With as cheap and versatile as RTL-SDR devices are, it’s a good idea to have a couple of them on hand for some rainy day hacking. In fact, depending on what signals you’re trying to sniff out of the air, you may need multiple interfaces anyway. Once you’ve amassed this arsenal of software defined radios, you may find yourself needing a way to transport and deploy them. Luckily, [Jay Doscher] has you covered.

His latest creation, the SDR SOLO, is a modular system for mounting RTL-SDRs. Each dongle is encased in its own 3D printed frame, which not only protects it, but makes it easy to attach to the base unit. To keep the notoriously toasty radios cool, each frame has been designed to maximize airflow. You can even mount a pair of 80 mm fans to the bottom of the stack to really get the air moving. The current design is based around the RTL-SDR Blog V4, but could easily be adapted to your dongle of choice.

In addition to the row of SDR dongles, the rig also includes a powered USB hub. Each radio connects to the hub via a short USB cable, which means that you’ll only need a single USB cable running back to your computer. There’s also various mounts and adapters for attaching antennas to the system. Stick it all on the end of a tripod, and you’ve got a mobile radio monitoring system that’ll be the envy of the hackerspace.

As we’ve come to expect, [Jay] put a lot of thought and effort into the CAD side of this project. Largely made of 3D printed components, his projects often feature a rugged and professional look that really stands out.

hackaday.com/2024/09/03/portab…

The Dutch Data Protection Authority (DPA) fined Clearview AI €30.5 million on Tuesday (3 September), for illegally building a database with over 30 billion photos.

euractiv.com/section/data-priv…

Benvenuti alla nostra serie di articoli dedicati alla cybersecurity per le Piccole e Medie Imprese (PMI)! In un mondo sempre più digitale, la sicurezza informatica è diventata una priorità fondamentale per tutte le aziende. Tuttavia, le PMI spesso non dispongono delle risorse o delle competenze necessarie per affrontare adeguatamente le minacce informatiche.

Questa serie di 12 articoli è stata pensata per fornire informazioni pratiche e accessibili che ti aiuteranno a proteggere la tua azienda. Ogni articolo approfondirà un aspetto specifico della cybersecurity, offrendo consigli utili, strategie e best practice per migliorare la tua postura di sicurezza. Dall’aggiornamento del software alla protezione della rete wireless, dalla formazione dei dipendenti alla gestione delle minacce come il ransomware e il phishing, copriremo tutti i punti essenziali per aiutarti a mantenere la tua azienda sicura.

Iniziamo con i fondamenti della cybersecurity, un punto di partenza essenziale per comprendere l’importanza di proteggere i tuoi dati e dispositivi. Continua a seguirci per scoprire come mettere in pratica queste raccomandazioni e fare della sicurezza informatica una parte integrante della tua attività quotidiana.

Non importa se sei una piccola azienda di biscotti artigianali o un colosso della tecnologia, i cybercriminali non fanno distinzione. Non vorrai mica che il tuo piccolo regno venga violato da qualche hacker affamato di dati, vero? Segui questi semplici consigli per trasformare la tua PMI in una fortezza digitale.

Proteggi i tuoi File e Dispositivi

Aggiorna il Software

Se pensi che aggiornare il software sia noioso come guardare la vernice che asciuga, ripensaci. Gli aggiornamenti automatici sono come il burro sulle tue fette biscottate di sicurezza.

Windows update

Aggiornamento automatico app Android

Aggiornamenti automatici su IPhone

Update automatici su Ubuntu

Aggiornamenti automatici du Debian

Metti al Sicuro i tuoi File

Backup, backup, backup! Esegui il backup dei tuoi file importanti offline, su un disco rigido esterno o nel cloud. E per l’amor del cielo, chiudi a chiave i tuoi documenti cartacei su un armadietto.. Usa la regola dei backup 3-2-1 che è piuttosto semplice da spiegare. L’idea è che tu abbia tre copie dei tuoi file: una su cui lavori e due per scopi di backup. Queste due copie di backup sono conservate su supporti diversi e una di esse è fuori sede.

Crediti Proton

Richiedi Password Sicure

Usi la password “12345”?? Sei serio? Piuttosto usa password forti per tutti i dispositivi. E no, non scriverle su un post-it attaccato al monitor, ti prego!

Questa ad esempio è la tabella che mostra i tempi di rilevamento di una password usando tecniche di forza bruta variando tipi di carattere della password e lunghezza.

Cripta i Dispositivi

Cripta tutto, dal laptop al frigorifero smart se necessario. I dati sensibili devono essere protetti come il segreto della Coca-Cola. Ad esempio potresti utilizzare una chiavetta usb con bitLocker per bloccare e sbloccare il tuo hard disk con i dati da proteggere.

