Nell’ultimo mese del 2024, LockBit ha fatto parlare di se in maniera esodante. La notizia di spicco è la tanto attesa uscita del programma 4.0 del RaaS più famoso nella scena. Dopo tutta la serie di Operation Cronos, che non sembra essere ancora conclusa, LockBit è stato messo alla prova con una esperienza di contrasto al crimine digitali senza precedenti eseguita da una task force internazionale.

In questo articolo espanderemo gli ultimissimi aggiornamenti cercando di fare il punto della situazione e commentare queste prime (parziali) conclusioni di un vero e proprio logoramento che impatterà il futuro della sicurezza e crimine digitale.

Per chi volesse avere il contesto completo ed approfondire la timeline in questione trovate elencati, in ordine cronologico, gli articoli pubblicati su Red Hot Cyber riguardo le principali fasi di Lockbit vs Operation Cronos:

1. La Task Force di Operation Cronos riapre il dominio sequestrato a LB postando un timer su dei post creati ad-hoc (6 Maggio 2024)
2. Operation Cronos pubblica primi risultati dalle indagini dei dati ottenuti dal backend di LB, viene identificato Dmitry Yuryevich Khoroshev come responsabile del RaaS (8 Maggio 2024)
3. LB pubblica più di 20 vittime in meno di una settimana, 2 persone vengono processate come colpevoli di collaborare alla distribuzione e produzione del ransomware del gruppo. Altri gruppi riescono a beneficiare dalla operazione attraendo a sè affiliati che si sono allontanati da LB. (7 Agosto 2024)
4. III atto di OP Cronos, viene individuato Evil Corp come uno degli affilliati che hanno portato un alto numero di incassi al RaaS. Vengono attuate prime sanzioni e promessa di continuare le indagini per smantellare il gruppo un pezzo alla volta (1 ottobre 2024)
5. Rilascio ufficiale di LockBit 4.0 (19 Dicembre 2024)

Catene poco costose

29 Novembre 2024, Kaliningrad, Russia. Forze dell’ordine locali annunciano l’arresto di “Wazawaka” descritta come una figura centrale nello sviluppo di ben 3 gruppi ransomware : Conti, Babuk e, ovviamente, LockBit. Dietro al nickname si celava Mikhail Pavlovich Matveev, 32enne Russo alla quale era gia stato pubblicato una taglia di $10 MLN attraverso il programma “Reward For Justice” dell’FBI.

Secondo le accuse grazie al contributo di Mikhail avrebbero fatto guadagnare (in totale) $200 MLN ai 3 gruppi, le indagini sarebbero iniziate a Gennaio 2024 e nel momento del suo arresto era ancora attivo all’interno di LockBit.

Il fatto che autorità Russe abbiano arrestato uno sviluppatore ransomware che aveva dichiarato nei suoi post, su forum underground, di non attaccare nazioni ex-CIS va contro alla tipica regola non scritta sul non ricevere interesse da parte delle autorità locali finchè risultino innocui a quest’ultimi. Non è ancora chiaro il perchè di questo arresto e le opache procedure legali Russe non aiutano ad ottenere ulteriori informazioni, tra le varie speculazioni è l’interesse sull’ottenimento dei guadagni di Wazawaka.

L’amministratore del canale Telegram Club 1337 è entrato in contatto diretto con Mikhail che ha confermato di essere accusato sotto l’articolo 273 Russo (Computer Information as a Crime), di essere rilasciato in attesa di sentenza e la confisca di una porzione “significante” delle sue criptovalute che secondo le stime le cifre ammontano a qualche millione di dollari.

