Il mercato della cybersecurity sta crescendo rapidamente, con proiezioni che indicano un aumento da 223,7 miliardi di dollari nel 2023 a 248,65 miliardi di dollari nel 2024, con un CAGR (tasso di crescita annuale composto) dell’11,2%. Questo aumento è dovuto a vari fattori, tra cui l’aumento degli attacchi informatici, la crescita economica nei mercati emergenti e l’espansione delle iniziative di digitalizzazione (Research and Markets) (MarketsandMarkets) .

Problemi dei Silos Tecnologici in Cybersecurity

Le tecnologie e i servizi “siloed” rappresentano una sfida critica nel campo della cybersecurity. I silos creano barriere tra diversi dipartimenti e tecnologie all’interno di un’organizzazione, limitando la condivisione delle informazioni e la collaborazione. Questo isolamento può portare a inefficienze operative, vulnerabilità alla sicurezza e decisioni basate su dati incompleti o inaccurati (Gartner).

Tendenze e Soluzioni Emerse

1. Integrazione delle Tecnologie: L’integrazione delle tecnologie è essenziale per superare i problemi dei silos. Soluzioni basate su cloud e piattaforme di gestione centralizzata dei dati stanno guadagnando terreno. Queste tecnologie facilitano la condivisione delle informazioni e migliorano la visibilità sulle operazioni di sicurezza, permettendo una risposta più rapida ed efficace alle minacce (Mordor Intelligence) .
2. Intelligenza Artificiale e Machine Learning: L’adozione di AI e machine learning sta trasformando il panorama della cybersecurity. Queste tecnologie offrono capacità avanzate di rilevamento delle minacce e analisi predittiva, aiutando le organizzazioni a identificare e mitigare le vulnerabilità in modo più efficiente (MarketsandMarkets) (Gartner) .
3. Cybersecurity Basata su processi di Orchestrazione: La moltitudine di tecnologie che rappresentano lo stack di sicurezza per ogni impresa soffre l’incompletezza di integrazione, spesso tradotta in difetto – parziale o assoluto – di processi di orchestrazione. Ogni incidente di sicurezza trova i suoi effetti su differenti componenti tecnologiche, e relativi servizi dell’organizzazione target, con la conseguenza che la singola tecnologia, o componente di sicurezza, non pu’ garantire una soluzione completa, e quindi spesso azioni di risposta parziali.

Per queste ragioni l’obiettivo di ogni impresa deve essere quello di integrare dei processi di orchestrazione, che portino, una volta testati e confermati, a capacita’ di automazione, sia in fase di detection (es. Categorizzazione dei false-positives) e sia in fase di response (es. playbook di mitigazione – o contenimento- e di risoluzione).

Attacchi Hacker di Successo Causati da Tecnologie e Servizi “Siloed” nel 2024

Nel 2024, diversi attacchi informatici di successo hanno evidenziato le vulnerabilità create da tecnologie e servizi “siloed”. Ecco alcuni esempi rilevanti che mostrano come la frammentazione delle tecnologie possa avere conseguenze disastrose.

Attacco a Trello (Gennaio 2024)

Trello, uno strumento di gestione dei progetti online, ha subito una violazione di dati che ha esposto informazioni su 15 milioni di account. Questo incidente è stato possibile a causa di una vulnerabilità nell’API pubblica, che ha permesso agli hacker di abbinare un database di 50 milioni di email con gli account Trello. La mancanza di integrazione e coordinamento tra i vari sistemi di sicurezza di Trello ha facilitato questa violazione (TechRadar) .

Attacco a VARTA (Febbraio 2024)

Il produttore tedesco di batterie VARTA è stato colpito da un attacco informatico che ha causato la chiusura di cinque impianti di produzione. Gli hacker sono riusciti a superare gli standard di sicurezza IT dell’azienda, indicando che le difese segmentate e non integrate erano insufficienti per prevenire l’incursione. Questo tipo di frammentazione ha impedito una risposta coordinata ed efficace all’attacco (TechRadar) .

Attacco a UnitedHealth/Change Healthcare (Febbraio 2024)

UnitedHealth Group ha subito un grave attacco ransomware che ha colpito la sua piattaforma Change Healthcare. Gli hacker, associati al gruppo BlackCat, hanno sottratto 6 TB di dati da migliaia di fornitori di assistenza sanitaria. La frammentazione dei sistemi di sicurezza tra le varie divisioni e fornitori ha impedito una rapida identificazione e contenimento dell’attacco (Cyber Training & Consulting) .

