utente Namcios ha spiegato in maniera più dettagliata il concetto di Web5, ovvero un ecosistema di diverse componenti software che lavorano in parallelo per migliorare l'esperienza dell'utente e consentire la gestione decentralizzata delle identità.
Il Web5 utilizzerà ION, descritto come un network DID aperto, pubblico e permissionless basato sulla blockchain di Bitcoin.
Il Web5 è essenzialmente una piattaforma web decentralizzata (Decentralized Web Platform, DWP) che consente agli sviluppatori di creare DApp tramite DID e nodi decentralizzati. Il Web5 avrà anche una rete monetaria incentrata su BTC, che rispecchia la convinzione di Dorsey che un giorno l'asset digitale diventerà la valuta nativa di Internet.
🍉 Buona domenica da @DeepWebITA!
Il sole in questo periodo sembra particolarmente arrabbiato, ma cosa sarà mai un po' di calore per fermarci? Deep Web ITA non va in vacanza! Continueremo, come sempre, a portarvi le migliori storie ogni giorno alle 18, così da permettervi di godervele anche direttamente da sotto il sole cocente estivo, che siate al lavoro o sotto il sole in spiaggia, carichi di crema solare.
📮 Per chi invece in vacanza non ci andasse, vi ricordiamo che siamo sempre in cerca di nuovi membri dello staff per aiutarci nella produzione di nuovi articoli. Se sei interessato, contattaci tramite il bot @SelezioneAdminBOT. Risponderemo il prima possibile.
🤖 Vi ricordiamo il nostro bot️, dove potete contattarci, proporci argomenti da portare nel canale e avere informazioni riguardanti le sponsor sul canale.
Il sole in questo periodo sembra particolarmente arrabbiato, ma cosa sarà mai un po' di calore per fermarci? Deep Web ITA non va in vacanza! Continueremo, come sempre, a portarvi le migliori storie ogni giorno alle 18, così da permettervi di godervele anche direttamente da sotto il sole cocente estivo, che siate al lavoro o sotto il sole in spiaggia, carichi di crema solare.
📮 Per chi invece in vacanza non ci andasse, vi ricordiamo che siamo sempre in cerca di nuovi membri dello staff per aiutarci nella produzione di nuovi articoli. Se sei interessato, contattaci tramite il bot @SelezioneAdminBOT. Risponderemo il prima possibile.
🤖 Vi ricordiamo il nostro bot️, dove potete contattarci, proporci argomenti da portare nel canale e avere informazioni riguardanti le sponsor sul canale.
🤖 RSOCKS è stata smantellata
Le forze dell'ordine statunitensi hanno smantellato l'infrastruttura utilizzata da una botnet russa responsabile della compromissione di milioni di computer e dispositivi connessi a Internet in tutto il mondo.
I cybercriminali hanno precedentemente pagato la botnet "RSOCKS" per sfruttare i dispositivi hackerati per eseguire attacchi di credential stuffing su larga scala , per cui le credenziali di accesso rubate vengono automaticamente inserite nelle pagine di accesso online.
Secondo un comunicato stampa del Dipartimento di Giustizia degli Stati Uniti (DoJ) pubblicato nei giorni scorsi, hanno anche utilizzato gli indirizzi IP requisiti per anonimizzare se stessi quando accedono ad account di social media compromessi o inviano e-mail di phishing dannose.
La botnet RSOCKS ha affittato gli indirizzi IP dei dispositivi compromessi ai criminali informatici a tariffe giornaliere, settimanali e mensili tramite un sito Web Internet Clear Web, al contrario del Dark Web.
Il DoJ ha affermato che la botnet inizialmente ha preso di mira i dispositivi Internet of Things (IoT) e successivamente si è diversificata per hackerare dispositivi Android e computer desktop.
L'infrastruttura utilizzata per alimentare la botnet è stata rimossa dopo un'operazione sotto copertura dell'FBI per l'acquisto dal sito nefasto nel 2017. Questa transazione ha identificato circa 325.000 dispositivi compromessi in tutto il mondo.
L'agente speciale dell'FBI in carica Stacey Moy ha dichiarato: "
Le forze dell'ordine statunitensi hanno smantellato l'infrastruttura utilizzata da una botnet russa responsabile della compromissione di milioni di computer e dispositivi connessi a Internet in tutto il mondo.
I cybercriminali hanno precedentemente pagato la botnet "RSOCKS" per sfruttare i dispositivi hackerati per eseguire attacchi di credential stuffing su larga scala , per cui le credenziali di accesso rubate vengono automaticamente inserite nelle pagine di accesso online.
