Secondo un nuovo rapporto dell’Institute for Information Security (CIISec) 2023-24, i professionisti della sicurezza informatica nel Regno Unito guadagnano stipendi significativamente più alti rispetto alla media nazionale ma devono affrontare seri problemi di burnout.

Sulla base di un sondaggio condotto su 311 professionisti, lo stipendio medio nel settore della sicurezza informatica ha raggiunto 87.204 sterline, più del doppio dello stipendio medio del Regno Unito di 34.900 sterline (44.000 dollari). Dalla pubblicazione del primo rapporto CIISec nel 2016-2017, gli stipendi sono aumentati del 29%, da £ 62.144 ($ 78.400) ai livelli attuali. Tenendo conto dell’inflazione, la crescita reale è stata del 7%.

Dinamiche positive si registrano in tutti i segmenti industriali, con circa il 18% dei professionisti che ora guadagna più di £ 150.000 ($ 189.000) all’anno, rispetto ad appena il 7% nel 2016.

Tuttavia, gli alti salari sono accompagnati da gravi rischi professionali. Secondo il sondaggio, il 55% degli intervistati soffre di insonnia a causa dello stress lavorativo e il 39% teme un infarto. Uno specialista su cinque (21%) è considerato oberato di lavoro.

La situazione è aggravata dalla mancanza di personale qualificato. La maggior parte degli intervistati (72%) ha indicato il personale come la principale sfida operativa, mentre i processi e la tecnologia rappresentano una preoccupazione rispettivamente solo per il 17% e l’11%.

La mancanza di diversità nel settore aggrava la carenza di talenti: solo il 19% degli specialisti entra nella professione senza un’istruzione superiore e la percentuale di donne è solo del 10%. In particolare, solo il 41% dei dipendenti prevede di rimanere nella posizione attuale nei prossimi due anni.

Amanda Finch, CEO di CIISec, sottolinea che molte delle sfide del settore, incluso il panorama delle minacce in continua evoluzione, vanno oltre il controllo delle aziende. Tuttavia, le questioni legate al reclutamento e al mantenimento del personale possono essere risolte a livello del datore di lavoro.

Il rapporto presta particolare attenzione all’intelligenza artificiale (AI). Le opinioni sono divise: l’89% ritiene che la tecnologia avvantaggerà gli aggressori e il 71% vede un impatto positivo sui difensori della rete. Quando si pianifica l’uso dell’intelligenza artificiale nel lavoro (85% degli intervistati), è stata identificata una tendenza allarmante: il 44% delle organizzazioni non è consapevole dei rischi associati e non dispone di politiche per l’uso sicuro della tecnologia.

Secondo gli esperti, il settore della sicurezza informatica ha urgentemente bisogno di aumentare la conoscenza delle minacce associate all’intelligenza artificiale, in particolare all’intelligenza artificiale generativa, mentre la tecnologia è nelle sue prime fasi di sviluppo. Particolare attenzione dovrebbe essere prestata alla formazione dei professionisti emergenti che dovranno resistere agli attacchi dell’intelligenza artificiale per i decenni a venire.

L'articolo Il 55% non dorme, il 39% si aspetta un infarto: questo è il prezzo della sicurezza informatica proviene da il blog della sicurezza informatica.

The James Webb Space Telescope’s array of eighteen hexagonal mirrors went through an intricate (and lengthy) alignment and calibration process before it could begin its mission — but the process is far from being a one-and-done. Keeping the telescope aligned and performing optimally requires constant work from its own team dedicated to the purpose.

Alignment of the optical elements in JWST are so fine, and the tool is so sensitive, that even small temperature variations have an effect on results. For about twenty minutes every other day, the monitoring program uses a set of lenses that intentionally de-focus images of stars by a known amount. These distortions contain measurable features that the team uses to build a profile of changes over time. Each of the mirror segments is also checked by being imaged selfie-style every three months.

This work and maintenance plan pays off. The team has made over 25 corrections since its mission began, and JWST’s optics continue to exceed specifications. The increased performance has direct payoffs in that better data can be gathered from faint celestial objects.