Il Contributo dell’Augmented SOC

Un Augmented Security Operations Center (SOC) rappresenta un’evoluzione significativa rispetto ai tradizionali centri operativi di sicurezza. Integrando tecnologie avanzate come l’intelligenza artificiale (AI), il machine learning e l’automazione, un Augmented SOC offre una serie di vantaggi chiave:

• Rilevamento Avanzato delle Minacce: L’AI e il machine learning consentono di analizzare grandi volumi di dati in tempo reale, identificando comportamenti anomali e potenziali minacce in modo più rapido ed efficiente rispetto ai metodi tradizionali. Questo approccio proattivo migliora la capacità di rilevare attacchi sofisticati che potrebbero sfuggire ai sistemi di sicurezza convenzionali (Mordor Intelligence) (MarketsandMarkets) .
• Automazione delle Risposte: Un Augmented SOC può automatizzare molte delle risposte agli incidenti di sicurezza, riducendo il tempo di reazione e minimizzando i danni potenziali. L’automazione consente agli analisti di concentrarsi su compiti più strategici e complessi, migliorando l’efficienza operativa complessiva (Gartner) .
• Visibilità Unificata: Integrando diverse fonti di dati e piattaforme di sicurezza, un Augmented SOC offre una visibilità completa sulle operazioni di sicurezza di un’organizzazione. Questo approccio unificato elimina i silos informativi, migliorando la collaborazione tra i team e permettendo una gestione più coordinata della sicurezza (Pipedrive) .
• Resilienza e Risposta Continuativa: La capacità di monitorare continuamente l’esposizione alle minacce e di valutare in modo sistematico la vulnerabilità delle risorse digitali aiuta a mantenere una superficie di attacco più sicura. Programmi di gestione dell’esposizione continua alle minacce (CTEM) possono ridurre significativamente il numero di violazioni (Gartner) .

La risposta di Nais

In qualita’ di Service Provider, il nostro Security Competence Center ha gestito – nel corso degli anni – numerose piattaforme, non solo in termini di componenti dello stack di sicurezza (es. EDR, XDR, NDR, Firewall, WAF, IPS/IDS, SIEM, …) ma anche di vendor tecnologici, e quindi di preferenze dell’Impresa finale.

Il risultato? Decine di tecnologie, spesso con impossibilita’ di gestirle simultaneamente o – come da noi chiamato – in un Single Point of Control (SPOC).

Per queste ragioni abbiamo deciso, dapprima per soli finalita’ ad uso interno del nostro SOC, di implementare Fluxstorm: la prima piattaforma ‘’Augmented SOC’’ 100% italiana, agentlesse, e tecnologicamente agnostica.

Grazie alle REST-API fornire dai vendot tecnologici e al nostro Team dedicato allo alla R&D, Nais e’ in grado di assicuare ai nostri Clienti un’esperienza senza precedenti: un’unica piattaforma capace di mostrare in real-time, 24*7, ogni evento di sicurezza, relativo allo stato di sicurezza di: Endpoint, Network, Vulnerabilità, Log Manager, Intelligence & Dark Web Monitoring, OT Asset.

E nell’indirizzo della trasparenza, Nais toglie ogni barriera tra Fornitore e Cliente, garantedo la possibilita’ di comunicare con il nostro SOC con una chat dedicata e protetta by-design, una sanbox dedicata, repository per i report di Servizio, e grafici in real-time sulle performance del SOC rispetto agli SLA ed ai KPI definiti con il Cliente.

Capacita’ di Collezione, Correlazione, Orchestrazione e Automazione, il tutto a portata di click e potenziato dai nostri motori proprietari di AI: questo e molto ancora e’ Fluxstorm.

L'articolo Mercato della Cybersecurity nel 2024: Tecnologie e Servizi “Siloed” e il Ruolo dell’Augmented SOC proviene da il blog della sicurezza informatica.

Il Ransomware, è un malware progettato per criptare i dati rendendoli ripristinabili solo con l’uso di una chiave privata. Una matematica relativamente semplice è tutto ciò di cui hanno bisogno gli attori delle minacce per distruggere le reti di tutto il mondo; una volta bloccati, è possibile riavere i propri dati solo in un modo: tramite il pagamento di una somma di denaro.

Il primo vero Ransomware mai scoperto è stato realizzato da Joseph L. Popp Jr. con il suo malware chiamato Trojan AIDS. Isolato nel 1989, il programma era memorizzato all’interno di un Floppy Disk con l’etichetta “AIDS Information Introductory” (Informazioni introduttive sull’AIDS), inviato nella posta elettronica di 20.000 partecipanti alla conferenza dell’OMS a Stoccolma. Una volta aperto, l’unità C: della vittima veniva completamente criptata e il gioco era finito.

Per riavere i propri dati bisognava pagare un riscatto (200 dollari) inviati tramite busta per ricevere un floppy disk per poter decriptare i file.

Questo è stato solo un dolce inizio di un vero e proprio fenomeno ed ecosistema indipendente con regole e organizzazione proprie. Il Ransomware-as-a-Service (RaaS). Si tratta di un modello di affiliazione tra gli sviluppatori di ransomware e gli attaccanti, che consente ad entrambe le parti di migliorare l’efficacia degli attacchi con pagamenti sempre crescenti, divisibili in chiare percentuali.

In questa serie di articoli sveleremo la storia di uno dei RaaS più importanti, aggressivi e influenti, noto anche come Conti. Questo gruppo, anche se (tecnicamente) non più attivo, ha lasciato dietro di sé ombre e luci, ma la sua storia è un esempio perfetto di come si comportano i RaaS, di come sono organizzati e, soprattutto, di chi si cela dietro i nickname online.

