Il Dipartimento degli Affari Esteri degli Stati Uniti ha annunciato una ricompensa fino a 5 milioni di dollari per informazioni che portino all’arresto di Ruzha Ignatova, una presunta truffatrice di criptovalute scomparsa nel 2017.

Ruja Ignatova, conosciuta anche come la “Regina delle criptovalute perdute”, è stata incriminata nell’ottobre 2017 per il suo presunto coinvolgimento nella truffa sulla valuta digitale OneCoin. La truffa è iniziata intorno al 2014 in Bulgaria quando Ignatova, in qualità di cofondatrice di OneCoin Ltd, ha promosso il progetto OneCoin come investimento in valuta digitale, utilizzando false affermazioni per attirare gli investitori.

Secondo gli investigatori, nel 2017, le vittime del programma avevano perso più di 4 miliardi di dollari. Nel 2022, Ignatova è stata inclusa nell’elenco dei 10 criminali più ricercati al mondo, e quindi la ricompensa per informazioni su dove si trovava era fino arrivata a 250.000 dollari.

Dossier dell’FBI su Ruzha Ignatova

Due settimane dopo essere stata accusata nel 2017, Ignatova è fuggita dalla Bulgaria per raggiungere la Grecia. L’FBI avverte che potrebbe utilizzare un passaporto tedesco per viaggiare tra Emirati Arabi Uniti, Bulgaria, Germania, Grecia e altri paesi dell’Europa orientale.

La Germania ha anche intentato causa penale contro Ignatova per il suo ruolo nel sistema di frode transnazionale. La storia di Ignatova e della truffa OneCoin ha attirato l’attenzione globale attraverso la serie di podcast della BBC “The Missing Cryptoqueen”, pubblicata per la prima volta nel 2019, seguita dalla pubblicazione di un libro nel 2022. Altri dipendenti di OneCoin sono stati condannati e stanno scontando pene nelle carceri statunitensi in relazione a questo caso.

L’anno scorso, il quotidiano investigativo bulgaro BIRD ha riferito che le voci registrate dalla polizia da un informatore suggerivano che la Ignatova potesse essere stata uccisa nel 2018 da un importante trafficante di droga bulgaro per nascondere il suo coinvolgimento in una truffa.

Tuttavia, in un podcast della BBC nel 2022, l’FBI ha confermato che stava continuando a indagare sul caso, partendo dal presupposto che Ignatova fosse ancora viva.

L'articolo Tutti in Cerca di Ruja! 5 Milioni di Dollari per informazioni che portino alla Regina delle frodi Cripto proviene da il blog della sicurezza informatica.

Un attore malevolo, noto con l’alias 888, avrebbe recentemente affermato di vendere dati sensibili appartenenti a Credit Suisse, una delle principali istituzioni nel settore del private banking e della gestione patrimoniale.

Dettagli della Presunta Violazione

Secondo quanto dichiarato da 888, la violazione sarebbe avvenuta nel 2024 e avrebbe portato alla compromissione di una vasta gamma di dati sensibili appartenenti a Credit Suisse.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Il post originale, pubblicato su un forum del dark web, indicherebbe che i dati rubati includerebbero informazioni dettagliate su clienti e dipendenti, come:

• Nome del cliente (dipendente)
• Indirizzo email
• Codice dipendente
• Data di nascita
• Genere
• Nome della polizza
• Relazione
• Data di ingresso (DOJ)
• Data di efficacia
• Stato
• Entità

888 avrebbe anche fornito un campione dei dati rubati per dimostrare l’autenticità della violazione. In totale, sarebbero state compromesse circa 19.000 righe di dati, inclusi 6.623 email uniche di dipendenti. Questo tipo di informazioni potrebbe essere utilizzato per una vasta gamma di attività illecite, dalla frode all’identità fino agli attacchi di phishing mirati.

Possibili Implicazioni per Credit Suisse

Credit Suisse, con un fatturato annuale di circa 15,21 miliardi di dollari, è una delle istituzioni più rispettate nel settore finanziario. La compromissione dei dati di questa portata potrebbe mettere a rischio la sicurezza dei dipendenti e dei clienti, oltre ad avere gravi ripercussioni sulla reputazione dell’istituzione. Gli attacchi informatici di questa natura sollevano preoccupazioni significative riguardo alla sicurezza dei dati nelle principali istituzioni finanziarie globali.

il Threat Actor 888

L’attore malevolo 888 non sarebbe nuovo nel panorama degli attacchi informatici. Questo individuo o gruppo sarebbe noto per aver orchestrato una serie di attacchi di alto profilo nel corso degli anni.

