RHC DarkLab ha sempre adottato un approccio unico e provocatorio nella lotta contro le minacce cyber, sintetizzato dal motto: “Occorre conoscere i Demoni per imparare a contrastarli.” Questa filosofia guida il nostro impegno costante nel comprendere i Threat Actors attraverso interviste dirette, per esporre le loro tecniche, tattiche e procedure (TTPs) e migliorare le difese di chi si trova a fronteggiare questi avversari insidiosi.

Le cyber gang, come Interlock, si presentano spesso con un mix di motivazioni e abilità altamente sofisticate, come dimostrato dai recenti attacchi che hanno preso di mira sistemi apparentemente sicuri come FreeBSD. In molti casi, dichiarano di agire per colmare le lacune lasciate dalle organizzazioni bersaglio, come se fosse una sorta di giustizia cyber, ma dietro queste dichiarazioni si nascondono moventi puramente finanziari o ideologici. Questi attacchi non solo minacciano la stabilità delle infrastrutture digitali, ma sottolineano il crescente bisogno di una comprensione più profonda delle strategie adottate dai criminali informatici.
Home Page del Data leak Site (DLS) di Interlock Ransomware
Le nostre interviste con i Threat Actors, come Vanir Group o Ransomcortex, mostrano la diversità di approcci e motivazioni che alimentano le operazioni di ransomware. Dalla semplice avidità alle complesse reti di collaborazioni, ogni gruppo opera con regole e obiettivi specifici, spesso dettati da opportunità economiche o da considerazioni geopolitiche. Questo dialogo, sebbene controverso, permette di rivelare dettagli critici sul funzionamento interno delle organizzazioni criminali, offrendo agli esperti di sicurezza un vantaggio nella loro lotta contro queste minacce.

Nel caso di Interlock, le dichiarazioni come “Se non prendete sul serio la sicurezza, lo faremo noi per voi” enfatizzano un atteggiamento provocatorio e un intento di mettere in luce la vulnerabilità delle aziende. È fondamentale analizzare queste affermazioni non solo per capire le loro tattiche, ma anche per anticipare e prevenire future campagne di attacco. Attraverso queste interviste, RHC DarkLab offre una finestra su un mondo oscuro e complesso, unendo rigore investigativo e una profonda conoscenza tecnica. Questo ci consente di costruire una narrativa solida e utile, che informa non solo i professionisti della sicurezza, ma anche il pubblico più ampio, aumentando la consapevolezza collettiva.

Di seguito, presentiamo l’intervista esclusiva con la cyber gang Interlock, un ulteriore tassello nel nostro impegno per svelare i segreti dei “Demoni digitali” e contrastarne l’impatto devastante.
Sezione “About Us” presente all’interno del Data leak Site (DLS) di Interlock
1 – RHC: Grazie ragazzi per aver accettato questa intervista. Siete un gruppo che è apparso di recente nell’underground, potete raccontarci come e quando è nato il gruppo Interlock e perché la scelta di questo nome? Inoltre, congratulazioni per il sito, è davvero bello!
Interlock: Interlocker è stato creato nel 2024. Il nome deriva da “International Locker”.

2 – RHC: Nel vostro manifesto affermate di voler “imporre responsabilità” alle aziende negligenti. Cosa vi ha spinto a scegliere questo approccio e quali valori vi guidano come collettivo?
Interlock: Ogni virus è un passo verso l’evoluzione. Le nostre attività spingono il settore della sicurezza informatica a evolversi e migliorare le tecnologie.

3 – RHC: Sostenete di essere un “campanello d’allarme” per la negligenza aziendale. In che misura pensate che le aziende siano realmente consapevoli del rischio di attacchi ransomware e perché pensate che molte continuino a ignorarlo?
Interlock: Le aziende che ignorano i potenziali attacchi sottovalutano gravemente i rischi nella loro ricerca del massimo profitto. Raccolgono NPI (Informazioni non pubbliche), le analizzano in modo efficace e bombardano gli utenti con annunci mirati per aumentare i ricavi. Eppure dimenticano la loro responsabilità per i dati che raccolgono. Siamo qui per ricordare loro questa responsabilità.