Secondo un comunicato stampa del Dipartimento di Giustizia degli Stati Uniti (DoJ) pubblicato nei giorni scorsi, hanno anche utilizzato gli indirizzi IP requisiti per anonimizzare se stessi quando accedono ad account di social media compromessi o inviano e-mail di phishing dannose.
La botnet RSOCKS ha affittato gli indirizzi IP dei dispositivi compromessi ai criminali informatici a tariffe giornaliere, settimanali e mensili tramite un sito Web Internet Clear Web, al contrario del Dark Web.
Il DoJ ha affermato che la botnet inizialmente ha preso di mira i dispositivi Internet of Things (IoT) e successivamente si è diversificata per hackerare dispositivi Android e computer desktop.
L'infrastruttura utilizzata per alimentare la botnet è stata rimossa dopo un'operazione sotto copertura dell'FBI per l'acquisto dal sito nefasto nel 2017. Questa transazione ha identificato circa 325.000 dispositivi compromessi in tutto il mondo.
L'agente speciale dell'FBI in carica Stacey Moy ha dichiarato: "
Questa operazione ha interrotto un'organizzazione di criminalità informatica altamente sofisticata con sede in Russia che ha condotto intrusioni informatiche negli Stati Uniti e all'estero”.🌐 Internet Explorer, da mercoledí 15 giugno, è finita
Dopo 27 anni di attività, il famoso navigatore si ritira. Microsoft ora scommette su Edge.
È la fine di un'era. A partire da questo mercoledì, Internet Explorer verrà rimosso da tutti i sistemi operativi Windows 10, come annunciato dal suo proprietario Microsoft a maggio 2021
Il browser è stato rilasciato nell'agosto 1995, prima di superare l'allora leader, Netscape Navigator. Con una quota di mercato inferiore al 20% nel 1996,Internet Explorer è salito a oltre l'80% nel 2000, prima di raggiungere il picco nel 2004, vincendo il 95% delle ricerche.
Un successo che ha preoccupato le autorità e in particolare l'Unione Europea che ha condannato Microsoft a quasi 500 milioni di euro nel 2004 ed a 560 milioni di euro nel marzo 2013, per abuso di posizione dominante.
Le battute d'arresto si sono poi accumulate con numerosi difetti di sicurezza, consentendo agli hacker di assumere il controllo dei computer da remoto. Il browser era allora sinonimo di lentezza, provocando molte provocazioni sui social network come Twitter
Di fronte a queste battute d'arresto, nel 2015 Microsoft ha deciso di non aggiornare più il proprio software, per sostituirlo con Edge, più veloce, più sicuro e più moderno .
Da quella data, tutti i computer destinati al pubblico hanno integrato Microsoft Edge. Oggi è il terzo browser utilizzato al mondo, con una quota di mercato del 3,99% a maggio secondo StatCounter, davanti a Safari di Apple (19,01%) e al leader Google Chrome (64,95%).
Dopo 27 anni di attività, il famoso navigatore si ritira. Microsoft ora scommette su Edge.
È la fine di un'era. A partire da questo mercoledì, Internet Explorer verrà rimosso da tutti i sistemi operativi Windows 10, come annunciato dal suo proprietario Microsoft a maggio 2021
Il browser è stato rilasciato nell'agosto 1995, prima di superare l'allora leader, Netscape Navigator. Con una quota di mercato inferiore al 20% nel 1996,Internet Explorer è salito a oltre l'80% nel 2000, prima di raggiungere il picco nel 2004, vincendo il 95% delle ricerche.
Un successo che ha preoccupato le autorità e in particolare l'Unione Europea che ha condannato Microsoft a quasi 500 milioni di euro nel 2004 ed a 560 milioni di euro nel marzo 2013, per abuso di posizione dominante.
Le battute d'arresto si sono poi accumulate con numerosi difetti di sicurezza, consentendo agli hacker di assumere il controllo dei computer da remoto. Il browser era allora sinonimo di lentezza, provocando molte provocazioni sui social network come Twitter
Di fronte a queste battute d'arresto, nel 2015 Microsoft ha deciso di non aggiornare più il proprio software, per sostituirlo con Edge, più veloce, più sicuro e più moderno .
Da quella data, tutti i computer destinati al pubblico hanno integrato Microsoft Edge. Oggi è il terzo browser utilizzato al mondo, con una quota di mercato del 3,99% a maggio secondo StatCounter, davanti a Safari di Apple (19,01%) e al leader Google Chrome (64,95%).