Questi attacchi avrebbero cementato la reputazione di 888 come uno degli attori più pericolosi e sofisticati nel mondo del cybercrimine. L’uso esclusivo di XMR (Monero) come forma di pagamento nei loro attacchi indicherebbe una preferenza per le criptovalute anonime, rendendo ancora più difficile tracciare e catturare questi criminali.

Conclusioni

La presunta violazione dei dati di Credit Suisse da parte dell’attore malevolo 888 rappresenterebbe un ulteriore esempio dell’importanza critica della sicurezza informatica nel mondo moderno. Le istituzioni finanziarie, in particolare, dovrebbero adottare misure sempre più avanzate per proteggere le informazioni sensibili dei loro clienti e dipendenti. La capacità di attori come 888 di penetrare le difese di alcune delle organizzazioni più sicure del mondo sottolineerebbe la necessità di un continuo investimento in tecnologie di sicurezza e formazione del personale.

L'articolo Il Threat Actors 888 rivendicata una compromissione a Credit Suisse proviene da il blog della sicurezza informatica.

Google ha intrapreso azioni per bloccare gli annunci su siti di e-commerce che utilizzano il servizio Polyfill.io dopo che il dominio è stato acquisito da un’azienda cinese, che ha poi modificato la libreria JavaScript “polyfill.js” per reindirizzare gli utenti verso siti dannosi e fraudolenti.

Un rapporto di Sansec pubblicato martedì 25 giugno ha rilevato che oltre 110.000 siti web che incorporano questa libreria sono stati coinvolti nell’attacco alla supply chain.

Dettagli della Violazione

Polyfill.io è un servizio che fornisce una libreria JavaScript chiamata Polyfill.js. Questa libreria è utilizzata dai siti web per garantire la compatibilità del loro codice con diversi browser, specialmente quelli più vecchi che non supportano le nuove funzionalità JavaScript.

A febbraio, sono emerse preoccupazioni dopo la sua acquisizione da parte di Funnull, una società cinese specializzata in distribuzione di contenuti (Content Delivery Network).

Dopo l’acquisizione, l’azienda cinese ha modificato il codice della libreria Polyfill.js in modo da reindirizzare gli utenti a siti web dannosi o fraudolenti. Questo tipo di attacco è chiamato: Supply Chain Attacks,una categoria specifica di attacchi che prende di mira la catena di approvvigionamento di un’organizzazione.

Andrew Betts, colui che ha sviluppato e lanciato il progetto in origine, ha esortato immediatamente i gestori dei siti web a rimuovere la libreria dai loro siti, affermando che “nessun sito web oggi ha bisogno dei polyfill presenti nella libreria polyfill[.]io”, questo perchè la maggior parte delle nuove funzionalità della piattaforma web sono ormai adottate da tutti i principali browser. Alcune nuove funzionalità, come Web Serial e Web Bluetooth, non possono essere gestite tramite polyfill, e quindi non trarrebbero beneficio dall’uso di Polyfill.io.

Questa situazione ha spinto fornitori di infrastrutture web come Cloudflare e Fastly a fornire endpoint alternativi per facilitare la migrazione da polyfill[.]io. Questi endpoint alternativi non sono altro che URL da cui è possibile caricare la libreria Polyfill.js da una fonte sicura e affidabile, sostituendo quella compromessa.

Post Twitter di Andrew Betts

La società di sicurezza e-commerce olandese ha rilevato che il dominio “cdn.polyfill[.]io” è stato utilizzato per iniettare malware, indirizzando gli utenti verso siti di scommesse sportive e pornografici.

“Il codice è protetto contro il reverse engineering e si attiva solo su specifici dispositivi mobili in determinate ore”, ha spiegato.

Dunque, il codice malevolo iniettato è stato protetto contro il reverse engineering, utilizzando tecniche di offuscamento avanzate.

Nel dettaglio:

• Il malware si attiva solo su specifici dispositivi mobili in determinate ore, questo comportamento può rendere più difficile la rilevazione.
• Non si attiva quando rileva che l’utente è un amministratore poiché potrebbero notare il comportamento anomalo.
• Ritarda l’esecuzione in presenza di servizi di analisi web. Questi servizi raccolgono dati sul comportamento degli utenti e sulle prestazioni del sito, e se il malware si attivasse immediatamente, potrebbe essere facilmente individuato dalle anomalie generate nei dati di analisi. Per questo motivo, il malware attende un momento più opportuno per attivarsi, quando è meno probabile che venga notato.