4 – RHC: Molte cybergang affermano di agire per amore della giustizia, ma la percezione pubblica è spesso diversa. Come vorresti che fossero interpretate le vostre azioni? E come rispondete a coloro che vi considerano semplicemente dei criminali?
Interlock: L’opinione pubblica si basa spesso su idee sbagliate. Molte aziende sfruttano la mancanza di comprensione del pubblico e lo ingannano intenzionalmente. Affermano di raccogliere informazioni anonime, ma in realtà utilizzano grandi set di dati per creare profili dettagliati, formando bolle pubblicitarie per manipolarti e farti credere che desideri i loro prodotti. Questa tecnologia è troppo complessa perché il cittadino medio possa comprenderla.

5 – RHC: Siete entrati di recente nel mondo del cybercrime. Quali sono i vostri obiettivi e la vostra propensione? Divenire un prezioso RaaS o operare in proprio? Avete attualmente un programma di affiliazione? Come sta andando l’attività?
Interlock: Il nostro obiettivo è rendere il mondo un po’ più sicuro di prima.

6 – RHC: Al netto delle aziende presenti sul vostro Data leak Site (DLS), che attualmente sono 6, quante aziende avete hackerato in totale e quanto è il riscatto medio che siete riusciti ad estorcere?
Interlock: Puoi tracciare tutte le aziende sul nostro sito. Le aziende non elencate hanno ricevuto una lezione preziosa, hanno corretto i loro errori e meritano rispetto per le loro azioni.

7 – RHC: Ora parliamo della vostra soluzione. In che modo il vostro ransomware si differenzia da altri ransomware come il famoso LockBit 3.0 o Akira? Se dovessi spiegare a un potenziale affiliato perché iniziare una partnership con te, cosa diresti da un punto di vista tecnico riguardo alla tua soluzione?
Interlock: Non spieghiamo i vantaggi del nostro programma ai potenziali partner. Innanzitutto, verifichiamo che i nostri partner siano black hat competenti con esperienza sufficiente per valutare il nostro software. Non accettiamo principianti.

8 – RHC: Siete tra i pochi gruppi ad aver sviluppato un ransomware per FreeBSD, una piattaforma robusta utilizzata in ambienti complessi come i data center (WhatsApp, Playstation, pfSense) e le infrastrutture critiche. Come siete arrivati ​​a scegliere FreeBSD come vostro obiettivo e quali sfide tecniche avete dovuto affrontare nello sviluppo di un ransomware per questo sistema?
Interlock: Non ci sono state difficoltà con FreeBSD. Avevamo un obiettivo e lo abbiamo raggiunto.

9 – RHC: Quali vulnerabilità o errori di configurazione riscontrate più frequentemente nei vostri obiettivi? Ci sono delle tendenze comuni che avete osservato nelle infrastrutture aziendali compromesse?
Interlock: La tendenza principale è il fattore umano. Vediamo la frustrazione consumare gli amministratori di rete al lavoro, fanno tutto tranne il loro lavoro. Pornografia, shopping online senza fine, servizi di intrattenimento e social media dominano il loro tempo.

11 – RHC: Come valutate l’efficacia delle attuali difese di sicurezza informatica adottate dalle aziende? Esistono soluzioni o pratiche che, secondo voi, renderebbero i sistemi più sicuri contro attacchi come il vostro?
Interlock: Le misure di sicurezza stanno migliorando, il che è entusiasmante, è una nuova sfida per noi. Sebbene esistano metodi per complicare gli attacchi, le reti completamente sicure sono un’utopia. I rischi possono essere ridotti, ma non eliminati del tutto.

12 – RHC: Se dovessi dare un consiglio a un’azienda che non ha ancora un programma di sicurezza informatica in atto, quale sarebbe la prima cosa da fare?
Interlock: pensa attentamente, poi fai una scelta, non il contrario.