La storia del gruppo Conti è preziosa (probabilmente persino necessaria) per comprendere la fenomenologia del ransomware nel passato, presente e futuro.

Origini – The Dark Root

[…] But in case of your refusal to cooperate we will run a great damage to your business, you will lose ten times more in courts due to violation of the laws on the GDPR and yout partner’s data leak. We’ll inform your employes partners and government about this leak, your data will be pubblished on public blogs and salty competitors. We will inform media about cyberattack to your company and backdoor access to your company data will be sold to other hacker groups and it wil be the last day of your business. We don’t want to do that for sure and we will not do that if we negotiate successfully. We are waiting for you in that chat, think about your future and your families. Thank you. Bye

Suncrypt vocal ransome note

Ransom Cartel (chiamato così da Jon DiMaggio), un pioniere nel panorama dei RaaS, è emerso nel 2020 come terreno di coltura per diversi RaaS ora importanti e ben noti. I suoi membri erano affiliati a cinque diversi gruppi: Viking Spider, Suncrypt, Twister Spider, Lockbit Gang e, il nostro protagonista, Wizard Spider.

Prima di approfondire il tema di Wizard Spider, esaminiamo brevemente Ransom Cartel e i vantaggi che offriva ai suoi gruppi membri. Fondato nel giugno 2020 da Twister Spider (attivo dal 2018), il collettivo era composto prevalentemente da individui di lingua russa provenienti dall’Europa orientale. Un’innovazione degna di nota è stata l’introduzione della regola “no-CIS” esplicita nei codici ransomware, impedendo la crittografia dei sistemi situati nei Paesi della Comunità degli Stati Indipendenti.

Gli analisti hanno scoperto che i quattro gruppi hanno collaborato per infiltrarsi nelle reti, culminando nella crittografia e nell’esfiltrazione dei dati. I dati rubati sono stati poi trasferiti a Twister Spider, che ha gestito il sito di fuga di dati (DLS) e le trattative. Ogni post sul DLS includeva un’attribuzione al gruppo specifico responsabile della violazione.

Inoltre, la scoperta di server Command&Control usati dai diversi gruppi all’interno dello stesso intervallo/indirizzo IP ha confermato i forti legami tra i membri. Questo dimostra una condivisione di tecniche e scambio di informazioni nei processi operativi e di estorsione (ad esempio, l’uso del DDoS, VM per l’evasione, doppia estorsione). Sebbene i meccanismi specifici di condivisione dei profitti e i programmi di affiliazione non siano ancora chiari, è stata evidenziata l’eccezionale efficacia e sofisticazione dei programmi di affiliazione.

Il cartello ha indubbiamente contrastato l’incredibile aumento degli attacchi ransomware registrato nel 2021 e nel 2022 [1]. Il filo rosso seguito da tutti i gruppi era quello di puntare al danno reputazionale spingendo al limite le vittime.

Maze ha esplicitamente confermato a BleepingComputer di aver collaborato con LockBit e “un altro gruppo che presto emergerà sul nostro sito […]” nel giugno 2020. A Novembre 2020 Twisted Spider ha ritirato Maze cercando di mascherare i legami con gli altri 3 gruppi, dopo un anno di operazioni con questo specifico ceppo, passando a Egregor (iniziato a settembre 2020). Queste operazioni hanno permesso al gruppo di estorcere (almeno) $75 MLN alle vittime.

Anche Suncrypt è stato intervistato da BleepingComputer e ha dichiarato di essersi unito al cartello perché “[…] non è in grado di gestire tutti i campi operativi disponibili. La nostra principale specializzazione sono gli attacchi ransomware”.

Gli analisti hanno ipotizzato che, nel primo anno dell’era del ransomware, le capacità degli attori fossero altamente specializzate, rendendo la collaborazione un requisito minimo per monetizzare le loro attività illecite. A settembre 2020 Suncrypt ha chiuso le operazioni lasciando il Cartello dopo essere riemerso con operazioni autonome distaccate.

Ma chi c’è dietro il concetto originale di “Cartello del Riscatto”? Apparentemente…REvil! Dopo una serie di fallimenti nel 2020, il gruppo REvil ha iniziato ad assumere nuove persone nella clandestinità, tra cui operatori e negoziatori. I due gruppi presentano enormi somiglianze nelle note di riscatto, nel codice/tecniche del ransomware e nella strategia di caccia grossa. Questo sottoinsieme di attori delle minacce è stato chiamato PINCHY SPIDER…. ma questa è un’altra storia! Non è chiaro se Twisted Spider sia direttamente collegato a REvil, ma la maggior parte degli attacchi effettuati dal cartello e le attività successive allo sfruttamento sono simili a quelle di REvil [2].