Usa l’Autenticazione a Più Fattori (MFA)

Un ulteriore strato di sicurezza, come un codice temporaneo sullo smartphone. Gli hacker dovranno lavorare molto di più per rubare i tuoi dati. Usare una autenticazione a più fattori è differente da un autenticazione a 2 fattori (2FA) perchè in questo ultimo caso ti saranno chiesti due codici ad esempio una password e un codice. Nell’autenticazione a più fattori dovrai utilizzare due tra:

• Qualcosa che sai: I fattori di autenticazione basati sulla conoscenza, come la password, richiedono all’utente di ricordare un segreto che verrà digitato nella pagina di autenticazione.
• Qualcosa che hai: I fattori di autenticazione basati sul possesso richiedono che l’utente sia in possesso di un particolare oggetto, come uno smartphone, una smartcard o un token di autenticazione fisico (come uno Yubikey).
• Qualcosa che sei: I fattori di autenticazione basati sull’inerenza identificano un utente in base ad attributi unici come le impronte digitali, le impronte vocali o il riconoscimento facciale.

Proteggi la tua Rete Wireless

Proteggi il tuo Router

Cambia il nome e la password di default. Spegni la gestione remota e non dimenticare di uscire come amministratore. Il router non è un giocattolo, trattalo con rispetto.

Usa la Criptazione WPA2/WPA3

Assicurati che il tuo router utilizzi almeno il protocollo di sicurezza WPA2. Vuoi proteggere le informazioni che invii sulla tua rete? Bene, allora attiva la criptazione dei tuoi dati trasmessi e una fase di autenticazione più robusta con WPA3!

Pratiche di Sicurezza Intelligenti

Limita i Tentativi di Accesso

Restringi il numero di tentativi di accesso non riusciti. Gli hacker non dovrebbero avere infiniti tentativi di indovinare la tua password. Tutti i servizi che configuri impostali in modo che la password possa scadere e che i tentativi di accesso siano limitati.

Forma il tuo Staff

Sì, anche tuo cugino che lavora part-time. Esegui regolarmente sessioni di formazione sulla sicurezza per tutti i dipendenti. La sicurezza deve essere parte della cultura aziendale.I temi come le tecniche di attacco di ingegneria sociale, l’autenticità dei messaggi, l’autorevolezza delle fonti, la pec e lo spid devono fare parte della nostra competenza digitale di base.

Prepara un Piano

Sviluppa un piano per salvare i dati, mantenere le operazioni e notificare i clienti in caso di violazione. Non farti trovare impreparato come uno scoiattolo in autostrada.

Ricapitolando questi sono i passi pratici da seguire

• Backup Regolari: Assicurati che i backup siano effettuati regolarmente e siano archiviati in modo sicuro.
• Aggiornamenti Automatici: Imposta i sistemi per aggiornarsi automaticamente. Non vuoi diventare l’anello debole della sicurezza.
• Formazione dei Dipendenti: Conduci regolarmente sessioni di formazione sulla sicurezza per tutto il personale. Non lasciare che l’ignoranza sia il tuo nemico.
• Sicurezza Fisica: Chiudi a chiave dispositivi e file cartacei contenenti informazioni sensibili. Non è una cosa difficile, davvero.
• Autenticazione a più fattori: Implementa l’MFA ovunque possibile. Più strati di sicurezza, meno notti insonni.

Seguendo queste regole fondamentali, le piccole e medie imprese possono migliorare significativamente la loro postura di sicurezza informatica e proteggersi dalle minacce potenziali. Ricorda, la cybersecurity non è un compito unico, ma un processo continuo che richiede vigilanza e aggiornamenti regolari.

L'articolo Ritorno alle Basi: Fondamenti di Cybersecurity per le PMI (1/12) proviene da il blog della sicurezza informatica.

Proofpoint riferisce che una nuova campagna malware sfrutta Fogli Google per gestire la backdoor Voldemort, progettata per raccogliere informazioni e fornire payload aggiuntivi.

Gli aggressori si spacciano per autorità fiscali in Europa, Asia e Stati Uniti e hanno già attaccato più di 70 organizzazioni in tutto il mondo. Gli hacker compongono le e-mail di phishing in modo tale che corrispondano alla posizione di una determinata organizzazione (per questo gli aggressori si affidano a fonti aperte). Tali messaggi presumibilmente contengono informazioni fiscali aggiornate e collegamenti a documenti pertinenti.