13 – RHC: Nel secondo trimestre del 2024, gli attacchi ransomware sono cresciuti in modo significativo, lo segnalate anche sul vostro sito. Cosa pensate di questa tendenza? Pensate che potremmo raggiungere un punto di saturazione o di “equilibrio”, in cui le aziende adotteranno difese che renderanno attacchi come il vostro meno efficaci?
Interlock: Apsis arriverà sempre, e poi inizierà un nuovo gioco con nuove regole e nuovi giocatori.

14 – RHC: Il vostro manifesto ci ha stupiti per la comunicazione. Parla di “lezioni che le aziende non dimenticheranno”. Avete mai osservato aziende o individui imparare effettivamente lezioni dai vostri attacchi? Come vi sentiresti se le aziende migliorassero drasticamente le loro difese?
Interlock: Quasi tutte le aziende rafforzano le loro difese dopo averci incontrato. Tuttavia, alcune non riescono a imparare la lezione e continuano a usare metodi obsoleti. Questo non dura a lungo.

15 – RHC: Molti ransomware hanno colpito anche istituzioni pubbliche, ospedali e settori critici, causando danni a persone innocenti. Come scegliete le vostre vittime e cosa dire dei danni collaterali che possono colpire persone esterne all’azienda? Avete policy interne che proibiscono obiettivi specifici?
Interlock: Paradossalmente, sistemi critici come istituzioni pubbliche e ospedali hanno spesso una protezione minima. Questa mancanza di investimenti in sicurezza evidenzia la necessità di dare priorità alla loro difesa.

16 – RHC: L’intelligenza artificiale è sempre più integrata nella sicurezza informatica. Cosa pensate dei tentativi di usare l’intelligenza artificiale per anticipare, prevenire e mitigare attacchi come il vostro? Ci sono contromisure particolari che intendete adottare in risposta a questa tecnologia?
Interlock: L’intelligenza artificiale cambia il campo di gioco. Ci divertiamo con questo gioco e ci evolviamo per contrastarlo.

17 – RHC: Siete d’accordo con l’affermazione “se usi un computer ma non ti sforzi di proteggerlo (e quindi non conosci lo strumento), non meriti di usarlo”?
Interlock: Dimentica le restrizioni che tutti dovrebbero avere quando usano i computer. Gli errori capitano a tutti.

18 – RHC: Sul vostro DLS si evince una certa sensibilità nell’area della sicurezza informatica. Sebbene le vostre azioni possano essere giudicate solo in base alle statistiche sulla criminalità, cosa vi ha realmente motivato a entrare in quest’area escludendo il denaro?
Interlock: denaro + informazioni, cosa potrebbe essere meglio?

19 – RHC: Vi siete mai offerti a spiegare a una vittima i difetti che avete sfruttato e come risolverli per evitare attacchi futuri?
Interlock: No, non l’abbiamo fatto.

20 – RHC: Qual è secondo voi la vera motivazione per cui lo stato dell’arte nel mondo della sicurezza informatica è scarso nonostante gli investimenti (sia finanziari che di altro tipo) nel settore? Pensate che ci sia solo molta apparenza e poca sostanza?
Interlock: La sicurezza informatica rimane scarsa perché gli sforzi si concentrano su misure reattive, strumenti appariscenti e di conformità invece di affrontare questioni fondamentali come talento, implementazione e basi di sicurezza.

22 – RHC: Qual è la configurazione errata/vulnerabilità più stupida che avete trovato sulle reti delle vittime?
Interlock: l’amministratore di dominio di un’azienda globale ha utilizzato un singolo spazio come password.

23 – RHC: Cosa diresti a qualcuno che ti dicesse che dovresti contribuire a rendere sicure le reti invece di abusarne solo per motivi economici?
Interlock: “Stiamo già contribuendo a renderle più sicure. Dagli tempo e te ne accorgerai tu stesso.”

24 – RHC: Qual è il primo suggerimento che daresti a qualcuno che vuole iniziare a mettere su ub nuovo RaaS? In base alla vostra esperienza, quali sono stati gli aspetti più difficili e quelli più facili?
Interlock: Valuta i rischi e se sei pronto ad accettarli, ti auguriamo buona fortuna. L’impossibile è possibile.