Altri membri di LockBit erano già stati arrestati in precedenza (vedi link numero 3 in prefazione) ma si trattava di affiliati oppure responsabili del riciclaggio di denaro. Mikhail è il primo componente centrale del gruppo ad essere arrestato, la lista di ricercati (da parte degli US) correlati a LockBit sono i seguenti:

• Bassterlord (Ivan Kondratyev): Il secondo componente di LockBit più famoso dopo LBSupp, responsabile dell’utilizzo del Ransomware LockBit 2.0 e LockBit 3.0 fu membro del gruppo dopo il paper contest nell’estate del 2020. Per chi sia interessato a questa figura, Jon DiMaggio ha pubblicato un intero post della sua serie Ransomware Diaries con protagonista Bassterlord.
• Dmitry Khoroshev: Individuato nella seconda fase di Operation Cronos, è accusato di essere tra i vertici del gruppo e responsabile dello sviluppo del codice di almeno 65 versioni del malware.
• Artur Sungatov: Secondo le indagini questo affiliato di LB avrebbe utilizzato il Ransomware su almeno 12 vittime statunitensi incluse infrastrutture digitali di forze dell’ordine e cliniche mediche

Se con Mikhail non possiamo avere informazioni riguardo al suo arresto e serie interrogatori con Rostislav Panev le cose si fanno decisamente più interessanti. 51 anni, residente ad Haifa (Israele) arrestato il 18 Agosto 2024 sotto richiesta degli USA con conferma di estradizione nel 12 Dicembre 2024 è ritenuto di essere un’altro sviluppatore centrale per LockBit e di essere in contatto diretto con LockBitSupp.
Rostislav Panev
La notizia del suo arresto è stata resa pubblica solo di recente con prime dichiarazioni sulle accuse. Gli investigatori hanno tracciato le prime attività di Panev agli albori del gruppo nel 2019 fino al suo arresto nel 2024, il suo ruolo era lo sviluppo di builder usati dagli affiliati per generare versioni eseguibili del ransomware. Uno dei suoi contributi è stata la feature che permettava al malware di stampare in versione cartacea la ransom note del gruppo.

Le indagini forensi sui device seguenti all’arresto hanno rilevato una connessione diretta tra Panev e Dmitry Khoroshev che utilizzava il moniker LockBitSupp nella quale discutevano l’avanzamento del malware e del pannello di controllo degli affiliati. Il suo lavoro veniva retribuito con pagamento regolare che ammonterebbe a circa $230,000 in questi 5 anni di attività.

Infine sono state trovate credenziali per l’accesso alla repository del codice di diversi builder di LockBit, del tool di exfiltration chiamato StealBit e anche l’accesso al pannello amministrativo del gruppo.

Attualmente è in corso una battaglia legale tra l’avvocato di Panev, Sharon Nahari, e il governo Israeliano che secondo il legale avrebbero avanzato accuse non veritiere riguardo riciclaggio di denaro, utilizzo del malware ed estorsione sottolineando che il suo cliente si è limitato al solo sviluppo di tool per il gruppo.

È chiaro a tutti che Operation Cronos, dopo aver preso accesso al backend, ha testato la OPSEC di tutti i membri ed affiliati dimostrando che con il giusto approccio è possibile tracciare l’identità di attori anonimi. Ora che Panev verrà estradato negli USA unito a tutte le informazioni collezionate dai suoi device giocheranno un ruolo cruciale per future operazioni.

L’estradizione è programmata per il 15 Gennaio 2025.

Se ti fermi, perdi

LockBitSupp è stato sempre marcato da una forte dose di arroganza accompagnate da provocazioni alle forze dell’ordine (nello specifico FBI ed NCA) mostrandosi immune agli attacchi da parte di quest’ultime. Dopo l’elezione di Donald Trump (alla quale LBSupp non ne ha mai nascosto l’apprezzamento) lo status del profilo TOX è stato cambiato in questo:
Fonte VX Underground

Tralasciando la preferenza politica, questa non è la prima volta che LB cita esplicitamente una nuova versione delle loro operazioni. Fino ad ora erano presenti solo discussioni a riguardo ma dal 6 Novembre 2024 sembra essere ufficiale senza però ulteriori informazioni a riguardo.

L’arresto di Panev potrebbe essere una delle cause che hanno portato al rallentamento del rilascio del programma 4.0 ed inoltre, come abbiamo precedentemente documentato, LockBit aveva avuto dei problemi tecnici che hanno portato il gruppo a pubblicare uno statement su come contattare il gruppo andando diretti al punto senza perdersi in troppi giri di parole. Con una buona confidenza possiamo concludere che l’arresto di Panev abbia creato un danno non indifferente e questo spiegherebbe perchè non si è voluto rendere pubblico il suo arresto direttamente ad Agosto.