JWST was fantastically ambitious and is extremely successful, and as a science instrument it is jam-packed with amazing bits, not least of which are the actuators responsible for adjusting the mirrors.

hackaday.com/2024/11/11/the-co…

Introduction

In a recent incident response case, we discovered a new and notable ransomware family in active use by the attackers, which we named “Ymir”. The artifact has interesting features for evading detection, including a large set of operations performed in memory with the help of the
malloc, memmove and memcmp function calls.
In the case we analyzed, the attacker was able to gain access to the system via PowerShell remote control commands. After that, they installed multiple tools for malicious actions, such as Process Hacker and Advanced IP Scanner. Eventually, after reducing system security, the adversary ran Ymir to achieve their goals.

In this post, we provide a detailed analysis of the Ymir ransomware, as well the tactics, techniques and procedures (TTPs) employed by the attackers.

Analysis

Static analysis

Our analysis began with a basic inspection of the artifact. We started by analyzing its properties, such as the file type, and relevant strings and capabilities, as shown in the table and images below.

File type identification

Although the binary does not raise suspicions of being packed, as its entropy is not high enough, the presence of API calls to functions like
malloc, memmove and memcmp indicates that it can allocate memory to insert malicious code.

Calls for memory operation functions

The binary also suspiciously imports functions, such as
CryptAcquireContextA, CryptReleaseContext, CryptGenRandom, TerminateProcess and WinExec, from operating system libraries. These API calls are typically found in various ransomware samples.

Suspicious malware imports

Even though most of the sample information is unpacked in memory during runtime, we were able to find some useful indicators in the binary strings, including the ransom note filename and contents in a PDF file, encryption extension, PowerShell commands, and some hashes used by the encryption algorithms, as shown in the following images.

PDF contents

PowerShell auto-delete command and encryption hashes

The attacker used the MinGW compiler, a native Windows port of the GNU Compiler Collection (GCC).

Compiler string

The following table shows other useful string indicators we found in the course of our analysis.

One interesting fact is that the PDF creation date was August 31, 2024, which matches the binary compilation timestamp (2024-08-31), as shown in the image below.

Malware compilation timestamp

Static analysis also shows that the PDF used as the ransom note is present in the
.data section of the binary. The information hardcoded in this kind of file is very useful for creating detection rules and indicators of compromise.

PDF file containing a ransom note

After reaching the main function, the malware executes another function with calls to other functions to get system information. To streamline our analysis, we renamed this function to
Get_System_Information:

Malware entry point

Get_System_information function and its sub-functions

The artifact gathers system information by using the API calls listed below.

• GetSystemTimeAsFileTime: retrieves the current system date and time.
• GetCurrentProcessId: gets the current process identifier (PID).
• GetCurrentThreadId: retrieves the identifier of the calling thread.
• GetTickCount: gets the amount of time that the system has been running for in milliseconds. This is used for detecting that the artifact is being debugged.
• QueryPerformanceCounter: retrieves the current value of the performance counter, which can be used for time-interval measurements.

System information gathering

The malware also contains some execution restrictions which are activated when certain parameters are set. For example, the
--path parameter disables self-delete, allowing the attacker to reuse the binary for other directories.

The artifact is not deleted when running with the –path parameter

While reverse-engineering the sample, we found that it borrowed code from functions related to CryptoPP, an open-source cryptographic library written in C++.

CryptoPP functions

The malware also has a hardcoded list of file name extensions to exclude from encryption.

File name extensions to ignore

Dynamic analysis

While running the ransomware, we spotted hundreds of calls to the
memmove function. After analyzing the data, we found that it loaded small pieces of instructions into memory for performing malicious functions. The following image shows a fragment of the malware loading environment variables after calling memmove.

Environment variables loaded into memory

The malware constantly uses the
memmove function while enumerating subdirectories and files inside the affected system, so they can be encrypted later.

Directory enumeration

It also uses
memmove to load strings that contain locations in the victim’s filesystem and are used for comparing with common directory names during runtime.

Strings loaded via memmove

The sample uses the
RtlCopyMemory function from the ntdll.dll library to load additional libraries, such as CRYPTSP.dll, rsaenh.dll, bcrypt.dll and kernelbase.dll.

Runtime loading of DLLs

The artifact uses the stream cipher ChaCha20 algorithm to encrypt files, appending the extension
.6C5oy2dVr6 to each encrypted file.