🌑 Persiste l'effetto domino di Terra (LUNA)
Autism Capital ha affermato che Abracadabra abbia accumulato 12 milioni di dollari di crediti deteriorati come risultato diretto dell'improvviso crollo di Terra, cosa che è stata smentita dal fondatore Daniele Sestagalli.
Magic Internet Money (MIM), stablecoin dell'ecosistema Abracadabra, si aggiunge alla lista crescente di token che hanno perso l'ancoraggio al dollaro in un crypto winter ormai avviato. L'improvviso de-peg di MIM si è innescato nei giorni scorsi, portando il prezzo a scendere a 0,926$ in sole tre ore.
La spirale mortale di Terra LUNA e TerraUSD (UST) non ha colpito solo gli investitori, ma ha anche avuto un impatto negativo su numerosi progetti crypto, tra cui Abracadabra, l'ecosistema del token MIM.
Daniele Sestagalli, il fondatore di Abracadabra, ha tuttavia smentito le accuse di insolvenza, assicurando di possedere sufficienti fondi per ripagare i debiti accumulati, attribuiti al calo di MIM.
Ribadendo la sua posizione, Sestagalli ha inoltre condiviso pubblicamente l’indirizzo della tesoreria che contiene 12 milioni di dollari in asset, chiedendo agli investitori interessati di verificarlo utilizzando i dati on-chain.
Malgrado il rischio di insolvenza continui a minacciare il protocollo Abracadabra, sia attraverso la continua perdita di valore della tesoreria MIM, sia attraverso la creazione di ulteriori crediti deteriorati, si consiglia agli investitori di tenere sotto controllo le fluttuazioni del mercato e di fare le proprie ricerche (DYOR) prima di prendere decisioni in merito di investimenti.
Per far fronte alle fluttuazioni del mercato, la Tron DAO Reserve ha annunciato di aver ricevuto 700 milioni di USD Coin (USDC) per difendere l'ancoraggio di USDD. Come risultato dell'afflusso di fondi, il team alle spalle della stablecoin ha riferito che il rapporto di collateralizzazione degli USDD è aumentato al 300%.
Autism Capital ha affermato che Abracadabra abbia accumulato 12 milioni di dollari di crediti deteriorati come risultato diretto dell'improvviso crollo di Terra, cosa che è stata smentita dal fondatore Daniele Sestagalli.
Magic Internet Money (MIM), stablecoin dell'ecosistema Abracadabra, si aggiunge alla lista crescente di token che hanno perso l'ancoraggio al dollaro in un crypto winter ormai avviato. L'improvviso de-peg di MIM si è innescato nei giorni scorsi, portando il prezzo a scendere a 0,926$ in sole tre ore.
La spirale mortale di Terra LUNA e TerraUSD (UST) non ha colpito solo gli investitori, ma ha anche avuto un impatto negativo su numerosi progetti crypto, tra cui Abracadabra, l'ecosistema del token MIM.
Daniele Sestagalli, il fondatore di Abracadabra, ha tuttavia smentito le accuse di insolvenza, assicurando di possedere sufficienti fondi per ripagare i debiti accumulati, attribuiti al calo di MIM.
Ribadendo la sua posizione, Sestagalli ha inoltre condiviso pubblicamente l’indirizzo della tesoreria che contiene 12 milioni di dollari in asset, chiedendo agli investitori interessati di verificarlo utilizzando i dati on-chain.
Malgrado il rischio di insolvenza continui a minacciare il protocollo Abracadabra, sia attraverso la continua perdita di valore della tesoreria MIM, sia attraverso la creazione di ulteriori crediti deteriorati, si consiglia agli investitori di tenere sotto controllo le fluttuazioni del mercato e di fare le proprie ricerche (DYOR) prima di prendere decisioni in merito di investimenti.
Per far fronte alle fluttuazioni del mercato, la Tron DAO Reserve ha annunciato di aver ricevuto 700 milioni di USD Coin (USDC) per difendere l'ancoraggio di USDD. Come risultato dell'afflusso di fondi, il team alle spalle della stablecoin ha riferito che il rapporto di collateralizzazione degli USDD è aumentato al 300%.
👾 L'attacco ransomware a Montrose Environmental Group
Montrose Environmental Group, un fornitore di servizi ambientali con sede negli Stati Uniti, ha rivelato di essere stato colpito da un attacco ransomware lo scorso fine settimana, che ha interrotto le sue operazioni di test di laboratorio.