La creazione di Twisted Spider è durata circa un anno, dopo il ritiro delle operazioni di Maze il gruppo si è lentamente degradato. Individuare l’esatta tempistica è difficile, ma è probabile che la chiusura del Cartello del Riscatto sia avvenuta all’inizio del 2021. Le motivazioni sottostanti rimangono oscure e, comprensibilmente, non vengono rivelate al pubblico. Le indagini hanno dato risultati parziali, rivelando le aspirazioni a lungo termine dei membri del cartello. Sebbene un’operazione su larga scala possa inizialmente intimidire le vittime, può anche semplificare il compito delle forze dell’ordine. Ransom Cartel non era solo grande ma anche molto visibile, attirando una notevole attenzione (non desiderata) e alcuni membri erano scettici sul futuro del collettivo. La collaborazione all’interno del Cartello del riscatto era spesso incoerente e mal definita, rappresentando un ostacolo significativo che alla fine ha portato allo scioglimento dei quattro gruppi.

Per quanto riguarda la fine di “Ransom Cartel”, il risultato è stato incredibile, sorprendente ed una evoluzione nel panorama RaaS. Ogni gruppo all’interno del collettivo ha operato (e alcuni lo fanno ancora!) con il proprio RaaS: Lockbit Gang ha fondato il (ancora) noto LockBit RaaS, Viking Spider ha continuato con Ragnar Locker ma nell’ottobre del 2023 è stato colpito da una catena di arresti, le ultime tracce di Suncrypt risiedono nel 2022 rendendoli di fatto dei veterani del settore e Wizard Spider ha fondato il protagonista della nostra storia: Conti.

L’era del Ransomware 2.0 è ufficialmente iniziata!

Wizard Spider – Не учи́ учёного

Il Cartello del Riscatto era sicuramente preparato per un’operazione offensiva, ma c’era solo un gruppo le cui capacità erano di gran lunga superiori a quelle di altri, Wizard Spider. Questa minaccia ha dimostrato di avere TTP sofisticati e un vasto armamentario. Identificato nel 2018 utilizzando Ryuk Ransomware in natura, si è unito al collettivo del Cartello nell’Agosto 2020 alzando notevolmente il livello.

Il gruppo è interessante, ha operato in diversi team che hanno consentito operazioni diverse sviluppando contemporaneamente i propri strumenti unici, tra cui:

• Sidoh/Ryuk Stealer: Il malware, scritto in C++, dopo aver analizzato gli argomenti della CLI inizia a enumerare le unità all’interno dell’host vittima. Dopo questa prima enumerazione, Sidoh raccoglie le voci ARP memorizzate nel tentativo di montare la condivisione SMB e successivamente le enumera evitando i percorsi standard di Windows e le DLL. Nei diversi campioni analizzati sono state trovate stringhe di estensioni contenenti .exe, .sqlite, .msi, .ps1 e persino quella di Ryuk Ransomware. Per accelerare il processo di esfiltrazione, il malware salta questi file, evidenziando il forte legame tra Sidoh e Ryuk Ransomware dopo l’exploit. L’attenzione si è concentrata sui documenti Word ed Excel con un’adeguata analisi prima dell’esfiltrazione; è interessante notare che alcuni campioni hanno memorizzato parole chiave che, se presentate nel nome del file o nel contenuto, innescano il caricamento immediato del file. Alcune di queste parole erano NATO, FBI, NSA, tank, military, government e securityN-CSR10-SBEDGAR (EDGAR è una piattaforma di ricerca testuale su tutti i documenti SEC dal 2021) che indica che il gruppo era interessato anche a risorse politiche e governative. L’esfiltrazione avviene tramite FTP.
• Bazar Backdoor: Utilizzato principalmente nelle operazioni di TrickBot e consegnato via Phishing attraverso gli indirizzi e-mail di Sendgrid. Quando Bazar loader viene attivato (senza file), attiva una risoluzione DNS tramite Emercoin utilizzando il dominio “bazar” che può essere utilizzato esclusivamente da questo specifico servizio decentralizzato. Collegandosi a uno specifico dominio bazar (bestgame.bazar, thegame.bazar, …) un payload XOR Bazar Backdoor viene salvato nell’host vittima e iniettato senza file nel processo svchost. Diversi campioni evidenziano diverse tecniche di iniezione dei processi, ma spesso sono state preferite le tecniche di Process Hollowing o Process Doppelganging. Viene anche configurata un’attività pianificata che consente la persistenza dopo lo spegnimento del sistema.
• TrickBot Trojan: Probabilmente uno degli strumenti più acuti e avanzati creati da Wizard Spider, un Trojan modulare nato per recuperare le credenziali bancarie. Con il pretesto di indurre l’utente (trick) a cliccare su un’immagine memorizzata in diversi tipi di documenti, rende possibile il download di un payload maligno decriptato in fase di esecuzione e iniettato con diverse procedure di evasione. In natura sono state trovate più di 61 varianti, ognuna delle quali con scopi diversi, come il furto di dati del browser, il furto di credenziali, il criptomining e anche il ransomware (in particolare con le campagne di Ryuk Ransomware). Questo strumento è dotato di molti cappelli, dagli attacchi man-in-the-middle nel browser dell’utente alla persistenza tradizionale su server C2, il tutto semplificato dall’uso di moduli (solitamente DLL) che possono essere caricati in Trickbot rendendolo un’arma altamente modulare.
• Anchor: Un altro strumento backdoor, ma questa volta incentrato sui dispositivi PoS. Spesso concatenato con TrickBot come malware di secondo livello, è stato progettato specificamente per i sistemi Point Of Sales (PoS) e per il furto di dati in sequenza attraverso il tunneling DNS.
• Ryuk Ransomware & Conti Ransomware: I “gioielli della corona”, l’intero set di strumenti è progettato per coordinare le operazioni di ransomware. I due ceppi di ransomware derivano da Hermes Ransomware (utilizzato dalle APT nordcoreane per mascherare le loro operazioni). Questi malware sono estremamente veloci nel processo di crittografia, soprattutto Conti che viene eseguito con 32 CPU thread simultanei. Wizard Spider non punta solo alla crittografia, ma anche a rendere il recupero il più difficile possibile attraverso le copie shadow, con la combinazione di evasione ed escalation dei privilegi incorporata nel codice che rende questi due ransomware altamente efficienti. Wizard Spider ha creato altri due ceppi di ransomware chiamati MegaCortex e GogaLocker, ma si è ritirato poco dopo il loro utilizzo “in the wild”.