ChaCha20 encryption

Additionally, it copies the PDF contents from the
.data section and uses the _write and _fsopen functions to generate a ransom note in PDF format within every directory in the affected system.

Ransom note write operation

The ransom note informs the victim about what happened to the affected system and instructs them to contact the attackers for a deal. Although the note mentions that the attackers have stolen the data from the affected machine, the malware does not have any network capabilities for data exfiltration. This leads us to believe that the adversaries would steal data with other means once they obtained access to the computer, such as through HTTP, FTP or cloud storage uploads.

Ransom note fragment

We spotted one odd string, a comment written in the Lingala language. This language is used in the Democratic Republic of the Congo, Republic of the Congo, Angola and the Central African Republic.

Comment in Lingala found during malware execution

Another interesting fact is that the sample searches for PowerShell in each subdirectory as it repeatedly calls the
RtlCopyMemory function. Once PowerShell is located, the malware uses it for deleting itself. In our investigation, we copied powershell.exe into our Desktop folder, so it was used for deleting the sample.

PowerShell binary search

The following diagram shows a summary of the sample’s execution. Note that the only child process created was
powershell.exe — the malware creates a PowerShell instance even if it finds one in the system. Subsequently, PowerShell calls conhost.exe, which is used for running services in the background.

Malicious processes

Process tree

The malware calls PowerShell with the cmdlet
Start-Sleep to wait 5 seconds, and finally, uses the Remove-Item command to delete itself from the machine, as shown in the image below.

PowerShell command execution

YARA rule

Based on our analysis of the sample, we developed the following YARA rule for detecting the threat in real time. The rule considers the file type, relevant strings and library function imports.
import "pe"

rule Ymir
{
meta:
author = "Kaspersky - GERT"
description = "Yara rule for detecting the Ymir ransomware."
target_entity = "file"

strings:
$s1 = "powershell -w h -c Start-Sleep -Seconds 5; Remove-Item -Force -Path"
wide ascii nocase
$s2 = "setup-qtox-x86_64-release.exe" wide ascii nocase
$s3 = "6C5oy2dVr6" wide ascii nocase
$s4 = "INCIDENT_REPORT.pdf" wide ascii nocase
$s5 = "D:20240831154833-06" wide ascii nocase
$s6 = "ChaCha" wide ascii nocase
$s7 = "x64dbg" wide ascii nocase
condition:
(3 of ($s*)) and pe.imports("msvcrt.dll", "memmove")
}

Telemetry

Using the above rule, we were able to query threat intelligence portals and find a similar sample originating from Pakistan. We believe that the attacker used a VPN network or Tor to hide their IP. The artifact we discovered looks like a test binary sent by the attacker to check if it would be detected by security vendors. The sample receives a
--path parameter from the command line, which specifies the directory to be encrypted. However, it neither encrypts the files nor generates a ransom note.

Execution of the test sample

What caught our attention was that this test version of the executable, similarly to the full-featured sample, did not delete itself when executed with the
--path parameter, which made sense, since the adversary might want to select certain directories during the attack.
By comparing the two detections, we concluded that the final sample with the fully enabled encryption features, unlike the test variant, had extended functionality implemented in additional strings. These included the extension appended to the name of the encrypted files (
.6C5oy2dVr6) and the information present in the PDF file generated as a ransom note.

YARA matches comparison

At the time of our research, 12 security vendors including Kaspersky detected the threat.

The ransomware incident

In addition to analyzing the malware, we managed to investigate an incident in Colombia where the Ymir sample was obtained. Our forensic analysis revealed that crucial evidence had been lost through the attacker’s efforts to cover their tracks. We at Kaspersky GERT were able to identify that two days before the ransomware deployment, a new RustyStealer threat was detected on multiple systems, allowing the attackers to control the machines, send commands, and gather information from compromised infrastructure. Malicious activity was detected on a domain controller shortly after, including compromised access on behalf of legitimate users, including one with high privileges. The initial RustyStealer sample was a PE file compiled with Rust and deployed to Windows\Temp under the name
AudioDriver2.0.exe.