In una dichiarazione rilasciata circa una settimana fa, la società con sede in Arkansas ha dichiarato: "
Montrose, che ha 80 sedi in tutto il mondo, fornisce clienti in settori quali produzione, petrolio e gas e servizi governativi, tra cui rilevamento e riparazione di perdite, bonifica del suolo e delle acque sotterranee, soluzioni di biogas e servizi di consulenza ambientale.
“
Dopo aver scoperto l' intrusione nella rete, Montrose ha sospeso i sistemi interessati, ha informato le forze dell'ordine e ha iniziato a rimediare all'incidente con l'aiuto di esperti IT e di sicurezza informatica interni ed esterni.
Al momento Montrose non crede che i dati di backup e i sistemi aziendali basati su cloud, inclusa la posta elettronica, siano stati interessati e stanno lavorando attivamente per ripristinare i sistemi interessati il prima possibile.
Per questo la compagnia non prevede gravi interruzioni per gli altri servizi e sta notificando ai clienti, a seconda dei casi, eventuali ritardi o impatti dovuti all'attacco.
Montrose Environmental Group, un fornitore di servizi ambientali con sede negli Stati Uniti, ha rivelato di essere stato colpito da un attacco ransomware lo scorso fine settimana, che ha interrotto le sue operazioni di test di laboratorio.
In una dichiarazione rilasciata circa una settimana fa, la società con sede in Arkansas ha dichiarato: "
Riteniamo che l'incidente abbia colpito principalmente i computer e i server all'interno della nostra rete di laboratori di Enthalpy Analytical per cui alcuni risultati di laboratorio provenienti da li, saranno ritardati"Montrose, che ha 80 sedi in tutto il mondo, fornisce clienti in settori quali produzione, petrolio e gas e servizi governativi, tra cui rilevamento e riparazione di perdite, bonifica del suolo e delle acque sotterranee, soluzioni di biogas e servizi di consulenza ambientale.
“
La natura dell'attacco ransomware, così come le informazioni delle forze dell'ordine e di esperti indipendenti di sicurezza informatica, ci portano a credere che questo attacco sia stato effettuato da malintenzionati altamente sofisticati", ha affermato Montrose.Dopo aver scoperto l' intrusione nella rete, Montrose ha sospeso i sistemi interessati, ha informato le forze dell'ordine e ha iniziato a rimediare all'incidente con l'aiuto di esperti IT e di sicurezza informatica interni ed esterni.
Al momento Montrose non crede che i dati di backup e i sistemi aziendali basati su cloud, inclusa la posta elettronica, siano stati interessati e stanno lavorando attivamente per ripristinare i sistemi interessati il prima possibile.
Per questo la compagnia non prevede gravi interruzioni per gli altri servizi e sta notificando ai clienti, a seconda dei casi, eventuali ritardi o impatti dovuti all'attacco.
🎓 BlackCat attacca e minaccia l’Università di Pisa
L’Università di Pisa ha ricevuto un attacco ransomware dal gruppo BlackCat, confermato anche da darktracer, nella giornata dell’11 Giugno 2022.
L’Università di Pisa, istituita ufficialmente nel 1343, è una delle più antiche e prestigiose università in Italia e in Europa.
Sembra siano stati esfiltrati ben 54GB di dati sensibili, informazioni finanziare, password e contratti. Tutto questo potrebbe essere riversato pubblicamente.
Se ciò accadesse tutti potrebbero accedere ad informazioni delicate con un utilizzo incontrollato da parte di chiunque abbia una connessione internet.
La gang ha fatto sapere di essere in possesso di diecimila numeri di targhe, numeri di telefono, abbonamenti, nome utenti e codici fiscali sia degli studenti che degli insegnanti
È stato chiesto all’università, da parte della gang, un riscatto di 4,5$ milioni.
Il collettivo Sinistra Per rappresentante della comunità studentesca dell’Università di Pisa ,ha rilasciato un comunicato in merito all’attacco, nel quale si legge: “
Nel frattempo la gang, in attesa del pagamento da parte dell’ateneo, pubblica nuovi samples, nei quali vengono riportati Codice Fiscale, Nome e Cognome, Comune di residenza, Indirizzo di residenza, Data di nascita, Numero di telefono, email di studenti e insegnanti.
L’Università di Pisa ha ricevuto un attacco ransomware dal gruppo BlackCat, confermato anche da darktracer, nella giornata dell’11 Giugno 2022.