All’inizio di Dicembre 2024 lo status venne cambiato in “17 декабря” (17 Dicembre), ci si poteva aspettare un annuncio ufficiale del nuovo programma ma a sorpresa LockBit presenta una nuova occasione per provocare i suoi detrattori.

È stato rilasciato uno statement con un file zip protetto destinato a Christopher Wray, direttore dell’FBI. Di seguito lo statement tradotto dal Russo:

Amici, oggi è un gran giorno: è il compleanno del direttore dell’FBI!
Caro Christopher Asher Ray. In questo bellissimo giorno, vorrei augurarti un buon compleanno dal profondo del mio cuore e augurarti tutto il meglio. Che la tua vita sia sempre bella e piena di bei momenti, come quello in cui mi hai catturato o almeno riconosciuto la mia identità. Che i tuoi ricordi siano solo luminosi e buoni, come quando sei stato ingannato dal tuo staff e ti hanno detto che mi avevano trovato. Che tu possa essere circondato solo da persone che ti aiutino a salire ancora più in alto, ma dove andare ancora più in alto? Che il tuo lavoro sia facile e favorito, e che il tuo stipendio sia alto e desiderabile come il mio. Che i vostri occhi brillino sempre come adesso, che i vostri soldi non finiscano mai e che tutti i vostri sogni si realizzino con la rapidità che desiderate. Accettate questo archivio come un regalo. Per favore, non scaricate questo archivio in nessun caso, è un archivio solo per il Direttore dell’FBI. Ancora, buon compleanno!

Ironia della sorte, Christopher Wray ha annunciato il suo ritiro il giorno 16 Dicembre 2024. Questa provocazione tornerà utile nella sezione conclusiva dell’articolo.

Per concludere l’anno LB ha finalmente pubblicato i primi link per l’iscrizione di affiliati del nuovo programma RaaS. Come già analizzato da Sandro Sana (articolo numero 5 nella prefazione) oltre al pagamento di $777 in XMR o BTC non sono presenti ulteriori requisiti. Per ora questo è tutto quello che si sa oltre alla data di uscita ufficiale settata al 3 Febbraio 2025.

Il RaaS nonostante tutto ciò che li sta accadendo non sembra volersi fermare, ci teniamo a ricordare il concetto espresso nel primo statement pubblico dopo Operation Cronos dove LBSupp affermava che non si tratta più di soldi ma di ottenere il più alto numero di vittime possibile sul suo DLS come sfida contro l’FBI.

Conclusioni

L’ultimo aggiornamento su questo loop conflittuale proviene da un post LinkedIn del direttore per le Cyber Operations Crime dell’FBI Brett Leatherman che riporta le parole di Wray:

“No matter how hidden or advanced the threat, the FBI remains committed to working with our interagency partners to safeguard the cyber ecosystem and hold accountable those who are responsible for these criminal activities.”

Director Wray

Sembra chiaro l’impegno preso e la volontà nel continuare Operation Cronos da parte dell’FBI unita all’intera task force messa in piedi per sopprimere LockBit. L’umiliazione portata dal sequestro di parte del DLS e dei server StealBit accompagnata dalla richiesta di LBSupp di collaborare se le forze dell’ordine avessero pubblicato il deanon di ALPHV/BLACKCAT hanno messo in pessima luce il RaaS.

Dietro a tutti i tecnicismi e agli arresti è palese una forte PsyOPS (Psychological Operation) mostrandosi fermi e robusti di fronte a chi (dichiara) di esserlo altrettanto. Una partita di scacchi 3D dove le due parti comunicano in maniera più o meno esplicita le loro intenzioni. Qualsiasi sia la conclusione, il 2025 si prospetta essere un anno centrale per questo stallo ma possiamo riflettere su tutto l’avvenimento di Cronos conseguito nel 2024.