Dovrebbe essere abbastanza chiara l’enorme flessibilità e le diverse operazioni condotte da questo team, che non sono solo attaccanti intelligenti ma anche sviluppatori professionali. Wizard Spider ha eseguito più operazioni contemporaneamente, evidenziando la presenza di numerosi individui dietro il gruppo e di abilità estremamente affilate.

Le operazioni di Conti diventeranno un nuovo prodotto autonomo dopo l’uscita da Ransom Cartel e domineranno l’intero ambiente espandendo la rete di Wizard Spider.

Conti : Born to Lock!

Nell’agosto 2020 il DLS di Conti apre ufficialmente al pubblico.

L’aspetto vintage è stato rapidamente modificato con una versione estetica e professionale nel Dicembre 2020, presentando Conti come Ransomware-as-a-service. Dalla grande apertura del loro DLS alla fine del 2020 Conti ha pubblicato (circa) 175 vittime ed è stato solo l’inizio.

L’anno 2021 è stato il periodo d’oro di questo RaaS con operazioni consistenti su aziende occidentali e infrastrutture critiche. Nel loro periodo di massimo splendore sono stati il secondo RaaS in termini di quota di mercato, preceduti solo da REvil.

Nell’aprile 2021 un attore delle minacce è stato in grado di criptare la rete delle vittime da un payload in fase iniziale in soli 2 giorni e 11 ore. Gli analisti hanno riscontrato un’ampia scelta di C2, indirizzi di phishing, tecniche di accesso iniziale e malware utilizzati nelle loro operazioni alla base del pool di TTP degli operatori di Ransomware di Conti che, di conseguenza, ha fatto scendere il tempo medio per danneggiare una vittima: da 2 mesi a 3/4 giorni.

Ma Conti non è famoso per le sue capacità, bensì per la sua sconsiderata selezione delle vittime. Dal 26 ottobre 2020, KrebsonSecurity ha pubblicato una soffiata da parte di una “risorsa affidabile” che avvertiva che il gruppo di ransomware dietro Ryuk (Wizard Spider) si stava costruendo una reputazione sui forum underground russi per aver preso di mira e danneggiato le risorse digitali sanitarie. La minaccia è diventata realtà poco dopo raggiungendo l’apice con l’attacco dell’Health Service Executive (HSE).

L’HSE è un sistema sanitario pubblico irlandese fondato all’inizio del 2005. Il 14 maggio 2021 (nel bel mezzo della pandemia di Covid) l’Irlanda ha subito il più grande cyberattacco nella storia dell’intero Paese, che ha colpito i sistemi di prenotazione degli ospedali, il referral dei test COVID, il portale di registrazione dei vaccini e l’arresto delle reti nazionali e locali dell’HSE. Un’interruzione su larga scala causata dalla crittografia dei file del ransomware Conti, con diversi mesi di recupero come prezzo per i fornitori di servizi sanitari, che ha rallentato gli ospedali e i centri medici dell’intero Paese. La crittografia non è stato l’unico problema che l’Irlanda ha dovuto affrontare, ma anche i dati rubati utilizzati per la doppia estorsione nelle mani del personale Conti.