Secondo il rapporto dei ricercatori, la campagna è iniziata il 5 agosto 2024 e gli hacker hanno già inviato più di 20.000 e-mail (fino a 6.000 al giorno). Gli aggressori prendono di mira settori quali assicurazioni, aerospaziale, trasporti, università, finanza, tecnologia, produzione, sanità, automobilistico, ospitalità, energia, governo, media, telecomunicazioni e così via.

Non è chiaro chi si nasconda dietro questa campagna, ma gli esperti di Proofpoint ritengono che l’obiettivo più probabile degli aggressori sia lo spionaggio informatico.

Facendo clic sul collegamento nell’e-mail, i destinatari vengono indirizzati a una pagina di destinazione ospitata da InfinityFree, che utilizza gli URL della cache AMP di Google per reindirizzare le vittime a una pagina con un pulsante “Fai clic per visualizzare il documento”.

Quando si fa clic sul pulsante, la pagina controlla l’User Agent del browser e, se associato a Windows, reindirizza la vittima all’URI search-ms (Windows Search Protocol), che punta all’URI tunneled di TryCloudflare. Gli utenti non Windows vengono reindirizzati a un URL di Google Drive vuoto che non contiene contenuti dannosi.

Se la vittima interagisce con il file search-ms, Esplora risorse visualizza un file LNK o ZIP mascherato da PDF. L’uso dell’URI search-ms è recentemente diventato popolare nelle campagne di phishing perché un file di questo tipo, ospitato su una condivisione WebDAV/SMB esterna, fa apparire come se fosse nella cartella Download locale, invogliando la vittima ad aprirlo.

Di conseguenza, sul computer della vittima viene eseguito uno script Python da un’altra risorsa WebDAV, che raccoglie informazioni di sistema per compilare un profilo. Allo stesso tempo, viene visualizzato un file PDF progettato per mascherare attività dannose.

Lo script carica anche l’eseguibile Cisco WebEx (CiscoCollabHost.exe) e una DLL dannosa (CiscoSparkLauncher.dll) per caricare Voldemort utilizzando il sideloading DLL.

Voldemort stesso è una backdoor scritta in linguaggio C che supporta un’ampia gamma di comandi e azioni sui file, inclusi il furto, l’inserimento di nuovi payload nel sistema e l’eliminazione dei file.

Una caratteristica distintiva di Voldemort è che il malware utilizza Google Sheet come server di controllo, ricevendo nuovi comandi tramite “Sheets” da eseguire sul dispositivo infetto e utilizzandoli anche come archivio per i dati rubati.

Pertanto, ogni macchina infetta registra i propri dati in specifiche celle di Fogli Google, che possono essere identificate da identificatori univoci come l’UUID, che garantisce l’isolamento e la gestione trasparente dei sistemi compromessi.

Per interagire con Fogli Google, Voldemort utilizza l’API di Google con un ID client integrato, un token di aggiornamento, che vengono archiviati nelle sue impostazioni crittografate.

Come notano gli esperti, questo approccio fornisce al malware un canale di controllo affidabile e altamente disponibile e riduce anche la probabilità che questa attività di rete venga notata dalle soluzioni di sicurezza. Poiché Fogli Google è ampiamente utilizzato nelle aziende, anche il blocco del servizio sembra poco pratico.

L'articolo Il Malware Voldemort sfrutta i Fogli di calcolo Google per Attacchi Globali proviene da il blog della sicurezza informatica.

The statistics presented here are based on detection verdicts by Kaspersky products and services received from users who consented to providing statistical data.

Quarterly figures

In Q2 2024:

• Kaspersky solutions blocked over 664 million attacks from various internet sources.
• The web antivirus reacted to 113.5 million unique URLs.
• The file antivirus blocked over 27 million malicious and unwanted objects.
• Almost 86,000 users encountered ransomware attacks.
• Nearly 12% of all ransomware victims whose data was published on DLSs (data leak sites) were affected by the Play ransomware group.
• Nearly 340,000 users faced miner attacks.

Ransomware

Quarterly trends and highlights

Law enforcement successes

In April 2024, a criminal who developed a packer that was allegedly used by the Conti and Lockbit groups to evade antivirus detection was arrested in Kyiv. According to Dutch police, the arrested individual was directly involved in at least one attack using the Conti ransomware in 2021. The criminal has already been charged.

In May, a member of the REvil group, arrested back in October 2021, was sentenced to 13 years in prison and ordered to pay $16 million. The cybercriminal was involved in over 2,500 REvil attacks, resulting in more than $700 million in total damages.