L’Università di Pisa, istituita ufficialmente nel 1343, è una delle più antiche e prestigiose università in Italia e in Europa.
Sembra siano stati esfiltrati ben 54GB di dati sensibili, informazioni finanziare, password e contratti. Tutto questo potrebbe essere riversato pubblicamente.
Se ciò accadesse tutti potrebbero accedere ad informazioni delicate con un utilizzo incontrollato da parte di chiunque abbia una connessione internet.
La gang ha fatto sapere di essere in possesso di diecimila numeri di targhe, numeri di telefono, abbonamenti, nome utenti e codici fiscali sia degli studenti che degli insegnanti
È stato chiesto all’università, da parte della gang, un riscatto di 4,5$ milioni.
Il collettivo Sinistra Per rappresentante della comunità studentesca dell’Università di Pisa ,ha rilasciato un comunicato in merito all’attacco, nel quale si legge: “
Alcune testate giornalistiche online, dallo scorso sabato sera, hanno suggerito che l’Università di Pisa possa avere subito un attacco hacker di consistenti dimensioni. Queste notizie non sono al momento confermate dall’Ateneo. Vi consigliamo in ogni caso di cambiare preventivamente la password. In ogni caso, in mezzo a tutte queste voci che circolano, pretendiamo che l’Ateneo pubblichi un comunicato ufficiale, in cui chiarisca la vicenda, e se effettivamente risultano esserci state sottrazioni dei nostri dati”.Nel frattempo la gang, in attesa del pagamento da parte dell’ateneo, pubblica nuovi samples, nei quali vengono riportati Codice Fiscale, Nome e Cognome, Comune di residenza, Indirizzo di residenza, Data di nascita, Numero di telefono, email di studenti e insegnanti.
⚠️ Il ritorno degli attacchi ransomware eCh0raix
Questa settimana, il ransomware ech0raix ha ricominciato a prendere di mira i dispositivi QNAP Network Attached Storage (NAS) vulnerabili, secondo i rapporti degli utenti e gli invii di esempio sulla piattaforma ID Ransomware.
eCh0raix (noto anche come QNAPCrypt) ha colpito i clienti QNAP in più ondate su larga scala a partire dall'estate del 2019, quando gli aggressori si sono fatti strada con la forza bruta nei dispositivi NAS esposti ad Internet.
Una nuova ondata di attacchi ech0raix è stata ora confermata da un numero in rapido aumento di richieste di ID Ransomware e utenti che hanno segnalato di essere stati colpiti nei forum di BleepingComputer, con il primo colpo registrato l'8 giugno di quest’anno.
Sebbene siano state inviate solo poche dozzine di campioni di ech0raix, il numero effettivo di attacchi riusciti è molto probabilmente più alto poiché solo alcune delle vittime utilizzeranno il servizio ID Ransomware per identificare il ransomware che ha crittografato i loro dispositivi.
Sebbene questo ransomware sia stato utilizzato anche per crittografare i sistemi Synology NAS dall'agosto 2021, questa volta le vittime hanno confermato solo gli attacchi sui dispositivi QNAP NAS.
Fino a quando QNAP non fornirà maggiori dettagli su questi attacchi, il vettore di attacco utilizzato in questa nuova campagna ech0raix rimane sconosciuto.
Questa settimana, il ransomware ech0raix ha ricominciato a prendere di mira i dispositivi QNAP Network Attached Storage (NAS) vulnerabili, secondo i rapporti degli utenti e gli invii di esempio sulla piattaforma ID Ransomware.
eCh0raix (noto anche come QNAPCrypt) ha colpito i clienti QNAP in più ondate su larga scala a partire dall'estate del 2019, quando gli aggressori si sono fatti strada con la forza bruta nei dispositivi NAS esposti ad Internet.
Una nuova ondata di attacchi ech0raix è stata ora confermata da un numero in rapido aumento di richieste di ID Ransomware e utenti che hanno segnalato di essere stati colpiti nei forum di BleepingComputer, con il primo colpo registrato l'8 giugno di quest’anno.
Sebbene siano state inviate solo poche dozzine di campioni di ech0raix, il numero effettivo di attacchi riusciti è molto probabilmente più alto poiché solo alcune delle vittime utilizzeranno il servizio ID Ransomware per identificare il ransomware che ha crittografato i loro dispositivi.