Conti ha deciso il riscatto, nella chat di negazione, e lo ha fissato a $20 MLN con ulteriori campioni dei 700GB di dati rubati: 27 file sensibili appartenenti a 12 persone diverse. Il costo totale dell’attacco, compreso il recupero e la procedura legale, è costato circa $100 MLN. HSE ha rilasciato una dichiarazione pubblica sottolineando che la minaccia ha utilizzato una vulnerabilità 0-day e che “non c’era esperienza su come rispondere all’attacco” ma, durante i processi di risposta all’incidente, i professionisti hanno trovato tonnellate di postazioni di lavoro obsolete (Windows 7 che non riceve patch di sicurezza dal 2020) in giro per le reti HSE che sicuramente hanno aiutato gli aggressori nella procedura di attacco.
HSE attack timeline

“L’opportunità di errore è enorme. Mi riferisco ad esempio a persone che ricevono trasfusioni di sangue sbagliate, a campioni inviati con il nome sbagliato del paziente […] Ho esaminato un paziente e dovevo prendere una decisione sull’opportunità di cambiare farmaco. Non sapeva cosa stesse assumendo e non potevo verificare le informazioni”.

Medico di Dublino dopo l’attacco HSE

Conti ha deciso di fornire gratuitamente il decriptatore (che era lento e “scadente” secondo le parole dei professionisti della sicurezza) minacciando comunque di rilasciare i dati raccolti; il governo irlandese ha deciso di rifiutare il pagamento, il che significa che tutti i dati sanitari sono stati venduti per il profitto di RaaS.

Si è trattato di un attacco isolato al settore sanitario? No! L’NCSC (National Cyber Security Center) irlandese ha notificato i tentativi di attacco al Ministero della Salute irlandese. Le forze dell’NCSC hanno isolato i sistemi e hanno trovato payload e artefatti digitali simili (Cobalt Strike) a quelli recuperati nella rete dell’HSE, ma non possiamo affermare al 100% che Conti sia dietro questo (tentativo di) attacco.

Il fulcro dell’attacco di Conti non è stato solo l’interruzione di un servizio pubblico, ma anche la rovina della reputazione dell’HSE, le azioni legali e i costi elevati tra multe e rinnovamenti della cybersecurity. Non possiamo dire quanto denaro abbiano guadagnato vendendo i dati sanitari (in realtà, non sappiamo se i dati siano stati venduti in prima istanza), ma ciò che possiamo concludere è che l’immagine dell’HSE è stata profondamente rovinata, mentre quella di Conti è rimasta forte: un gruppo offensivo “amatoriale” ha messo in ginocchio gli ospedali irlandesi con un singolo malware.

No Rest For The Wicked

Nel 2021 Conti ha superato gli altri gruppi della scena in termini di guadagno. La loro formula ha funzionato, la sola operazione Conti RaaS è ancora il primo in termini di profitto (documentato). Nel 2021 le loro estorsioni hanno lavorato per $180 MLN dalla creazione del RaaS, che è stato il doppio di DarkMatter responsabile dell’attacco Ransomware Colonial Pipe che ha cambiato la visione della cybersicurezza (almeno) negli Stati Uniti.

Il Dipartimento di Giustizia degli Stati Uniti ha offerto aiuto all’Irlanda durante il crollo dell’HSE e sembra che abbia colto l’occasione per entrare in contatto (indirettamente) con la minaccia. Gli Stati Uniti hanno pubblicato due documenti riguardanti Conti e le sue operazioni, il Joint Cybersecurity Advisory: Conti Ransomware (settembre 2021) e un FBI Flash (maggio 2021). Quest’ultimo è una descrizione della minaccia con IoC e TTP, mentre nel primo documento l’FBI individua 16 diversi attacchi effettuati dal RaaS a danno di infrastrutture critiche.

In questi 16 attacchi (a livello globale Conti ha raccolto 400 vittime in un anno, 290 solo negli USA) non abbiamo solo cure mediche, ma anche 911 dispatcher centers e con il riscatto più alto di $25 MLN. Quando è troppo è troppo, d’ora in poi Conti è ufficialmente un nemico del governo statunitense.

Ad esempio, nell’agosto 2021 Conti ha attaccato con successo la sede centrale di un sussidario di Nokia (SAC wireless) a Chicago, nell’aprile 2021 la Broward County Public School, in Florida (chiedendo $40 MLN) e tra settembre e ottobre 2021 la società JVC Kenwood (1,7 TB di dati rubati più $7 MLN di riscatto).

A prescindere da Conti, Ryuk e Trickbot (quest’ultimo diventato un prodotto malware-as-a-service) le operazioni non si sono fermate e il gruppo assomiglia più a un’azienda che a una semplice banda criminale. Sono organizzati, hanno una fitta comunicazione interna e un enorme numero di dipendenti. In particolare Trickbot sta diventando molto popolare tra gli attori delle minacce al di fuori di Conti e Wizard Spider con la manutenzione della persistenza e l’aggiunta di funzionalità (soprattutto tecniche di evasione).

Ogni storia interessante ha bisogno di ostacoli sulla strada del protagonista e l’impero del Mago Ragno sta per incontrarne molti. Nella prossima puntata di questa piccola saga ci occuperemo dei primi arresti, delle fughe di notizie e degli approfondimenti che hanno interessato Conti e il suo ambiente. Abbiamo parlato del 2019, del 2020 e del 2021, ma c’è ancora molto da scrivere. Nel febbraio 2022 il mondo dovrà affrontare una nuova guerra nell’Europa orientale, Russia-Ucraina, e questo evento svelerà l’intero background di Conti.

