Le forze di sicurezza serbe hanno sfruttato una serie di vulnerabilità zero-daydi Android sviluppate dall’azienda israeliana Cellebrite per sbloccare il telefono di uno studente attivista e tentare di installare uno spyware.

Cellebrite è specializzata in informatica forense e sviluppa strumenti per le forze dell’ordine, le agenzie di intelligence e le aziende private per estrarre dati dai dispositivi mobili. Tali aziende spesso utilizzano exploit Zero-day per aggirare la protezione dei telefoni bloccati.

In seguito alla pubblicazione da parte di Amnesty International di possibili violazioni dei diritti alla privacy in Serbia nel dicembre 2024, Cellebrite ha bloccato l’accesso ai suoi strumenti per i servizi speciali serbi. Tuttavia, non si sa esattamente quando le autorità abbiano avuto accesso alla vulnerabilità e l’abbiano sfruttata.

Google ha confermato tre vulnerabilità nei driver USB Linux utilizzati in Android che sono stati coinvolti nell’attacco:

• CVE-2024-53104 (punteggio CVSS: 7,8) (exploit della classe video USB);
• CVE-2024-53197 (punteggio CVSS: 5,5) (exploit del driver audio USB ALSA);
• CVE-2024-50302 (Punteggio CVSS: 5,5) (Exploit del dispositivo USB HID).

Il primo bug ha ricevuto una correzione in un aggiornamento di sicurezza di febbraio 2025, classificato come “a sfruttamento limitato”. Gli altri due non sono ancora inclusi nelle patch ufficiali. La correzione dei bug può richiedere tempo, soprattutto per i dispositivi che raramente ricevono aggiornamenti del kernel.

Presso l’Amnesty Security Lab è stato dichiarato che correggere CVE-2024-53104 potrebbe interrompere l’intera catena di sfruttamento, ma non vi è ancora la certezza assoluta al riguardo. A loro volta, gli sviluppatori di GrapheneOS notato che la loro versione di Android contiene già le correzioni per le due vulnerabilità rimanenti.

Google ha rilasciato le correzioni ai partner OEM il 18 gennaio. Tutte le vulnerabilità saranno incluse nei futuri bollettini sulla sicurezza di Android e diventeranno obbligatorie.

Le vulnerabilità USB vengono spesso sfruttate per aggirare la sicurezza del dispositivo, consentendo l’esecuzione di codice arbitrario, comandi dannosi o aggirando la schermata di blocco. Tuttavia, lo sfruttamento presuppone l’accesso fisico allo smartphone: in questo caso, ciò è stato possibile arrestando il proprietario del dispositivo da parte della polizia. A differenza di Apple, Android di serie non ha una modalità USB con restrizioni simili, ma gli utenti possono ridurre al minimo i rischi disattivando il debug USB nelle impostazioni e abilitando la funzione di crittografia dei dati.

L'articolo Google Conferma: Tre Gravi Bug Android Usati per Spiare Giornalisti e Attivisti! proviene da il blog della sicurezza informatica.

What do you do when you need to choose an OS at boot but aren’t physically near your machine? [Dakhnod]’s inventive solution is a mix of GRUB, Wake-on-LAN (WOL), and a lightweight ESP8266 running a simple HTTP server. In the past, [dakhnod] already enlightened us with another smart ESP hack. This one’s a clever combination of network booting and remote control that opens up possibilities beyond the usual dual-boot selector.

At its core, the hack modifies GRUB to fetch its boot configuration over HTTP. The ESP8266 (or any low-power device) serves up a config file defining which OS should launch. The trick lies in adding a custom script that tells GRUB to source an external config:
#!/usr/bin/env cat
net_dhcp
source (http,destination_ip_or_host:destination_port)/grub/config
Since GRUB itself makes the HTTP request, the system needs a running web server. That could be a Raspberry Pi, another machine, or the ESP itself. From there, a WOL-enabled ESP button can wake the PC and set the boot parameters remotely.

Is it secure? Well, that depends on your network. An open, unauthenticated web server dishing out GRUB configs is risky, but within a controlled LAN or a VLAN-segmented environment, it’s an intriguing option. Automation possibilities are everywhere — imagine remotely booting test rigs, toggling between OS environments for debugging, or even setting up kiosk machines that reconfigure themselves based on external triggers.