25 – RHC: Ultimamente, le intelligence e le agenzie governative hanno condotto diverse campagne per distruggere le risorse digitali delle operazioni di criminalità informatica. Quali sono le vostre considerazioni a riguardo? Vi preoccupa?
Interlock: Sì, siamo preoccupati quando i poliziotti sono alle nostre spalle, ma non gli voltiamo mai le spalle.

26 – RHC: Infine, se poteste inviare un messaggio alle aziende che considerate “negligenti” e che sottovalutano il valore dei dati, quale sarebbe il tuo consiglio? Cosa dovrebbero cambiare oggi per evitare di essere bersagli futuri?
Interlock: Non sprecare energie e tempo. Lo faremo noi per te. 😉

27 – RHC: Grazie mille ragazzi per l’intervista. Facciamo queste interviste per far capire ai nostri lettori che la sicurezza informatica è un argomento puramente tecnico e che per poter vincere la lotta contro la criminalità informatica dobbiamo essere più forti di voi, che siete noti per essere spesso un passo avanti a tutti. C’è qualcosa che vorreste dire ai nostri lettori o alle potenziali vittime delle vostre operazioni?
Interlock: La sicurezza informatica è uno sforzo di squadra. Mentre i Black Hat sono spesso un passo avanti, restare vigili, usare password complesse e mantenere il software aggiornato può fare un’enorme differenza.

L'articolo RHC DarkLab Intervista Interlock Ransomware. “Non sprecare energie e tempo. Lo faremo noi per te!” proviene da il blog della sicurezza informatica.

Ah, the 1990s. It was a simpler time, when the web was going to be democratic and decentralised, you could connect your Windows 95 PC to the internet without worrying much about it being compromised, and freely download those rave music MP3s. Perhaps you had a Global Hypercolor T-shirt and spent a summer looking like the sweaty idiot you were, and it’s certain you desperately squinted at a magic eye image in a newspaper (remember newspapers?) trying to see the elephant or whatever it was. If you’d like to relive that experience, then [Dave Richeson] has a magic eye image generator for Microsoft Excel.

Unfortunately a proportion of the population including your scribe lack the ability to see these images, a seemingly noise-like pattern of dots on the page computationally generated to fool the visual processing portion of your brain to generate a 3D image. The Excel sheet allows you to create the images, but perhaps most interesting is the explanation of the phenomenon and mathematics which go along with it. Along with a set of test images depicting mathematical subjects, it’s definitely worth a look.

You can download a template and follow the instructions, and from very limited testing here we can see that LibreOffice doesn’t turn its nose up at it, either. Give it a go, and learn afresh the annoyance of trying to unfocus your eyes.

hackaday.com/2024/12/08/magic-…

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 37 campagne malevole, di cui 20 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 622 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

Sono 16 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Fattura – Argomento utilizzato per veicolare tramite campagne generiche i malware AgentTesla, Formbook e Rhadamanthys, oltre a essere stato utilizzato per due campagne di phishing italiane a tema Aruba, veicolate tramite PEC compromesse, e una campagna di phishing DocuSign generica.
2. Legale – Tema servito per veicolare numerosi malware, tra cui PureLogs Stealer, AsyncRAT, RedLine, Rhadamanthys e XMrig, tutti tramite campagne italiane.
3. Ordine – Argomento utilizzato per una campagna di phishing generica a tema Webmail, oltre ad essere servito per veicolare i malware Rhadamanthys tramite Guloader e SnakeKeylogger.
4. Pagamenti – Tema sfruttato per una campagna generica di phishing ai danni di utenti di Office365 oltre che per due campagne generiche finalizzate alla distribuzione dei malware AgentTesla e Formbook.
5. Banking – Argomento ricorrente questa settimana, sfruttato per tre campagne veicolate tramite PEC e rivolte a clienti di Intesa Sanpaolo.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse

• Si è riscontrato un incremento nell’utilizzo delle caselle PEC compromesse o fraudolente per la diffusione di campagne di phishing a tema bancario. Particolarmente attive risultano le campagne ai danni di utenti Intesa SanPaolo. Gli attaccanti sfruttano la fiducia riposta nella posta certificata per veicolare link a finte repliche della pagina dell’home banking con lo scopo di sottrarre credenziali di accesso e dati di carte di pagamento. Nuovi Indicatori di Compromissione (IoC) sono stati resi disponibili nella news del CERT-AGID.
• La scorsa settimana il CERT-AGID ha rilevato un malware AgentTesla con meccanismo di attivazione difettoso. L’eseguibile, veicolato come allegato email, nonostante presentasse caratteristiche da file malevolo, non generava alcun traffico di rete e in prima battuta non è stato possibile determinare la sua precisa natura. Il comportamento insolito è stato corretto nei giorni successivi con una nuova versione del malware diffusa con una nuova campagna. Un’analisi al riguardo è stata pubblicata sul sito del CERT-AGID.

Malware della settimana

Sono state individuate, nell’arco della settimana, 11 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. FormBook – Rilevate una campagna italiana a tema “Delivery” e due campagne generiche a tema “Pagamenti” e “Fattura”, veicolate tramite email con allegati ZIP e RAR.
2. Rhadamanthys via GuLoader – Individuate una campagna italiana a tema “Legale” e due campagne generiche a tema “Ordine” e “Fattura”, diffuse tramite email con allegati XLSX e PDF o link a file malevoli.
3. AgentTesla – Rilevate due campagne generica a tema “Pagamenti” e “Fattura”, diffuse mediante email con allegati ZIP.
4. XMRig – Scoperta una campagna italiana a tema “Legale”, diffusa mediante email con allegato ZIP.
5. PureLogs – Individuata una campagna italiana a tema “Legale”, veicolata tramite email con allegato BAT.
6. Redline – Rilevata una campagna italiana a tema “Legale”, veicolata tramite email con allegato contenete file EXE.
7. AsyncRAT – Individuata una campagna italiana a tema “Legale”, veicolata tramite email con allegato compresso contenete EXE.
8. Remcos via GuLoader – Individuata una campagna italiana veicolata tramite email con allegato 7Z.
9. KoiStelaer – Scoperta una campagna italiana veicolata tramite email con allegato ZIP.
10. SnakeKeylogger – Individuata una campagna italiana a tema “Ordine”, diffusa tramite email con allegato Z.
11. SpyNote – Individuata una campagna generica che sfrutta il tema “Aggiornamenti” e veicola l’APK malevolo tramite SMS.

L'articolo FormBook, Rhadamanthys e AgentTesla i Malware Più Diffusi in Italia proviene da il blog della sicurezza informatica.

Since the construction of the first commercial light water nuclear power plants (LWR) the design of their fuel rods hasn’t changed significantly. Mechanically robust and corrosion-resistant zirconium alloy (zircalloy) tubes are filled with ceramic fuel pellets, which get assembled into fuel assemblies for loading into the reactor.
A 12′ SiGa fuel assembly, demonstrating the ability to scale to full-sized fuel rods. (Credit: DoE)
Now it seems that silicon carbide (SiC) may soon replace the traditional zirconium alloy with General Atomics’ SiGa fuel cladding, which has been tested over the past 120 days in the Advanced Test Reactor at Idaho National Laboratory (INL). This completes the first of a series of tests before SiGa is approved for commercial use.

One of the main advantages of SiC over zircalloy is better resistance to high temperatures — during testing with temperatures well above those experienced with normal operating conditions, the zircalloy rods would burst while the SiC ones remained intact (as in the embedded video). Although normally SiC is quite brittle and unsuitable for such structures, SiGa uses SiC fibers, which allows it to be used in this structural fashion.