This sample, named Trojan.Win32.Sheller.ey by Kaspersky, has the ability of gathering information about the file system. This sample has obfuscated content for obstructing analysis and includes shared modules indicating that the artifact can invoke functions from APIs, such as native Windows DLLs.

This sample also connects to the C2 server 74.50.84[.]181 on port 443, detected by Kaspersky as a host for malicious files since August 2024.

C2 server

The attackers compromised the domain controller and used it to continue infiltrating systems in the targeted infrastructure. They abused compromised credentials gathered by the stealer to hop between systems using WinRM and PowerShell remote control capabilities, and then executed a set of two scripts that were confirmed to be a part of the proxy malware threat SystemBC.

Both scripts use PowerShell to establish a covert channel to the IP address 94.158.244[.]69 on port 443. Based on the strings from the scripts we were able to obtain, we implemented Yara rules for identifying other samples and C2 servers configured with the same codification and spotted in the wild.

One of these scripts was spotted in multiple systems, collected as a script block for PowerShell that included a different approach and a different C2 system (5.255.117[.]134 on port 80). It was probably used to exfiltrate information from the infrastructure according to the following hardcoded functions and their instructions.

• GetServerByFilename,
• SendFile,
• SearchRoot.

GetServerByFilename function

The script establishes communication with the C2 server and sends information, including a specific key that allows the attacker to identify the affected company.

The URI includes a unique key for each victim

Information that will be sent to C2 server

The
SearchRoot function contains a loop that searches for all files that are included in the requested folder and checks for a specific filter: the malware only uploads files with a size greater than 40 KB that were created after a specified date.

Search function

File search procedure

The script is Base64 encoded and passed to the following command for execution.
$selfpath\powershell.exe -Version 5.1 -s -NoLogo -NoProfile -EncodedCommand <B64CMD>
According to our GERT analysis, at the time of the research, there was a service configured at this IP address (5.255.117[.]134) for uploading files that were collected with the SystemBC scripts.

Active webservice

At the same time, multiple creations and executions of the well-known programs Advanced IP Scanner and Process Hacker were alerted on several systems.

• advanced_ip_scanner.exe;
• processhacker-2.39-setup.exe.

Finally, two days after the initial RustyStealer intrusion, attackers deployed the Ymir ransomware by executing remote connections and uploading the payload. Some traces of the execution were detected, in particular those associated with the PowerShell self-destruct script. Also, a part of the ransom note was configured in the registry key field
legalnoticecaption, located in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, which invites the user to look for additional details in the ransom note, named “INCIDENT_REPORT.pdf”:

Part of the ransom note from the registry

Conclusion

A link between malware stealer botnets acting as access brokers and the ransomware execution is evident. The Ymir development represents a threat to all types of companies and confirms the existence of emerging groups that can impact business and organizations with a configurable, robust and well-developed malware. We have seen initial access brokers invade an organization and ensure persistence. Ymir was deployed to the targeted system shortly after. This new ransomware family was configured in a secure scheme, making it impossible to decrypt the files from the targeted system. The group behind this threat has not presented a dedicated leak site or any additional information yet, but we will continue monitoring their activity. Alerts were triggered two days prior to the ransomware incident, and the lack of action on the critical system warnings allowed the attackers to launch the ransomware. This highlights the need for improved response strategies beyond relying solely on endpoint protection platforms (EPP).

Kaspersky products detect this new threat as Trojan-Ransom.Win64.Ymir.gen.

Tactics, techniques and procedures

Below are the Ymir TTPs identified from our malware analysis.

RustyStealer TTPs:

Indicators of Compromise

File Hashes
3648359ebae8ce7cacae1e631103659f5a8c630e
fe6de75d6042de714c28c0a3c0816b37e0fa4bb3
f954d1b1d13a5e4f62f108c9965707a2aa2a3c89 (INCIDENT_REPORT.pdf)
5ee1befc69d120976a60a97d3254e9eb
5384d704fadf229d08eab696404cbba6
39df773139f505657d11749804953be5
8287d54c83db03b8adcdf1409f5d1c9abb1693ac8d000b5ae75b3a296cb3061c
51ffc0b7358b7611492ef458fdf9b97f121e49e70f86a6b53b93ed923b707a03
b087e1309f3eab6302d7503079af1ad6af06d70a932f7a6ae1421b942048e28a