1. Le operazioni di “hacking back” devono essere uno strumento da tenere in considerazione per il contrasto del crimine digitale. È presente un blocco legislativo (se non mentale) a riguardo, in Europa e USA rimane una pratica illegale (tranne ovviamente per aziende governative) ma paesi come il Belgio hanno creato un framework legislativo a tal proposito. È stato dimostrato a sufficenza come l’OPSEC degli attaccanti non sia florida ed efficente come viene millantato permettendo di ottenere informazioni all’attribuzione dei crimini commessi e anche un contrasto di tipo proattivo che potrebbe aiutare di molto a ridurre le capacità degli attori in questione. Qui un articolo di Sandro Sana a riguardo.
2. Rivalutazione degli attaccanti. Una sbagliata percezione della minaccia può portare a sopravalutarla o sottovalutare le proprie capacità di protezione e contrasto. È comune trovarsi di fronte ad una descrizione fallace degli attaccanti come “ad un passo avanti” o “di superiore intelligenza e capacità tecniche” ma non è affatto vero, gli esempi di attacchi standardizzati perpetuati da individui con skills discrete sono molteplici. Operation Cronos ha portato alla luce una serie di bugie e falle tecniche quasi banali per una realtà come LockBit (ex:/ dati degli affiliati salvati in chiaro, utilizzo dei social media indiscreto, feature di malware non implementate) e questo dovrebbe far riflettere che con il giusto approccio la una appropriata protezione è alla portata di tutti.
3. State-of-things & state-of-mind, questa è la più breve e precisa definizione di “sicurezza” (se-cure, “senza ansia”). Tralasciando il state-of-things di LockBit in mezzo a questa immensa operazione, il state-of-mind sembra aver giocato un ruolo fondamentale mettendo pressione su LBSupp. Le numerose dichiarazioni e minacce ripetute (come quelle al direttore dell’FBI) sono aumentate dal primo sequestro del DLS. Ci sono state diversi dibattiti sull’approccio del NCA e l’utilizzo di british humor nei contenuti pubblicati nel DLS ribrandizzato dalle forze inglesi, per alcuni non è stato adeguato ad una agenzia nazionale mentre per altri era la risposta giusta al tipo di personalità si sta affrontando. Solo il tempo potrà confermare o meno l’efficacia dell’approcio, la riflessione che si vuole porre è sulla attenzione data a tale aspetto. Dalle dichiarazioni pubbliche al non rendere pubblici determinati arresti si sta cercando di giocare su più aspetti della sicurezza di LockBit cercando di colmare le ovvie limitazioni geografiche.

Per ora non possiamo prevedere cosa sia davvero il programma LockBit 4.0 ne tanto meno quali sono davvero gli obbiettivi, capacità ed endgame del gruppo ma sicuramente si sta segnando un precedente nell’ambito del crimine digitale che segnerà un nuovo standard per future minacce.

L'articolo FBI risponde all’annuncio di LockBit 4.0. La nostra ricostruzione dei fatti proviene da il blog della sicurezza informatica.

Vintage hi-fi gear can be very attractive, particularly compared to modern stuff. However, when this stuff starts getting into its third or fourth decade after production, things start to wear out. Chief among them—the little incandescent bulbs that light up the dials with such a beautiful glow. [Piffpaffpoltrie] was suffering just this problem on an old Technics amp, and decided to go for a more modern upgrade.

Replacing the original bulb with a like unit was undesirable—even if many last for decades, [Piffpaffpoltrie] didn’t want to have to tackle this job again in the future. Instead, an LED swap was the order of the day. A short strip of warm-white LEDs seemed to be the perfect solution, with three LEDs in series being just about right for the 11-volt supply used for the original bulbs. The only problem was that the stereo supplied the bulbs with AC, not DC. Thus, a quick bridge rectifier circuit was thrown in, along with some series resistors. This wrangled the voltage into a straighter line and delivered the right voltage level to drive the LEDs nicely and smoothly.

The result is a nicely-illuminated set of power meters on this vintage Technics amp. We’ve seen some neat LED swaps in the past, too, including this tricky motorcycle lamp upgrade. Meanwhile, if you’re slogging it out to bring your vintage gear more up to date, consider dropping us a note on the tipsline.

hackaday.com/2024/12/22/vintag…

Gli specialisti di Guardio Labs segnalano una campagna su larga scala per distribuire l’infostealer Lumma, che utilizza CAPTCHA falsi. Invitano le persone a eseguire comandi PowerShell e a dimostrare che non sono bot.