For those looking to take it further, using configfile instead of source allows for more dynamic menu entries, although it won’t persist environment variables. You could even combine it with this RasPi hack to control the uptime of the HTTP server. The balance between convenience and security is yours to strike.

If you’ve got your own wild GRUB customisation, let’s hear it!

hackaday.com/2025/03/03/wake-b…

Il ransomware continua a rappresentare una delle minacce più pervasive e dannose nel panorama della cybersecurity globale. Secondo il report “DarkMirror” di DarkLab, relativo al secondo semestre del 2024, gli attacchi ransomware hanno mostrato un’evoluzione significativa sia nelle tecniche utilizzate che negli obiettivi colpiti. Questo report emesso dal collettivo DarkLab (il laboratorio sull’intelligence delle minacce di Red Hot Cyber) offre una panoramica delle principali tendenze emerse, con un focus sui dati quantitativi e sulle implicazioni per la sicurezza informatica.

Vengono analizzati i trend globali del ransomware nel secondo semestre del 2024, con un focus sulle tendenze emergenti, le tattiche dei gruppi criminali e l’impatto sui vari settori. Viene approfondita la situazione del comparto Italia, evidenziando le peculiarità del contesto nazionale. Si esplora inoltre il lato oscuro dell’intelligenza artificiale, utilizzata sempre più spesso dai cybercriminali per ottimizzare gli attacchi. Il report dedica ampio spazio ai Threat Actors, con un’analisi dettagliata della loro evoluzione e le nuove tecniche, tattiche e procedure (TTPs).

Non mancano approfondimenti sulle operazioni di law enforcement condotte a livello internazionale e un’analisi dell’economia del ransomware, inclusa una valutazione delle transazioni dei wallet criminali. Infine, il report include interviste ai Threat Actors (constantemente svolte da Red Hot Cyber) e una rassegna sui nuovi gruppi emersi nel panorama delle minacce.

Il report è stato realizzato dal gruppo DarkLab e nello specifico da Pietro Melillo, Olivia Terrangi, Alessio Stefan, Carlo Mauceli, Inva Malaj, Luca Galuppi, Massimiliano Brolli, Edoardo Faccioli, Raffaela Crisci, Andrea Mario Muscarà.

Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024

Trend Ransomware a livello globale

Il fenomeno del ransomware nel 2024 ha continuato a rappresentare una minaccia persistente e in crescita (Come visto nell’estratto di Pietro Melillo, Andrea Mario Muscarà ed Inva Malaj), colpendo indistintamente sia economie sviluppate che in via di sviluppo. Secondo i dati raccolti da Dark Lab, sono state documentate 5333 vittime di attacchi a livello globale, un numero che rappresenta solo una frazione della reale portata del problema. Gli Stati Uniti si confermano il paese più colpito, con 2748 vittime documentate, seguiti da Canada (283), Regno Unito (277) e Germania (168). Questo dimostra che le nazioni con infrastrutture digitali avanzate sono tra i principali obiettivi dei cybercriminali.

L’industria e i servizi emergono come i settori economici più bersagliati dagli attacchi ransomware. Con 898 attacchi registrati, il comparto industriale è quello maggiormente colpito, a causa delle vulnerabilità presenti nelle sue infrastrutture IT. Il settore dei servizi segue con 777 attacchi, evidenziando rischi significativi nella gestione dei dati critici. Anche la costruzione (462 attacchi) e la tecnologia (424 attacchi) sono particolarmente esposte, dato il valore delle informazioni sensibili trattate.

La sanità rappresenta un altro settore chiave colpito, con 413 attacchi registrati, mettendo a rischio la sicurezza dei dati dei pazienti e la continuità operativa delle strutture sanitarie. I comparti del retail (325 attacchi), finanziario (288 attacchi) e pubblico (273 attacchi) mostrano anch’essi un’esposizione elevata, mentre settori come l’educazione (230 attacchi) e Hospital (192 attacchi) subiscono attacchi con impatti generalmente meno critici ma comunque rilevanti.