IPs
74.50.84[.]181:443
94.158.244[.]69:443
5.255.117[.]134:80
85.239.61[.]60

securelist.com/new-ymir-ransom…

Nel corso dei primi sei mesi dell’anno, si sono registrati oltre 900 attacchi informatici, con quasi 24mila dispositivi connessi esposti a potenziali minacce, riporta il quotidiano ilgiorno. Le aziende della Brianza, nonostante i progressi compiuti nella transizione digitale, si trovano particolarmente vulnerabili di fronte a questi attacchi. L’inizio del 2024 si è rivelato difficile per quanto riguarda la sicurezza dei dati e dei sistemi aziendali, con attacchi persistenti che mettono a rischio informazioni sensibili e l’operatività delle imprese.

Nel primo trimestre, le aziende brianzole hanno subito ben 467 attacchi, seguiti da 466 incursioni nel secondo trimestre, in un susseguirsi di violazioni informatiche che sfruttano, tra le altre cose, password deboli e sistemi non aggiornati. Questi attacchi, spesso motivati da intenti di cybercrime, includono il furto di dati sensibili, il danneggiamento dei sistemi e richieste di riscatto per ripristinare l’accesso ai dati. Tra i settori più colpiti, spicca quello finanziario, dove i pirati informatici mirano non solo a dati personali ma anche a fondi economici, sfruttando lacune nella sicurezza per estorcere denaro o rubare informazioni.

Un fattore di rischio predominante, come evidenziato nel rapporto di Assolombarda, sono le vulnerabilità umane. Sebbene le aziende investano sempre più in tecnologie avanzate per difendersi, l’elemento umano rimane il punto debole su cui si concentrano le tecniche di social engineering. Questa tecnica di attacco sfrutta la psicologia delle vittime, inducendole con inganno a compiere azioni pericolose come cliccare su link sospetti o fornire credenziali sensibili. Questo apre la porta a ulteriori infiltrazioni, poiché gli attacchi che richiedono esclusivamente abilità tecnologiche sono meno frequenti rispetto a quelli basati su inganno e manipolazione psicologica.

Alvise Biffi, vicepresidente di Assolombarda e esperto nel settore, ha sottolineato come le estorsioni rappresentino l’obiettivo primario in circa l’80% degli attacchi. La Brianza, con il suo elevato numero di aziende rispetto alla popolazione, è particolarmente esposta a queste minacce. Gli attacchi non solo compromettono i dati sensibili aziendali, ma portano anche a richieste di riscatto, in cui i criminali minacciano di divulgare informazioni riservate se non viene pagata una somma. Questi dati vengono spesso rivenduti nei mercati underground, dove anche una semplice carta di credito con codici può valere decine di dollari, rendendo il business del furto di dati estremamente redditizio.

Per proteggersi, le aziende possono implementare due misure di base: mantenere aggiornati i sistemi software con le ultime patch di sicurezza e adottare l’autenticazione a più fattori. Questo sistema, che richiede la verifica di almeno due prove di identità prima di concedere l’accesso, potrebbe prevenire fino al 90% delle minacce informatiche. Secondo Biffi, l’adozione di password forti e un aggiornamento regolare delle credenziali è essenziale per costruire una difesa efficace contro gli attacchi. Purtroppo, molte aziende trascurano queste pratiche di base, esponendosi così a rischi evitabili.

L'articolo 900 Cyber-Attacchi in Brianza nel 2024: Le Aziende Italiane Sono Pronte a Difendersi? proviene da il blog della sicurezza informatica.

11 novembre 2024 – Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato “Pacific Rim”, un report che descrive le attività di difesa e controffensiva svolte negli ultimi cinque anni contro diversi attori statali situati in Cina dediti all’attacco di dispositivi perimetrali come i sistemi Sophos Firewall. Gli autori degli attacchi si sono avvalsi di una serie di campagne basate su exploit inediti e malware personalizzato per distribuire tool con cui effettuare azioni di sorveglianza, sabotaggio e cyberspionaggio, sfruttando anche una serie di TTP (tattiche, tool e procedure) sovrapposte a quelle di noti gruppi statali cinesi come Volt Typhoon, APT31 e APT41. Gli obiettivi di tali campagne sono state infrastrutture critiche ed entità governative di piccole e grandi dimensioni dislocate principalmente nella parte meridionale e nel Sud-Est dell’Asia: operatori di energia nucleare, l’aeroporto di una capitale nazionale, un ospedale militare, apparati di sicurezza statali e ministeri centrali.