To be CONTInued…

L'articolo La Storia Di Conti Ransomware – Origini e L’evoluzione del Modello RaaS (Episodio 1) proviene da il blog della sicurezza informatica.

We love the idea [Btoretsukuru] shared that uses a simple setup called the Syringe Slider to take smoothly-tracked video footage of small scenes like model trains in action. The post is in Japanese, but the video is very much “show, don’t tell” and it’s perfectly clear how it all works. The results look fantastic!
Suited to filming small subjects.
The device consists of a frame that forms a sort of enclosed track in which one’s mobile phone can slide horizontally. The phone butts up against the plunger of an ordinary syringe built into the frame. As the phone is pushed along, it depresses the plunger which puts up enough resistance to turn the phone’s slide into a slow, even, and smooth glide. Want to fine-tune the resistance and therefore the performance? Simply attach different diameter tips to the syringe.

The results speak for themselves, and it’s a fantastically clever bit of work. There are plenty of DIY slider designs (some of which get amazingly complex) but they are rarely small things that can be easily gotten up close and personal with small subjects like mini train terrain.

「注射器スライダー」を使った滑らか撮影テクが進化しました！！
枠を作って注射器とスマホを収め、いろんなアングルでスライド動作できるようにしました！
動画10秒目からの作例もぜひ見てください！#鉄道模型 #Nゲージ #Bトレ #ジオラマ pic.twitter.com/57uVTeHOxq

— B作 (@Btoretsukuru) September 24, 2024

hackaday.com/2024/09/29/shoot-…

Some hackers have the skills to help us find noteworthy lessons in even the most basic of repairs. For instance, is your computer failing to boot? Guess what, it could just be a flash chip that’s to blame — and, there’s more you should know about such a failure mode. [Manawyrm] and [tSYS] over at the Kittenlabs blog show us a server motherboard fix involving a SPI flash chip replacement, and tell us every single detail we should know if we ever encounter such a case.

They got some Gigabyte MJ11-EC1 boards for cheap, and indeed, one of the BIOS chips simply failed — they show you how to figure that one out. Lesson one: after flashing a SPI chip, remember to read back the image and compare it to the one you just flashed into it! Now, you might be tempted to take any flash chip as a replacement, after all, many are command-compatible. Indeed, the duo crew harvested a SPI chip from an ESP32 board, the size matched, and surely, that’d suffice.

That’s another factor you should watch out for. Lesson two is to compare the SPI flash commands being used on the two chips you’re working with. In this case, the motherboard would read the BIOS alright and boot just fine, but wasn’t able to save the BIOS settings. Nothing you couldn’t fix by buying the exact chip needed and waiting for it to arrive, of course! SPI flash command sets are fun and worth learning about — after all, they could be the key to hacking your “smart” kettle. Need a 1.8 V level shifter while flashing? Remember, some resistors and a NPN transistor is more than enough.

hackaday.com/2024/09/29/some-s…

There was movement in the “AM Radio in Every Vehicle Act” last week, with the bill advancing out of the US House of Representatives Energy and Commerce Committee and heading to a full floor vote. For those not playing along at home, auto manufacturers have been making moves toward deleting AM radios from cars because they’re too sensitive to all the RF interference generated by modern vehicles. The trouble with that is that the government has spent a lot of effort on making AM broadcasters the centerpiece of a robust and survivable emergency communications system that reaches 90% of the US population.

The bill would require cars and trucks manufactured or sold in the US to be equipped to receive AM broadcasts without further fees or subscriptions, and seems to enjoy bipartisan support in both the House and the Senate. Critics of the bill will likely point out that while the AM broadcast system is a fantastic resource for emergency communications, if nobody is listening to it when an event happens, what’s the point? That’s fair, but short-sighted; emergency communications isn’t just about warning people that something is going to happen, but coordinating the response after the fact. We imagine Hurricane Helene’s path of devastation from Florida to Pennsylvania this week and the subsequent emergency response might bring that fact into focus a bit.

The US Geological Survey and NASA bid goodbye to Landsat 7 this week, 25 years into its five-year mission to watch the planet. Launched in 1999, the satellite’s imaging instruments were witness to many Earth changes, both natural and man-made. Its before-and-after images, like this look at New Orleans around the time of Hurricane Katrina, are especially striking. Despite suffering instrumentation problems within a few years of launch that degraded image quality on some of its sensors, Landsat 7 sent a wealth of geophysical data down to Earth, enough that it has over 210,000 citations in the scientific literature. The aging satellite was moved to a lower orbit in 2021 to make way for its newer cousins, Landsat 8 and 9, which put its polar sun-synchronous orbit out of sync with mission requirements. Despite this, it kept on grabbing images right up until May 28, 2024, when it grabbed a picture of Las Vegas that shows the dramatic increase in the size of the metro area over the last 25 years, along with the stunning decrease of Lake Mead.