L’analisi dei dati conferma che il ransomware non risparmia alcun settore e si adatta alle vulnerabilità specifiche di ciascun comparto. La crescente sofisticazione delle tecniche di attacco, unite alla strategia della doppia estorsione, impongono misure di sicurezza più efficaci per proteggere le infrastrutture critiche e i dati sensibili. Investire in cybersecurity e resilienza digitale diventa sempre più essenziale per mitigare i danni causati da questa minaccia globale.

[strong]Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024[/strong]

Trend Ransomware a livello Italia

L’analisi delle minacce ransomware in Italia nel 2024, rileva che c’è stata una importante flessione delle vittime che sono passate dalle 192 del 2023 alle 149 del 2024 (Come visto nell’estratto di Luca Galuppi e Marco Mazzola). Altresì evidenziamo una crescente concentrazione di attacchi in settori strategici, con l’industria che si conferma il bersaglio principale, seguita dal retail e dal comparto tecnologico. Gli attacchi rivolti alle infrastrutture critiche, come energia e sanità, pur rappresentando una percentuale inferiore, restano di particolare interesse per il loro potenziale impatto. Questo scenario sottolinea l’urgenza di strategie di difesa avanzate per proteggere i comparti chiave dell’economia nazionale.

Dal punto di vista degli attori malevoli, il gruppo RansomHub si distingue come il più attivo, con 18 attacchi documentati, seguito da 8Base e LockBit 3, entrambi con 12 attacchi. Altri gruppi di rilievo includono BlackBasta, Akira e Argoanuts, che continuano a rappresentare una minaccia significativa. Nonostante alcuni gruppi abbiano un numero inferiore di attacchi, come Hunters, Ciphbit, DragonForce e Meow, la loro attività non deve essere sottovalutata, in quanto spesso operano in modo mirato e con tecniche sofisticate.

Un elemento degno di nota è la variazione nella distribuzione degli attacchi tra i settori economici. Il comparto dei servizi mostra una crescita significativa negli attacchi subiti, mentre il settore tecnologico sembra registrare un lieve calo. Tuttavia, l’industria resta il principale obiettivo delle cyber gang, rendendo necessaria una risposta tempestiva per mitigare i rischi e rafforzare la resilienza delle infrastrutture critiche italiane.

Scarica DarkMirror : il Report sulla minaccia ransomware di H2 2024

Threat Actors: una analisi del contesto e della evoluzione

Proseguono nel secondo semestre 2024 complesse intrusioni multifase (come riportato dall’estratto di Olivia Terragni, Alessio Stefan, Pietro Melillo) di livello globale e nella scala operazionale si può notare sia il ‘declino’ di Lockbit sia una frammentazione, con l’emergere di nuovi ceppi ransomware in un’intensificazione di minacce significative distinte da pratiche sempre più intimidatorie e tecniche di attacco avanzate (utilizzate anche daI gruppi ATP) sempre più efficienti nell’eludere le difese.

Le nuove minacce nel panorama della cybersecurity stanno evolvendo rapidamente, con l’intelligenza artificiale (AI) che gioca un ruolo sempre più significativo (come riportato dall’estratto di Carlo Mauceli). L’AI non solo sta trasformando il modo in cui le organizzazioni si difendono dagli attacchi informatici, ma sta anche diventando uno strumento potente nelle mani dei cybercriminali. Questi ultimi stanno utilizzando l’AI per sviluppare malware più sofisticati, automatizzare attacchi e superare le difese tradizionali. La crescente accessibilità di strumenti di AI, come ChatGPT, ha sollevato preoccupazioni riguardo al loro potenziale utilizzo per scopi malevoli, tra cui la creazione di phishing più convincenti e la pianificazione di attacchi più mirati. Questo scenario richiede una risposta proattiva da parte delle forze dell’ordine e delle aziende di sicurezza per mitigare i rischi associati all’uso malevolo dell’AI.