L’ecosistema degli attori cinesi nell’Operazione Pacific Rim

Nel corso dell’operazione Pacific Rim, Sophos X-Ops, l’unità di Sophos specializzata nella cybersicurezza e nella threat intelligence, si è attivata per neutralizzare le mosse di questi avversari facendo continuamente evolvere le misure di difesa e controffensiva. Dopo che Sophos ha risposto con successo agli attacchi iniziali, gli avversari hanno reagito coinvolgendo risorse maggiormente esperte. Sophos ha successivamente scoperto un vasto ecosistema di attori coinvolti.

Dopo aver pubblicato nel 2020 i dettagli relativi alle campagne associate all’operazione, come Cloud Snooper e Asnarök, Sophos ha deciso di condividere un’analisi complessiva per promuovere la consapevolezza della persistenza degli attori statali cinesi e della loro determinazione a compromettere dispositivi perimetrali privi di patch e giunti al termine della loro vita utile, spesso sfruttando exploit zero-day appositamente creati. Sophos invita tutti ad applicare urgentemente le patch disponibili per neutralizzare le vulnerabilità rilevate in qualunque dispositivo collegato a Internet e migrare i dispositivi non più supportati sostituendoli con modelli attuali. Sophos aggiorna regolarmente i propri prodotti supportati in base a nuove minacce e indicatori di compromissione (IoC) per proteggere la clientela. I clienti delle soluzioni Sophos Firewall sono protetti per mezzo di hotfix veloci abilitate per default.

“La realtà è che i dispositivi installati all’edge sono diventati bersagli altamente attraenti per i gruppi statali cinesi come Volt Typhoon e altri impegnati a creare i cosiddetti ORB (Operational Relay Box) allo scopo di offuscare e sostenere le loro attività, per esempio colpendo direttamente un obiettivo per spiarlo o sfruttandone indirettamente eventuali punti deboli per sferrare attacchi successivi – e trasformarlo così in un danno collaterale. Viene colpito anche chi non è considerato un obiettivo. I dispositivi di rete progettati per le aziende sono bersagli naturali di queste attività, dal momento che sono sistemi potenti, sempre attivi e costantemente connessi”, ha dichiarato Ross McKerchar, CISO di Sophos. “Quando un gruppo che cerca di formare una rete globale di ORB colpisce i nostri dispositivi, noi rispondiamo applicando le stesse tecniche di rilevamento e risposta che utilizziamo per difendere i nostri endpoint e dispositivi di rete corporate. In questo modo abbiamo neutralizzato diverse campagne e ottenuto un prezioso patrimonio informativo di threat intelligence che abbiamo successivamente applicato per proteggere i nostri clienti dagli attacchi, sia quelli generici e indiscriminati che quelli più strettamente mirati”.

Punti salienti dell’Operazione

• Il 4 dicembre 2018, un computer con bassi privilegi d’accesso collegato a un display ha avviato una scansione della rete Sophos – apparentemente per conto proprio – dalla sede indiana di Cyberoam, una società acquisita da Sophos nel 2014. Su quel computer, che conteneva un nuovo tipo di backdoor e un rootkit complesso denominato “Cloud Snooper”, Sophos ha scoperto la presenza di un payload che si poneva silenziosamente all’ascolto di un particolare tipo di traffico Internet in ingresso.

• Nell’aprile 2020, dopo che diverse aziende avevano segnalato un’interfaccia utente che puntava a un dominio contenente la parola “Sophos” nel proprio nome, Sophos ha collaborato con le autorità europee per rintracciare e confiscare il server usato per distribuire payload malevoli nella campagna che Sophos ha successivamente ribattezzato Asnarök. Sophos ha neutralizzato Asnarök, le cui origini sono state attribuite alla Cina, acquisendo il canale di comando e controllo (C2) del malware. L’iniziativa ha permesso a Sophos di bloccare anche un’ondata di attacchi botnet che era stata pianificata per un momento successivo.