In June, the FBI announced that it had obtained over 7,000 decryption keys for files encrypted by Lockbit ransomware attacks. The Bureau encourages victims to contact the Internet Crime Complaint Center (IC3) at ic3.gov.

According to the UK’s National Crime Agency (NCA) and the US Department of Justice, the Lockbit group amassed up to $1 billion in its attacks from June 2022 to February 2024.

Attacks exploiting vulnerabilities

The CVE-2024-26169 privilege escalation vulnerability, patched by Microsoft in March 2024, was likely exploited in attacks by the Black Basta group. Some evidence suggests that at the time of the exploitation, this vulnerability was still unpatched, making it a zero-day vulnerability.

In June 2024, a massive TellYouThePass ransomware attack was launched, exploiting the CVE-2024-4577 vulnerability in PHP. This attack targeted Windows servers with certain PHP configurations, including those with the default XAMPP stack. The attackers scanned public IP address ranges and automatically infected vulnerable servers, demanding 0.1 BTC as ransom. Although this is a relatively small amount, the scale of the attacks could have yielded substantial profits. In recent years, this method has not been used as frequently due to its cost for attackers, who prefer instead targeted attacks with the hands-on involvement of operators. However, in this case, the attackers employed the time-tested approach.

Most active groups

Here are the most active ransomware groups based on the number of victims added to their DLSs (data leak sites). In Q2 2024, the Play group was the most active, publishing data on 12% of all new ransomware victims. Cactus came in second (7.74%), followed by Ransom Hub (7.50%).

The percentage of victims of a particular group (according to its DLS) among victims of all groups published on all DLSs examined during the reporting period (download)

Number of new modifications

In Q2 2024, we discovered five new ransomware families and 4,456 new ransomware variants.

Number of new ransomware modifications, Q2 2023 – Q2 2024 (download)

Number of users attacked by ransomware Trojans

In Q2 2024, Kaspersky solutions protected 85,819 unique users from ransomware Trojans.

Number of unique users attacked by ransomware Trojans, Q2 2024 (download)

Geography of attacked users

Top 10 countries and territories targeted by ransomware Trojans

*Countries and territories with fewer than 50,000 Kaspersky users were excluded from the calculations.
**Percentage of unique users whose computers were attacked by ransomware Trojans out of all unique Kaspersky product users in that country or territory.

Top 10 most common families of ransomware Trojans

*Statistics are based on detection verdicts by Kaspersky products. The information was provided by Kaspersky users who consented to providing statistical data.
**Unique Kaspersky users attacked by the ransomware Trojan family as a percentage of total users attacked by ransomware Trojans.

Miners

Number of new modifications

In Q2 2024, Kaspersky products detected 36,380 new miner variants.

Number of new miner modifications, Q2 2024 (download)

Number of users attacked by miners

In Q2 2024, we detected attacks using miners on 339,850 unique Kaspersky users worldwide.

Number of unique users attacked by miners, Q2 2024 (download)

Geography of attacked users

Top 10 countries and territories targeted by miners

*Countries and territories with fewer than 50,000 Kaspersky users were excluded from the calculations.
**Percentage of unique users whose computers were attacked by miners out of all unique Kaspersky product users in that country or territory.

Attacks on macOS

In Q2 2024, numerous samples of the spyware Trojan-PSW.OSX.Amos (also known as Cuckoo) were found. This spyware is notable for requesting an administrator password through osascript, displaying a phishing window. Attackers regularly update and repackage this Trojan to avoid detection.

New versions of the LightRiver/LightSpy spyware were also discovered. This Trojan downloads modules from the server with spy and backdoor functionalities. For example, they record the screen or audio, steal browser history, and execute arbitrary console commands.

Top 20 threats to macOS

The percentage of users who encountered a certain malware out of all attacked users of Kaspersky solutions for macOS (download)

The leading active threat continues to be a Trojan capable of downloading adware or other malicious applications. Other common threats include adware and fake “system optimizers” that demand money to “fix” nonexistent issues.

Geography of threats for macOS

Top 10 countries and territories by share of attacked users

*Percentage of unique users encountering macOS threats out of all unique Kaspersky product users in that country or territory.

There has been a slight increase of 0.1–0.2 p.p. in the share of attacked users in Mexico, Hong Kong, the United Kingdom, and India. Conversely, we see a slight decline in Spain, Italy, and Germany.

IoT threat statistics

In the second quarter of 2024, the distribution of attack protocols on devices targeting Kaspersky honeypots was as follows:

Distribution of attacked services by the number of unique IP addresses of the devices carrying out the attacks, Q1–Q2 2024 (download)

The share of attacks using the Telnet protocol continued to grow, reaching 98%.