Le operazioni internazionali di contrasto al ransomware hanno visto un’intensificazione negli ultimi anni, con sforzi coordinati tra agenzie di sicurezza, forze di polizia e unità specializzate in cyber intelligence. Operazioni come Cronos ed Endgame (come visto nell’estratto di Raffaela Crisci) hanno dimostrato l’efficacia di un approccio collaborativo, portando al smantellamento di infrastrutture critiche utilizzate dai gruppi ransomware e all’arresto di figure chiave. Ad esempio, l’Operazione Cronos ha colpito duramente il gruppo LockBit, sequestrando domini e compromettendo la loro infrastruttura interna. Queste operazioni non si limitano a semplici sequestri, ma includono tattiche di interferenza massiccia, come la diffusione di disinformazione all’interno delle reti criminali, minando la loro capacità operativa. Nonostante questi successi, i gruppi ransomware continuano ad adattarsi, sviluppando nuove varianti di malware e tecniche per eludere le autorità.

Un elemento di grande rilevanza all’interno del report sono le interviste ai Threat Actors condotte dal team DarkLab (come evidenziato nell’estratto di Massimiliano Brolli e Alessio Stefan). Nel secondo semestre del 2024, il gruppo è riuscito a intervistare diverse cyber gang ransomware, tra cui Ransom Cortex, RADAR, DISPOSSESSOR, Quilin, Lynx, Stormous e Interlock. Nel report precedente, invece, erano state pubblicate le interviste a Vari Group, Cicada6601 e Azzasec.

L’economia del ransomware è in costante crescita, con introiti che hanno superato il miliardo di dollari nel 2023. Le analisi condotte da DarkLab (come visto nell’estratto di Alessio Stefan ed Edoardo Faccioli) rivelano che, nonostante una diminuzione nel numero di transazioni, il saldo dei wallet collegati ai pagamenti ransomware è aumentato significativamente. Questo indica una strategia sempre più aggressiva da parte dei gruppi ransomware, che puntano su richieste di riscatto più elevate e su obiettivi di alto profilo. Le criptovalute continuano a essere il mezzo preferito per i pagamenti, grazie alla loro natura decentralizzata e alla difficoltà di tracciamento. Tuttavia, le forze dell’ordine stanno intensificando gli sforzi per monitorare e congelare i fondi illeciti, come dimostrato dal sequestro di oltre 30.000 wallet Bitcoin durante l’Operazione Cronos.

Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024

Conclusioni

Il report DarkMirror di DarkLab evidenzia come il ransomware continui a essere una delle minacce più devastanti nel panorama della cybersecurity globale. Nel secondo semestre del 2024, gli attacchi hanno subito un’evoluzione sia nelle tecniche che negli obiettivi, con un aumento della sofisticazione delle operazioni e una frammentazione del panorama dei Threat Actors. Le economie digitalmente avanzate restano i bersagli primari, con gli Stati Uniti in testa, mentre il settore industriale e quello dei servizi si confermano i più colpiti. La strategia della doppia estorsione e l’uso di tecnologie avanzate da parte dei cybercriminali impongono un rafforzamento delle misure di sicurezza per proteggere infrastrutture critiche e dati sensibili.

In Italia, il numero di attacchi ransomware è calato rispetto all’anno precedente, ma si registra una maggiore concentrazione su settori strategici come industria, retail e tecnologia. Il gruppo RansomHub emerge come il più attivo, seguito da 8Base e LockBit 3, mentre nuove cyber gang stanno guadagnando terreno. La sanità e le infrastrutture critiche restano a rischio, sottolineando l’urgenza di strategie di difesa più avanzate. Sebbene alcuni settori mostrino una leggera riduzione degli attacchi, il panorama delle minacce rimane dinamico e in continua evoluzione, rendendo necessarie azioni mirate per migliorare la resilienza delle organizzazioni italiane.

L’intelligenza artificiale sta giocando un ruolo sempre più rilevante sia nella difesa che negli attacchi informatici. I cybercriminali sfruttano l’AI per creare malware più sofisticati, automatizzare attacchi e rendere più efficaci le campagne di phishing. L’accessibilità di strumenti AI avanzati ha reso più semplice per le cyber gang sviluppare minacce sempre più difficili da rilevare, obbligando aziende e forze dell’ordine a potenziare le strategie di contrasto. Le operazioni di law enforcement hanno ottenuto successi significativi, con azioni coordinate come l’Operazione Cronos ed Endgame che hanno colpito duramente gruppi come LockBit, ma i criminali continuano ad adattarsi e a evolversi rapidamente.