Questa campagna è stata chiamata DeceptionAds, poiché gli aggressori hanno utilizzato la rete pubblicitaria Monetag e hanno pubblicato più di un milione di annunci pubblicitari ogni giorno su 3.000 siti. Si ritiene che dietro questa attività ci sia il gruppo di hacker Vane Viper.

Essenzialmente, i DeceptionAds sono una variante nuova e più pericolosa degli attacchi ClickFix, in cui la vittima viene indotta con l’inganno a eseguire comandi PowerShell dannosi e a infettare manualmente il proprio sistema con malware. Questa campagna è diversa dalle precedenti perché utilizza la pubblicità legittima per reindirizzare gli utenti ignari a pagine con CAPTCHA falsi.

Come accennato in precedenza, gli hacker utilizzano la rete pubblicitaria Monetag per inserire annunci pop-up per offerte, download e servizi falsi, mentre di solito si rivolgono al pubblico di piattaforme di streaming piratate o di siti con software piratati.

Se la vittima clicca su un annuncio di questo tipo, il codice offuscato verifica se si tratta di una persona reale e la reindirizza su una pagina con un CAPTCHA fake, mentre utilizza il servizio BeMob per mascherarla. Sebbene BeMob venga solitamente utilizzato, ad esempio, per monitorare le prestazioni pubblicitarie, in questo caso viene utilizzato esclusivamente per eludere il rilevamento.

“Fornendo al sistema Monetag un URL BeMob benigno (invece di un collegamento diretto a una pagina con un CAPTCHA falso), gli aggressori hanno sfruttato la reputazione di BeMob, complicando così gli sforzi di moderazione dei contenuti di Monetag”, spiegano i ricercatori.

La stessa pagina con il falso CAPTCHA contiene uno snippet JavaScript che, senza che l’utente se ne accorga, copia nei suoi appunti un comando PowerShell dannoso di una riga. La pagina fornisce quindi alla vittima le istruzioni per eseguire il comando tramite Windows Run.

Come risultato di queste azioni, sul dispositivo dell’utente verrà scaricato ed eseguito il ladro Lumma, in grado di rubare dalla macchina infetta: cookie, credenziali, password, dati di carte bancarie e cronologia di navigazione dai browser (inclusi Google Chrome, Microsoft Edge, Mozilla Firefox e altri browser Chromium).

Secondo GuardioLabs l’abuso dei servizi Monetag e BeMob era diffuso. La rete pubblicitaria, ad esempio, ha segnalato la rimozione di 200 account di criminali informatici. E sebbene ciò abbia inizialmente portato alla cessazione dell’attività dannosa, già l’11 dicembre i ricercatori hanno notato che la campagna si era ripresa, ma ora gli hacker stavano cercando di utilizzare un’altra rete pubblicitaria.

L'articolo Oltre 1 Milione di Annunci al Giorno diffondono l’Infostealer Lumma proviene da il blog della sicurezza informatica.

While you tend to think of diamonds as ornamental gemstones, diamonds also have many important industrial uses, and many of those diamonds are now synthetic polycrystalline diamonds. How are they made? [JerryRigEverything] takes us behind the scenes at a diamond manufacturing facility, something you don’t get to see every day. Check out the giant presses that exert about a million pounds of pressure in the video below.

The process starts with diamond powder, which is just what it sounds like. Although you can get real diamond powder, most uses today start with synthetic diamonds. The powder has many uses in cosmetics and as an abrasive. But the video will combine it with cobalt and table salt to form diamond shapes.

The salt is a high-temperature electrode. The process requires temperatures of nearly 1400C (2500F) and a lot of pressure. Common talc, some metal electrodes, and a heater tube are also used in the process.

The press can convert a little diamond dust into a diamond in about 10 minutes. However, because the machines are so dangerous, they are each set in their own blast room, which is sealed when the press is in operation.