Sebbene questo ransomware sia stato utilizzato anche per crittografare i sistemi Synology NAS dall'agosto 2021, questa volta le vittime hanno confermato solo gli attacchi sui dispositivi QNAP NAS.
Fino a quando QNAP non fornirà maggiori dettagli su questi attacchi, il vettore di attacco utilizzato in questa nuova campagna ech0raix rimane sconosciuto.
💰 In Martinica, dei criminali hanno derubato degli uomini su Internet
Quattro francesi, tra cui tre minorenni, sono stati arrestati e incriminati nell'indagine sulle rapine a mano armata avvenute ad aprile a Fort-de-France, sospettati di aver attirato le loro vittime su siti di incontri tra uomini, ha indicato mercoledì 25 maggio la polizia giudiziaria .
Gli aggressori hanno preso di mira gli utenti omosessuali di un sito di incontri per organizzare appuntamenti. È una procedura che conosciamo e che ricorre spesso , ha affermato all'AFP la commissaria Anne Le Dantec, capo del servizio di polizia giudiziaria territoriale di Fort-de-France.
Le quattro vittime individuate dalla polizia, si erano accordate per incontrarsi in un parcheggio. I malcapitati sono stati presi alla sprovvista, minacciati e rapiti. I criminali, mascherati e armati, hanno condotto ogni vittima a un bancomat prima di partire il più delle volte con il proprio veicolo ed effetti personali.
L'indagine aperta a fine aprile ha permesso di entrare in contatto con un primo sospetto che era alla guida di una delle auto rubate. Durante questo arresto, alla fine di aprile, gli agenti di polizia della brigata anticrimine di Fort-de-France hanno scoperto due armi fittizie (una pistola e un fucile) nel bagagliaio del veicolo.
Gli altri arresti e perquisizioni sono avvenuti il 19 maggio e hanno aiutato a delucidare quattro fatti, sottolinea il questore.
I tre minori sono stati incriminati e poi rilasciati sotto controllo giudiziario e saranno successivamente processati nel tribunale per i minorenni, secondo una fonte giudiziaria. Anche il maggiorenne è stato incriminato e rinviato in custodia cautelare nel fine settimana.
Quattro francesi, tra cui tre minorenni, sono stati arrestati e incriminati nell'indagine sulle rapine a mano armata avvenute ad aprile a Fort-de-France, sospettati di aver attirato le loro vittime su siti di incontri tra uomini, ha indicato mercoledì 25 maggio la polizia giudiziaria .
Gli aggressori hanno preso di mira gli utenti omosessuali di un sito di incontri per organizzare appuntamenti. È una procedura che conosciamo e che ricorre spesso , ha affermato all'AFP la commissaria Anne Le Dantec, capo del servizio di polizia giudiziaria territoriale di Fort-de-France.
Le quattro vittime individuate dalla polizia, si erano accordate per incontrarsi in un parcheggio. I malcapitati sono stati presi alla sprovvista, minacciati e rapiti. I criminali, mascherati e armati, hanno condotto ogni vittima a un bancomat prima di partire il più delle volte con il proprio veicolo ed effetti personali.
L'indagine aperta a fine aprile ha permesso di entrare in contatto con un primo sospetto che era alla guida di una delle auto rubate. Durante questo arresto, alla fine di aprile, gli agenti di polizia della brigata anticrimine di Fort-de-France hanno scoperto due armi fittizie (una pistola e un fucile) nel bagagliaio del veicolo.
Gli altri arresti e perquisizioni sono avvenuti il 19 maggio e hanno aiutato a delucidare quattro fatti, sottolinea il questore.
I tre minori sono stati incriminati e poi rilasciati sotto controllo giudiziario e saranno successivamente processati nel tribunale per i minorenni, secondo una fonte giudiziaria. Anche il maggiorenne è stato incriminato e rinviato in custodia cautelare nel fine settimana.
È un fenomeno che ci preoccupava , osserva Anne Le Dantec. Se c'è qualcosa da ricordare, è che si deve essere vigili riguardo agli incontri che si hanno su Internet, ha commentato.🇺🇸 USA: multa da 5 milioni di dollari per una compagnia di crociera statunitense
Il prezzo da pagare equivale a 5 milioni di dollari, di cui 1,25 sono già stati saldati dalla stessa Carnival.
A causare tutto questo sono stati quatto attacchi informatici avvenuti tra il 2019 e il 2021. Secondo il capo eletto del Dipartimento di giustizia dello stato, due dei quattro attacchi corrispondono a ransomware.