Un elemento distintivo del report è l’analisi diretta dei Threat Actors, basata sulle interviste condotte dal team DarkLab con gruppi ransomware come Ransom Cortex, RADAR, DISPOSSESSOR, Quilin e Stormous. Queste conversazioni offrono uno spaccato unico sulle motivazioni, le strategie e le dinamiche interne delle cyber gang, contribuendo a una comprensione più approfondita delle minacce. La crescente specializzazione dei gruppi e l’intensificazione delle loro attività rendono essenziale un monitoraggio costante del dark web e delle nuove tattiche emergenti per anticipare le future evoluzioni del ransomware.

L'articolo DarkLab di RHC Pubblica Il Report DarkMirror 2024: L’osservatorio delle minacce Ransomware proviene da il blog della sicurezza informatica.

Bjarne Stroustrup, creatore del linguaggio C++, ha contattato la comunità degli sviluppatori chiedendo la protezione del suo linguaggio di programmazione, che negli ultimi anni è stato oggetto di critiche da parte degli esperti di sicurezza informatica. Il motivo principale degli attacchi è il problema della sicurezza della memoria, che ha portato all’esclusione del C++ dall’elenco dei linguaggi consigliati nei progetti governativi e aziendali.

C e C++ richiedono una gestione manuale della memoria, il che li rende vulnerabili a bug quali buffer overflow o perdite di memoria. Problemi come questi costituiscono la maggior parte delle vulnerabilità nelle basi di codice di grandi dimensioni. Di conseguenza, le principali organizzazioni mondiali si stanno rivolgendo sempre più a linguaggi con una migliore protezione della memoria, come Rust, Go, C, Java, Swift e Python.

La comunità C/C++ ha risposto con una serie di iniziative volte a migliorare la sicurezza, tra cui i progetti TrapC, FilC, Mini-C e Safe C++. Tuttavia, secondo Stroustrup, il problema non è solo la lentezza dei progressi, ma anche la mancanza di una chiara narrazione pubblica in grado di competere con la crescente popolarità di Rust. Nel suo discorso al comitato per gli standard C++ (WG21), ha chiesto un’azione urgente e ha proposto di utilizzare il framework Profiles per migliorare la sicurezza.

Stroustrup sottolinea che la sicurezza della memoria è sempre stata un obiettivo fondamentale del C++ e invita a non prendere il suo tono calmo come un segno di indifferenza a ciò che sta accadendo. Ha ricordato di aver già avvisato la comunità del rischio che il C++ venisse distrutto da modifiche caotiche al linguaggio.

Una delle preoccupazioni è stata la richiesta della Cybersecurity and Infrastructure Agency (CISA) degli Stati Uniti, secondo cui entro il 2026 i produttori dovranno correggere tutte le vulnerabilità di gestione della memoria o passare completamente a linguaggi di programmazione sicuri. Stroustrup ritiene che ciò rappresenti una seria minaccia per il futuro del C++.

Ai programmatori C++ vengono offerte diverse soluzioni, ma nessuna di queste è ancora diventata uno standard. Ad esempio, il progetto TrapC propone l’uso di “puntatori sicuri” che impediscono errori di segmentazione e di superamento dei limiti della memoria. Tali soluzioni richiedono però modifiche significative al codice e non possono essere implementate immediatamente.

Gli esperti sono divisi sul futuro del C++. Alcuni, come David Chisnall dell’Università di Cambridge, ritengono che sostituire completamente il C++ con altri linguaggi sia impossibile perché contiene già troppo codice. Viene invece proposto un approccio evolutivo: la graduale modernizzazione del linguaggio con l’introduzione di strumenti per migliorare la sicurezza.

Nel frattempo, Google e altri giganti della tecnologia stanno spingendo sempre di più verso linguaggi con protezione completa della memoria, il che sta mettendo ulteriore pressione sulla comunità C++.