While this press was — no pun intended — impressive, we’ve seen bigger. Nothing like this will show up in your garage anytime soon, although, as the video shows, you can buy 3D printer nozzles made from the material. As for a press, you might have to just settle for an arbor press.

youtube.com/embed/6o5RprIJmfA?…

hackaday.com/2024/12/21/inside…

Altermagnetism is effectively a hybrid form of magnetism and ferromagnetism that might become very useful in magnetic storage as well as spintronics in general. In order to practically use it, we first need to be able to control the creation of these altermagnets, which is what researchers have now taken the first steps towards. The research paper by [O. J. Amin] et al. was published earlier this month in Nature. It builds upon the team’s earlier research, including the detection of altermagnetism in manganese telluride (MnTe). This new study uses the same material but uses a photoemission electron microscope (PEEM) with X-rays to image these nanoscale altermagnetic structures.

Additionally, the spin orientation of these altermagnetic structures within the MnTe was controlled using microstructure patterning and thermal cycling in magnetic fields. The micropatterning with electron beam lithography enabled the creation of large single-domain altermagnetic structures, which is promising for further research. As noted in the outlook section by the researchers, this part of the research is still very much about creating the basic means to use altermagnetism, even for something as seemingly straightforward as data storage. In this particular study, the reading (imaging) mechanism was an expensive PEEM setup with the X-rays produced by a synchrotron.

Honestly, we still struggle to figure out plain old magnetism. Obviously, there’s more to it than that.

Heading image: Illustrative models of collinear ferromagnetism, antiferromagnetism, and altermagnetism in crystal-structure real space and nonrelativistic electronic-structure momentum space. (Credit: Libor Šmejkal et al., Phys. Rev. X, 2022)

hackaday.com/2024/12/21/nanosc…

In un post su Framablog l’associazione Framasoft ha presentato Framamia un sito per condividere conoscenze , ricerche, problemi e domande attorno all’Intelligenza Artificiale.

Allo stesso tempo Framasoft ha rilasciato un primo risultato delle sue ricerche: Lokas, un prototipo di applicazione per Android e iOS che permette di registrare l’audio di una riunione e ottenere la trascrizione del testo.

Lo sviluppo di questa applicazione, qui una presentazione completa in inglese , dipenderà dai feedback degli utenti che vorranno provarla e dalla disponibilità delle risorse finanziarie che possano sosterne lo sviluppo.

Ecco l’inizio dell’articolo tradotto in italiano:

“Per contribuire a demistificare il tema dell'intelligenza artificiale, Framasoft pubblica una prima versione del sito web Framamia. Definizioni, problemi, rischi e domande: condividendo le conoscenze, speriamo di aiutare a recuperare il potere su queste tecnologie che stanno influenzando le nostre società. E per metterlo in pratica, Framasoft sta anche pubblicando l'applicazione Lokas, che presentiamo qui.”

Potete scaricare il testo integrale in formato .pdf dal link che trovate qui sotto:
nilocram.eu/edu/framamia-ita.p…

Sia Framamia che Lokas mi sembrano due buone ragioni per continuare a sostenere l’attività e i progetti di Framasoft:

soutenir.framasoft.org/en/

Al momento, la raccolta di fondi ha superato i 150.000 euro, rimangono ancora 10 giorni per raggiungere almeno l’obiettivo minimo che si è posta Framasoft per festeggiare i suoi 20 anni di vita (200.000 euro).

Anche noi possiamo dare il nostro piccolo contributo! 😀

#IA #AI #Framasoft #SpeechToText
@Framasoft
@Informa Pirata

L'incredibile storia di Giuseppe Grabinski, l'unico polacco a meritarsi l'intitolazione di una strada nel centro di Bologna, e della sua dinastia, è al centro del nuovo longform di Centrum Report.

Lo ha scritto il nostro varsaviano/bolognese doc Lorenzo Berardi. Chi meglio di lui poteva scovare e sbrogliare questo prezioso filo che si dipana per quasi due secoli, tra battaglie dell'esercito napoleonico, matrimoni reali, imprese imprenditoriali, e inclinazioni monarchiche?

Buona lettura!

centrumreport.com/longform/la-…