Distribution of cybercriminal sessions with Kaspersky honeypots, Q1–Q2 2024 (download)

Top 10 threats delivered to IoT devices

Share of a specific threat downloaded to an infected device as a result of a successful attack, out of the total number of downloaded threats (download)

Attacks on IoT honeypots

For SSH protocol attacks, the share of attacks from China and India increased, while activity from South Korea slightly declined.

Telnet attacks from China returned to 2023 levels, while the share from India grew.

Attacks via web resources

The statistics in this section are based on the work of the web antivirus, which protects users at the moment malicious objects are downloaded from a malicious or infected webpage. Cybercriminals intentionally create malicious pages. Web resources with user-created content (such as forums), as well as compromised legitimate sites, can also be infected.

Countries and territories that serve as sources of web-based attacks: Top 10

The following statistics show the distribution of countries and territories that were the sources of internet attacks on users’ computers blocked by Kaspersky products (webpages with redirects to exploits, sites with exploits and other malware, botnet control centers, and so on). Any unique host could be the source of one or more web-based attacks.

To determine the geographical source of web-based attacks, domain names are matched against their actual domain IP addresses, and then the geographical location of a specific IP address (GEOIP) is established.

In Q2 2024, Kaspersky solutions blocked 664,046,455 attacks launched from online resources across the globe. A total of 113,535,455 unique URLs that triggered the web antivirus were recorded.

Distribution of web attack sources by country and territory (Q2 2024) (download)

Countries and territories where users faced the greatest risk of online infection

To assess the risk of malware infection through the internet faced by user’s computers in different countries and territories, we calculated the share of Kaspersky product users who encountered web antivirus detections during the reporting period for each country and territory. This data indicates the aggressiveness of the environment in which computers operate.

The following statistics are based on the detection verdicts of the web antivirus module, provided by Kaspersky product users who consented to share statistical data.

It’s important to note that only attacks involving malicious objects of the Malware class are included in this ranking. Web antivirus detections for potentially dangerous and unwanted programs, such as RiskTool and adware, were not counted.

*Countries and territories with fewer than 10,000 Kaspersky users were excluded from the calculations.
**Percentage of unique users subjected to web attacks by malicious objects of the Malware class out of all unique Kaspersky product users in that country or territory.

On average during the quarter, 7.38% of the internet users’ computers worldwide were subjected to at least one Malware-category web attack.

Local threats

Statistics on local infections of user computers are an important indicator. They include objects that penetrated the target computer through infecting files or removable media, or initially made their way onto the computer in non-open form (for example, programs in complex installers, encrypted files, etc.).

Data in this section is based on analyzing statistics produced by antivirus scans of files on the hard drive at the moment they were created or accessed, and the results of scanning removable storage media. The following statistics are based on detection verdicts from the OAS (on-access scan, scanning when accessing a file) and ODS (on-demand scan, scanning launched by a user) antivirus modules, provided by Kaspersky product users who agreed to share statistical data. These statistics take into account malware found directly on users’ computers or on removable media connected to computers, such as flash drives, camera memory cards, phones, and external hard drives.

In the second quarter of 2024, our file antivirus detected 27,394,168 malicious and potentially unwanted objects.

Countries and territories where users faced the highest risk of local infection

For each country and territory, we calculated the percentage of Kaspersky users on whose computers file antivirus was triggered during the reporting period. This data reflects the level of infection of personal computers across different countries and territories worldwide.

Note that only attacks involving malicious objects of the Malware class are included in this ranking. Detections of potentially dangerous or unwanted programs such as RiskTool and adware were not counted.

*Countries and territories with fewer than 10,000 Kaspersky users were excluded from the calculations.
**Percentage of unique users on whose computers local Malware-class threats were blocked, out of all unique Kaspersky product users in that country or territory.

On average, 14.2% of users’ computers worldwide encountered at least one local Malware-class threat during the second quarter.

The figure for Russia was 15.68%.

securelist.com/it-threat-evolu…

“Ogni mio nuovo lavoro rappresenta la summa e la sintesi di tutti quelli realizzati prima, evolvendone nuovamente il significato e la portata artistica. Credo che “Strategia Esoterica” abbia comunque una forza molto superiore perché frutto di una trasmutazione molto potente”- Deca @Musica Agorà

iyezine.com/deca-strategia-eso…

Deca - Strategia esoterica

Deca - Strategia esoterica - “Ogni mio nuovo lavoro rappresenta la summa e la sintesi di tutti quelli realizzati prima, evolvendone nuovamente il significato e la portata artistica.

^{Massimo Argo (In Your Eyes ezine)}