How much do you enjoy captchas? If you’re anything like us, you’ve learned to loathe their intentionally fuzzy photos where you have to find traffic lights, stairs, motorcycles, or cars to prove you’re human. Well, surprise — just because you can (eventually) solve a captcha doesn’t make you a human. It turns out that AI can do it too. A security research group at ETH Zurich managed to modify YOLO to solve Google’s reCAPTCHAv2, saying it wasn’t even particularly hard to get it to pass the test 100% of the time within two tries. Think about that the next time you’re wondering if that tiny sliver of the rider’s helmet that intrudes just a tiny bit into one frame counts as a square containing a motorcycle.

We’re not much into cryptocurrency around here, but we do love vaults and over-the-top physical security, and that makes this article on a Swiss Bitcoin vault worth looking at. If you’re perplexed with the need for a physical vault to keep your virtual currency safe, we get it. But with people investing huge amounts of effort in excavating landfills for accidentally disposed hard drives containing Bitcoin wallets worth millions, it starts to make sense. The vault in this story is impressively well-protected, living deep within the granite of a Swiss mountain and protected from every conceivable threat. Ah, but it’s the inconceivable threats that get you, isn’t it? And when you put a lot of valuable things together in one place, well — let’s just say we’re eagerly awaiting the “based on a true story” heist film.

And finally, YouTube seems to be the go-to resource for how-to videos, and we’ve all likely gotten quick tutorials on everything from fixing a toilet to writing a will. So why not a tutorial on changing a fuel filter on an Airbus A320? Sure, you might not need to do one, and we’re pretty sure you’ll be arrested for even trying without the proper certifications, but it’s cool to see it down. All things considered, it doesn’t look all that hard, what with all the ease-of-maintenance features built into the Pratt and Whitney PW1100G engine. As we’ve spent many hours on a creeper in the driveway doing repairs that would better be done on the lift we can’t afford, we found the fact that the mechanic has to lie on his back on the tarmac to service a multimillion-dollar aircraft pleasingly ironic.

youtube.com/embed/YGokAvmeGeI?…

hackaday.com/2024/09/29/hackad…

slowforward.net/2024/09/25/26-…

slowforward

2024-09-25 07:46:31

a cura di Maria Teresa Carbone
cliccare per ingrandire
slowforward.net/2024/09/25/26-…

#AlexandraPetrova #AntonioFrancescoPerozzi #città #dialoghi #GildaPolicastro #GuidoMazzoni #LauraPugno #MariaTeresaCarbone #PiazzaVittorio #ValerioMattioli

26-27-28 settembre, roma: “piazza vittorio. in una qualunque parte del pianeta _ dialoghi”

a cura di Maria Teresa Carbone cliccare per ingrandire

^slowforward

slowforward.net/2024/09/24/amb…

slowforward

2024-09-24 12:57:49

la parola ambientáli può legittimamente vedersi anticipato l’accento: ambièntali, autoesortazione del registrante affinché centri/colga cronotopicamente i cittadini, o i concittadini. (dove non altrimenti specificato, s’intenda dunque: Roma).

_

16 set 2024 (2)

slowforward.net/2024/09/24/amb…

#ambientali #audio #podcast

ambièntáli 20240916(2): school

la parola ambientáli può legittimamente vedersi anticipato l’accento: ambièntali, autoesortazione del registrante affinché centri/colga cronotopicamente i cittadini, o i concittadini. (dove n…

^slowforward

slowforward.net/2024/09/24/5-o…

slowforward

2024-09-24 06:31:58

(sempre che i fascisti al governo non la proibiscano/ostacolino)

_

slowforward.net/2024/09/24/5-o…

#antisionismo #Cisgiordania #ffffff #Gaza #genocidio #manifestazione #manifestazioneNazionale #Palestina #PalestinaLibera #WestBank

5 ottobre, roma: manifestazione nazionale per la palestina

(sempre che i fascisti al governo non la proibiscano/ostacolino) _

^slowforward

slowforward.net/2024/09/24/to-…

slowforward

2024-09-24 00:04:27

instagram.com/p/DAQ_k4Ev52l/

slowforward.net/2024/09/24/to-…

#art #arte #JeanMichelBasquiat

Casalta on Instagram: "Jean-Michel Basquiat, To Repel Ghosts (1986). - #jeanmichelbasquiat"

12 likes, 0 comments - casalta.nyc on September 23, 2024: "Jean-Michel Basquiat, To Repel Ghosts (1986). - #jeanmichelbasquiat".

^Instagram

slowforward.net/2024/09/23/vid…

slowforward

2024-09-23 17:31:46

youtube.com/embed/I2aQQZO7_ys?…

slowforward.net/2024/09/23/vid…

#Balestrini #BeniaminoDellaGala #CeciliaBello #CeciliaBelloMinciacchi #LibreriaLibraccio #NanniBalestrini #presentazione #scritturaDiRicerca #scrittureDiRicerca #StefanoColangelo #VociLontaneVociSorelle

video della presentazione di “come agisce nanni balestrini”, di cecilia bello minciacchi (firenze, 10 sett. 2024)

Visita l'articolo per saperne di più.

^slowforward