La Carnival non è riuscita a rispondere a tali attacchi in quanto ha violato la regolamentazione governativa sulla sicurezza informatica: la norma dettava di utilizzare l'autenticazione a più fattori, che avrebbe reso più solida la difesa della rete interna.
A giustificare la cospicua somma di denaro a penare la compagnia vi è anche il fatto che la stessa non ha fornito formazione sulla sicurezza informatica ai propri dipendenti né segnalato attacchi, nonostante ne fosse a conoscenza da Maggio 2019: ben 10 mesi prima che denunciasse la violazione.
Inoltre Carnival dal 2018 al 2020 ha presentato certificazioni di sicurezza informatica improprie.
La dichiarazione esplicava che Carnival non ha segnalato violazioni e che per l'azienda erano estremamente importanti la privacy e la protezione dei dati.
"Violazioni significative della sicurezza informatica", questo l'esito del verdetto che ha visto la Carnival, una compagnia di crociera statunitense, colpevole di aver esposto dati sensibili dei clienti.Il prezzo da pagare equivale a 5 milioni di dollari, di cui 1,25 sono già stati saldati dalla stessa Carnival.
A causare tutto questo sono stati quatto attacchi informatici avvenuti tra il 2019 e il 2021. Secondo il capo eletto del Dipartimento di giustizia dello stato, due dei quattro attacchi corrispondono a ransomware.
La Carnival non è riuscita a rispondere a tali attacchi in quanto ha violato la regolamentazione governativa sulla sicurezza informatica: la norma dettava di utilizzare l'autenticazione a più fattori, che avrebbe reso più solida la difesa della rete interna.
A giustificare la cospicua somma di denaro a penare la compagnia vi è anche il fatto che la stessa non ha fornito formazione sulla sicurezza informatica ai propri dipendenti né segnalato attacchi, nonostante ne fosse a conoscenza da Maggio 2019: ben 10 mesi prima che denunciasse la violazione.
Inoltre Carnival dal 2018 al 2020 ha presentato certificazioni di sicurezza informatica improprie.
La dichiarazione esplicava che Carnival non ha segnalato violazioni e che per l'azienda erano estremamente importanti la privacy e la protezione dei dati.
⚖️ Computer Misuse Act: difesa legale per l'hacking etico
I legislatori del Regno Unito hanno proposto un emendamento al disegno di legge PSTI (Product Security and Telecommunications Infrastructure) che darebbe ai professionisti della sicurezza informatica una difesa legale per le loro attività ai sensi del Computer Misuse Act (CMA).
Il disegno di legge PSTI è progettato per supportare l'implementazione del 5G nel Regno Unito, imponendo anche politiche di divulgazione delle vulnerabilità per i fornitori di prodotti Internet of Things (IoT), tra le altre disposizioni di sicurezza.
La campagna Cyberact, una coalizione del settore della sicurezza che chiede una riforma globale della CMA, sostiene che una difesa legale ai sensi della legge del 1990 proteggerebbe i ricercatori sulla sicurezza e gli hacker etici da azioni legali spurie quando cercano o segnalano responsabilmente vulnerabilità.
Kat Sommer, responsabile degli affari pubblici del gruppo NCC, sostenitore e portavoce di CyberUp, ha elogiato l'emendamento PSTI, osservando che alcuni paesi con regimi più permissivi non sono ancora arrivati al punto di introdurre una difesa per l'accesso non autorizzato.
Lord Arbuthnot ha anche detto alla Camera dei Lord che quando è stata promulgata la CMA, "
"
Il pericolo legale che circonda la ricerca sulla sicurezza legittima negli Stati Uniti si è notevolmente attenuato a seguito di una sentenza della Corte Suprema degli Stati Uniti su ciò che costituisce "accesso non autorizzato" ai sensi del Computer Fraud and Abuse Act e il recente impegno del Dipartimento di Giustizia a perseguire la sicurezza in buona fede.
I legislatori del Regno Unito hanno proposto un emendamento al disegno di legge PSTI (Product Security and Telecommunications Infrastructure) che darebbe ai professionisti della sicurezza informatica una difesa legale per le loro attività ai sensi del Computer Misuse Act (CMA).
Il disegno di legge PSTI è progettato per supportare l'implementazione del 5G nel Regno Unito, imponendo anche politiche di divulgazione delle vulnerabilità per i fornitori di prodotti Internet of Things (IoT), tra le altre disposizioni di sicurezza.