• Dopo Asnarök, Sophos ha potenziato le proprie operazioni di intelligence varando un ulteriore programma di tracking degli autori degli attacchi basato sull’identificazione e neutralizzazione degli avversari intenzionati a colpire i dispositivi Sophos installati negli ambienti della clientela; il programma è stato realizzato con una combinazione di intelligence open source, funzioni di web analytics, monitoraggio della telemetria e codice kernel mirato impiantato nei dispositivi presi di mira dagli autori degli attacchi.

• Gli autori degli attacchi hanno dimostrato un crescente livello di persistenza adeguando le loro tattiche e ricorrendo a malware sempre più furtivo. Tuttavia, grazie al proprio programma di tracking degli autori degli attacchi e a ulteriori capacità di raccolta di dati telemetrici, Sophos ha potuto neutralizzare diversi attacchi e ottenere una copia di un bootkit UEFI e di exploit personalizzati prima che potessero essere dispiegati su vasta scala.

• Pochi mesi dopo Sophos ha fatto risalire alcuni attacchi a un avversario che aveva dimostrato di avere collegamenti con la Cina e con il Double Helix Research Institute della Sichuan Silence Information Technology nella regione cinese del Chengdu.

• Nel marzo del 2022 un ricercatore anonimo aveva segnalato a Sophos una vulnerabilità RCE (Remote Code Execution) zero-day, designata CVE-2022-1040, nel quadro del programma di bug bounty della società. Ulteriori analisi hanno rivelato che questa CVE era già utilizzata sul campo da diverse campagne di attacchi – operazioni che avevano un impatto sui clienti e che Sophos ha potuto neutralizzare. Dopo vari approfondimenti, Sophos ritiene che la persona che aveva segnalato l’exploit potrebbe aver avuto dei collegamenti con gli avversari. Si è trattato della seconda volta che Sophos ha ricevuto una segnalazione con un tempismo sospetto prima che un exploit venisse utilizzato nella pratica.

“Recenti avvisi emessi dalla CISA hanno reso evidente come i gruppi statali cinesi siano diventati una minaccia costante per le infrastrutture critiche delle altre nazioni”, ha continuato McKerchar. “Quel che tendiamo a dimenticare è che le piccole e medie aziende, quelle che costituiscono il grosso della supply chain delle infrastrutture critiche, rappresentano dei bersagli perché rappresentano spesso l’anello debole della catena. Sfortunatamente queste realtà dispongono spesso di minori risorse per difendersi da minacce tanto sofisticate. A complicare oltre le cose c’è poi la tendenza degli autori degli attacchi a conquistarsi una testa di ponte nei sistemi colpiti e trincerarvisi dentro rendendo ardua la loro espulsione. Il modus operandi degli avversari cinesi è quello di creare persistenza a lungo termine con attacchi offuscati in maniera complessa. Non si fermeranno finché non saranno neutralizzati del tutto”.

Cosa dicono gli esperti

“Attraverso il JCDC, la CISA ottiene e condivide l’intelligence sulle sfide della cybersicurezza, comprese le tattiche e le tecniche usate dai cybercriminali sponsorizzati dalla Repubblica Popolare Cinese (PRC). La competenza di partner come Sophos e i report come Pacific Rim offrono alla comunità globale dei ricercatori una serie di informazioni sull’evoluzione dei comportamenti della PRC. Insieme possiamo aiutare i cyberdifensori a capire la scala e la diffusione degli attacchi sferrati contro i dispositivi situati all’edge di rete e implementare le strategie di mitigazione necessarie”, ha commentato Jeff Greene, Executive Assistant Director for cybersecurity della CISA. “La CISA continua a evidenziare come intere classi di vulnerabilità come le SQL injection e le violazioni alla sicurezza della memoria vengano sfruttate in massa. Invitiamo i produttori software a consultare le nostre risorse Secure by Design e, come ha fatto Sophos in questo caso, metterne in pratica i principi. Chiediamo a tutti a impegnarsi nella stessa direzione e usare i nostri bollettini di allerta per eliminare intere classi di difetti”.