La domanda è: la comunità C++ troverà una soluzione salvifica prima del 2026 oppure questo leggendario linguaggio finirà inevitabilmente per cadere nell’oblio?

L'articolo C++ Verso L’oblio! Il suo creatore allerta la community a trovare velocemente una soluzione proviene da il blog della sicurezza informatica.

Oggi sono rientrato da Malaga.

Malaga è Spagna, è Europa, e io amo l'Europa: unita, comune a tutti noi e - mi auguro - da ora in poi più forte.

Anche l'Italia è Europa, ma da qualsiasi Paese io provenga, ogni volta che ci ritorno, che ritorno a casa, ho un'impressione pessima del nostro Paese, che dura qualche ora, a volte un giorno o 2, perché ho ancora gli occhi dell'esploratore. Quelli del cittadino che vive qui ci mettono un po', a tornare.

Con quegli occhi vedo un Paese decadente, triste, che cade letteralmente in pezzi, mentre il resto dell'Europa va avanti.

E' vero, in alcuni Paesi europei sto meglio che in Italia, per i miei problemi di salute, ma non è solo questo. Parlo della qualità delle strade, dei trasporti, di cosa vedi quando ti guardi in giro: piste ciclabili, panorami urbani, lungomare, autostrade, aeroporti, eccetera.

Certo, ci sono anche ell'estero posti come quelli che ho appena descritto, ma ho la netta sensazione che nel nostro Paese tutti questi problemi siano...più densi, più presenti.

Se viaggiate spesso in Europa, vi chiedo: sono pazzo io o anche voi avete questa sensazione?

Un altro passo prima di chiudere definitivamente il mio account G💩gle: migrare tutti i (pochi) video del mio canale su #Peertube Uno Italia!

Tra questi, ecco la breve presentazione che ho realizzato qualche anno fa per l'Indirizzo Musicale dell'I.C. "Leonardo da Vinci", di #Ciampino dove insegno ormai da una decina d'anni.

Abbiamo ben 8 strumenti (caso unico nel Lazio e molto raro anche in tutta Italia!) e da noi la musica e le emozioni non mancano mai!

(indiscrezione... sto portando avanti la proposta di aprire il canale ufficiale della scuola su peertube.uno... 😉🤞)

P.S.: tutti i brani che sentite sono stati registrati dal vivo durante i concerti dei nostri ragazzi (tranne l'ultimo, montato in pandemia con le loro riprese inviate da casa).

Buona visione! 😊

L’Indirizzo Musicale dell’I.C. “Leonardo Da Vinci” di Ciampino

Otto strumenti, concerti, concorsi, gemellaggi... Tanti stili musicali, sfide, traguardi! Tutto questo ti aspetta alla "Leonardo Da Vinci" di Ciampino. Energia, passione, emozione... scoperta, cond...

^{PeerTube Uno Italia - Video Streaming italiano libero e federato}

Quando l’Europa smetterà di guardare oltreoceano come se ogni risposta arrivasse da lì? Quando gli europei torneranno a usare la propria testa, senza prendere a modello Stati e leader che hanno già mostrato i loro limiti? È tempo di tagliare il cordone ombelicale, di maturare, di sciogliere dipendenze che ci rendono fragili.

Negli ultimi anni, il pensiero americano ha dimostrato di essere malato, intrappolato in una spirale di estremismi, conflitti interni e illusioni di grandezza. Eppure, nonostante i segnali d’allarme, c’è ancora chi in Europa guarda a certi movimenti con ammirazione, senza comprendere il pericolo. Il fenomeno MAGA, con la sua retorica aggressiva e la sua nostalgia per un passato idealizzato, non è solo un problema americano: è una minaccia che rischia di contaminare anche noi.

L’Europa non può permettersi di importare modelli fallimentari, di lasciarsi trascinare in guerre culturali che non le appartengono, di diventare un’eco di una società che fatica a tenersi in piedi. Dobbiamo difendere il nostro spazio politico e culturale, riaffermare i nostri valori, costruire una visione autonoma del futuro. Il mondo non ha bisogno di copie sbiadite dell’America: ha bisogno di un’Europa forte, consapevole, indipendente.