La campagna Cyberact, una coalizione del settore della sicurezza che chiede una riforma globale della CMA, sostiene che una difesa legale ai sensi della legge del 1990 proteggerebbe i ricercatori sulla sicurezza e gli hacker etici da azioni legali spurie quando cercano o segnalano responsabilmente vulnerabilità.
Kat Sommer, responsabile degli affari pubblici del gruppo NCC, sostenitore e portavoce di CyberUp, ha elogiato l'emendamento PSTI, osservando che alcuni paesi con regimi più permissivi non sono ancora arrivati al punto di introdurre una difesa per l'accesso non autorizzato.
Lord Arbuthnot ha anche detto alla Camera dei Lord che quando è stata promulgata la CMA, "
non è stata data alcuna considerazione -al web scraping, alla scansione delle porte o alla denotazione del malware, e le persone non sono sicure che siano legali. Alcuni di noi non sono sicuri di cosa siano”."
Questo è il motivo per cui deve esserci certezza per i ricercatori sulla sicurezza informatica: devono essere in grado di fare cose per il bene pubblico".Il pericolo legale che circonda la ricerca sulla sicurezza legittima negli Stati Uniti si è notevolmente attenuato a seguito di una sentenza della Corte Suprema degli Stati Uniti su ciò che costituisce "accesso non autorizzato" ai sensi del Computer Fraud and Abuse Act e il recente impegno del Dipartimento di Giustizia a perseguire la sicurezza in buona fede.
⚠️ Flagstar Bank rivela una violazione dei dati
Flagstar Bank, con sede negli Stati Uniti, ha rivelato una violazione dei dati che ha colpito circa 1,5 milioni di persone, ma la società non ha condiviso i dettagli sull'attacco.
La violazione della sicurezza è avvenuta all'inizio di dicembre 2021 e l'indagine conclusa all'inizio di questo mese ha confermato che gli attori avevano accesso a file contenenti informazioni personali di 1,5 milioni di persone.
Secondo una notifica di violazione dei dati pubblicata dall'istituto finanziario, gli aggressori hanno accesso ai numeri di previdenza sociale di alcune delle persone colpite. L'azienda si è già occupata di informare le vittime.
Al momento, Flagstar Bank non è a conoscenza di alcun uso improprio dei dati esposti, la buona notizia per le persone interessate è che l'azienda fornisce loro due anni di servizi gratuiti di monitoraggio dell'identità.
Questa è la seconda volta che Flagstar è stato vittima di una violazione della sicurezza, nel marzo 2021 è stato colpito dalla banda di ransomware Clop. Gli operatori di ransomware Clop hanno iniziato a passare a una nuova tattica per costringere le vittime a pagare il riscatto inviando un'e-mail ai propri clienti e chiedendo loro di richiedere un riscatto per proteggere la loro privacy.
La nuova tecnica mira a rendere più efficiente la tattica della doppia estorsione, i criminali hanno inviato e-mail direttamente ai clienti delle vittime trovati nei documenti rubati durante l'attacco ransomware.
Flagstar Bank, con sede negli Stati Uniti, ha rivelato una violazione dei dati che ha colpito circa 1,5 milioni di persone, ma la società non ha condiviso i dettagli sull'attacco.
La violazione della sicurezza è avvenuta all'inizio di dicembre 2021 e l'indagine conclusa all'inizio di questo mese ha confermato che gli attori avevano accesso a file contenenti informazioni personali di 1,5 milioni di persone.
Secondo una notifica di violazione dei dati pubblicata dall'istituto finanziario, gli aggressori hanno accesso ai numeri di previdenza sociale di alcune delle persone colpite. L'azienda si è già occupata di informare le vittime.
Al momento, Flagstar Bank non è a conoscenza di alcun uso improprio dei dati esposti, la buona notizia per le persone interessate è che l'azienda fornisce loro due anni di servizi gratuiti di monitoraggio dell'identità.
Questa è la seconda volta che Flagstar è stato vittima di una violazione della sicurezza, nel marzo 2021 è stato colpito dalla banda di ransomware Clop. Gli operatori di ransomware Clop hanno iniziato a passare a una nuova tattica per costringere le vittime a pagare il riscatto inviando un'e-mail ai propri clienti e chiedendo loro di richiedere un riscatto per proteggere la loro privacy.
La nuova tecnica mira a rendere più efficiente la tattica della doppia estorsione, i criminali hanno inviato e-mail direttamente ai clienti delle vittime trovati nei documenti rubati durante l'attacco ransomware.