“Molti produttori di cybersicurezza conducono ricerche sugli avversari, ma pochi sono in grado di farlo con successo contro gruppi statali per un periodo di tempo così lungo”, ha osservato Eric Parizo, Managing Principal Analyst del cybersecurity research group di Omdia. “Sophos ha sfruttato al meglio un’opportunità davvero unica e dovrebbe essere elogiata per aver fornito dati di ricerca e informazioni tattiche che aiuteranno a difendere meglio i suoi clienti nel tempo”.

“Uno dei compiti di NCSC-NL è quello di condividere informazioni e connettere organizzazioni. Agevolare la comunicazione e la cooperazione tra organizzazioni nazionali e internazionali è di grande importanza per migliorare la cyber-resilienza. Siamo felici di aver potuto contribuire a questa investigazione con Sophos”, ha aggiunto Hielke Bontius, Head of Operations di NCSC-NL.

Qualche consiglio utile

Tutti dovrebbero ricordarsi che i dispositivi connessi a Internet sono i primi bersagli per i gruppi statali, in particolare quando tali dispositivi si trovano installati in un’infrastruttura critica. Sophos invita a intraprendere i seguenti passaggi per rafforzare la postura di sicurezza:

• Minimizzare i servizi e i dispositivi connessi a Internet quando possibile
• Prioritizzare urgentemente il patching dei dispositivi connessi a Internet e tenerli monitorati
• Abilitare il ricevimento e l’applicazione automatica di hotfix sui dispositivi presenti all’edge di rete
• Collaborare con forze dell’ordine, partner pubblici-privati e organismi governativi per condividere e gestire gli IoC
• Creare un piano d’azione dedicato ai dispositivi alla fine della loro vita utile presenti nella propria organizzazione

“Abbiamo bisogno di collaborazione tra il settore pubblico e quello privato, le forze dell’ordine, gli enti governativi e l’industria della sicurezza per condividere quel che sappiamo a proposito di operazioni come queste. Colpire i dispositivi edge posti a protezione delle reti è una tattica astuta. Aziende, partner di canale e MSP (Managed Service Provider) devono capire che questi dispositivi rappresentano bersagli primari per gli autori degli attacchi e dovrebbero quindi accertarsi di proteggerli adeguatamente applicando le patch necessarie appena vengono rilasciate. Sappiamo infatti che gli autori degli attacchi ricercano attivamente i dispositivi arrivati a fine della loro vita utile. Anche i vendor giocano un ruolo importante: essi devono infatti aiutare i clienti supportando hotfix affidabili e collaudate, semplificando il passaggio dalle piattaforme obsolete, rifattorizzando o rimuovendo sistematicamente il codice legacy che può contenere vulnerabilità latenti, migliorando continuamente i progetti secure by default così da togliere la necessità di rafforzare la protezione dalle spalle dei clienti, e monitorando l’integrità dei dispositivi installati”, ha concluso McKerchar.

L'articolo A caccia di spie: il report “Pacific Rim” traccia un quadro dei cyber criminali con base in Cina proviene da il blog della sicurezza informatica.

Luke is a homeless #cat in Iran. He was found dragging himself along the street, crying for help. Many people contributed to his treatment and surgery to help him get back on his feet. He’s a fighter, and he powered through. 😻
Although he’s made significant progress in his recovery, he still needs a home, as he’s too vulnerable to live on the streets. Luke has come a long way because he loves life. If you want to witness and share in that passion for life, bring him into your home.
For information: Shima +39 389 603 7889

Luke è un #gatto randagio in Iran. È stato trovato mentre si trascinava per strada, piangendo per chiedere aiuto. Tante persone hanno contribuito alle sue cure e all’intervento per aiutarlo a rimettersi in piedi. È un combattente e ha lottato con tutte le sue forze. 😻
Anche se ha fatto grandi progressi nella sua guarigione, ha ancora bisogno di una casa, poiché è troppo vulnerabile per vivere in strada. Luke ha fatto tanta strada perché ama la vita. Se vuoi condividere e ammirare questa passione per la vita, accoglilo nella tua casa.
Per informazioni: Shima +39 389 603 7889