Although this development is primarily part of the Department of Energy’s Accident Tolerant Fuel Program and its focus on melt-down proof fuel, the switch to SiC could also solve a major issue with zirconium, being its use as a catalyst with hydrogen formation when exposed to steam. Although with e.g. Fukushima Daiichi’s triple meltdown the zircalloy fuel rods were partially destroyed, it was the formation of hydrogen gas inside the reactor vessels and the hydrogen explosions during venting which worsened what should have been a simple meltdown into something significantly worse.

youtube.com/embed/x7DvtG3tlhE?…

hackaday.com/2024/12/08/silico…

For some reason, we never tire of stories highlighting critical infrastructure that’s running outdated software, and all the better if it’s running on outdated hardware. So when we learned that part of the San Francisco transit system still runs on 5-1/4″ floppies, we sat up and took notice. The article is a bit stingy with the technical details, but the gist is that the Automatic Train Control System was installed in the Market Street subway station in 1998 and uses three floppy drives to load DOS and the associated custom software. If memory serves, MS-DOS as a standalone OS was pretty much done by about 1995 — Windows 95, right? — so the system was either obsolete before it was even installed, or the 1998 instance was an upgrade of an earlier system. Either way, the San Francisco Municipal Transportation Agency (SFMTA) says that the 1998 system due to be replaced originally had a 25-year lifespan, so they’re more or less on schedule. Replacement won’t be cheap, though; Hitachi Rail, the same outfit that builds systems that control things like the bullet train in Japan, is doing the job for the low, low price of $212 million.

We don’t know who needs to here this, but we got a tip from Clem Mayer about upcoming changes to EU regulations that might affect the maker community. It concerns the General Product Safety Regulations, or GPSR, which appears to be an extension of current rules that will impose additional compliance burdens on anyone selling products to the EU market on online marketplaces. We won’t pretend to know the intricacies of GPSR, or even the basics, but Smander.com has a brief summary of the rules and how best to comply, which seems to amount to retaining the services of a company to take care of the compliance paperwork. We also took a look at the official EU information page for GPSR, which is pretty thin on information but at least it’s a primary source. If you’re selling kits or other products into the EU market, chances are good that you’re going to need to figure this out, and soon — seems like the rules go into effect December 13th.

You’ve got to feel for the authors of open-source software. As if developing, maintaining, and supporting the software that keeps the Internet running wasn’t a thankless enough job, you can actually get doxxed by your own creation. A case in point is Daniel Stenberg, the original author and lead developer on curl and libcurl. His name and email address are often found in the documentation for products using his software, so frustrated users who find his contact information tend to reach out to him after being ignored by the product’s support team. It seems annoying, and we sympathize with Daniel and others like him, but then again, it’s a measure of your impact that your contact information is literally everywhere.

If you’re in the market for a unique gift for the geek in your life and have an extra $230 to spread around, check out this custom Lego kit of the ASML TWINSCAN EXE:500 extreme UV lithography machine. Actually, strike that; now that we look at the specs, this kit is tiny. It’s only 851 pieces and 13.9″ (35 cm) wide when assembled, and isn’t exactly a richly detailed piece. Sure, Lego kits are fun, but there seem to be much better choices out there; we had a blast putting together the Apollo 11 Lunar Module Eagle kit a few years back, and that was only about $70.

And finally, Festo fans will want to check out this literal air guitar from the automation company’s “Experience Center” in Lupfig, Switzerland. Festo engineers bedazzled an acoustic guitar with pneumatic cylinders and control valves and programmed the system to pluck out the intro riff from AC/DC’s “Thunderstruck.” It’s actually pretty good, and we especially appreciate the pneumatic party whistle that chips in from time to time. There’s a missed opportunity here, though; we really expected a pneumatic cylinder to do the characteristic double rap on the body of the guitar when you get to the “Thun-der!” part. Too bad — maybe for version two.

youtube.com/embed/Oatc1QpXyQc?…

hackaday.com/2024/12/08/hackad…

Va bene la sicurezza e l'innovazione, pero mi pare ci si stia legando un po troppo mani e piedi ad un dispositivo che dopo breve tempo diventa obsoleto ... e rifiuto.

ilsoftware.it/il-tuo-dispositi…

ilsoftware.it/android-app-banc…