Queste tecniche sofisticate rendono il malware particolarmente insidioso, perché riesce a compromettere i siti web e a danneggiare gli utenti in modo furtivo e mirato.

Intervento di Google

Google ha deciso di bloccare gli annunci per i siti di e-commerce che utilizzano Polyfill.io. Questo è un tentativo di proteggere gli utenti da potenziali truffe e danni che potrebbero derivare dall’interazione con questi siti compromessi.

Google letter to advertisers about supply chain attack

Violazione Correlata

La società di sicurezza c/side di San Francisco ha emesso un avviso simile a quello della società olandese, segnalando che i gestori del dominio compromesso cdn.polyfill[.]io hanno aggiunto un’intestazione di sicurezza fornita da Cloudflare tra il 7 e l’8 marzo 2024. L’intestazione di sicurezza potrebbe essere un tentativo di proteggere ulteriormente il sito o di camuffare l’attività malevola.

Segue poi un avviso relativo ad una grave vulnerabilità di sicurezza, identificata come CVE-2024-34102 che colpisce siti che utilizzano Adobe Commerce e Magento, due popolari piattaforme di e-commerce. Questa vulnerabilità ha un punteggio CVSS di 9.8 su 10, indicando un livello di gravità estremamente alto. Nonostante siano disponibili delle patch per correggere questa vulnerabilità dall’11 giugno 2024, molti siti non le hanno ancora applicate. La vulnerabilità consente agli attaccanti di leggere file privati sui server colpiti, questi file possono contenere informazioni sensibili. Sansec ha denominato la catena di exploit che sfrutta questa vulnerabilità CosmicSting.

Se combinata con un recente bug in Linux noto come iconv (CVE-2024-2961), questa vulnerabilità diventa ancora più pericolosa. Il bug iconv in Linux consente l’esecuzione di codice remoto, il che significa che un attaccante può eseguire comandi arbitrari sul server colpito, trasformando la situazione in un incubo di sicurezza. È stato poi scoperto che terze parti possono ottenere accesso amministrativo all’API senza bisogno di sfruttare il bug iconv (CVE-2024-2961), aumentando la gravità del problema.

L'articolo Attacco alla Supply Chain: Il servizio Polyfill.js Reindirizza 110.000 Siti Web verso Truffe Online! proviene da il blog della sicurezza informatica.

Un recente post su un forum del dark web rivela che un gruppo di criminali informatici noto come “DragonForce” sta attivamente cercando nuovi partner per unirsi alla loro operazione di Ransomware-as-a-Service (RaaS).

Questa campagna di reclutamento mira ad espandere le loro capacità incorporando specialisti in vari campi, in particolare specialisti di accesso e pentester, o team di pentester.

Dettagli del reclutamento

Secondo il post, DragonForce sta offrendo un accordo di partnership attraente per attirare individui e team qualificati:

1. Infrastruttura e strumenti: I partner avranno accesso all’infrastruttura consolidata e agli strumenti avanzati di DragonForce, essenziali per condurre attacchi informatici sofisticati.
2. Divisione dei ricavi: Il gruppo promette una quota significativa dei profitti, offrendo l’80% delle entrate generate dalle loro operazioni, mentre DragonForce trattiene solo il 20%.
3. Tecnologie avanzate: I partner beneficeranno delle ultime tecnologie per facilitare l’esecuzione dei loro compiti.
4. Automazione: DragonForce vanta la piena automazione di tutti i processi di lavoro, razionalizzando le operazioni e aumentando l’efficienza.

Capacità operative

Il post evidenzia diverse caratteristiche chiave dell’operazione di DragonForce progettate per supportare i loro partner:

• Pannello di controllo: Forniscono un pannello di controllo che consente ai partner di monitorare le azioni dei clienti in tempo reale. Questo include il monitoraggio del progresso degli attacchi e la gestione di vari aspetti operativi.
• Emissione automatizzata di file: Il pannello di controllo automatizza anche l’emissione dei file necessari per gli attacchi, riducendo il carico di lavoro manuale per i partner.
• Script di test: DragonForce offre capacità per testare gli script, garantendo che i partner possano convalidare i loro strumenti e tecniche prima di utilizzarli in attacchi reali.

Struttura organizzativa

DragonForce opera con una struttura organizzativa definita, mantenendo un sistema gerarchico per gestire le loro operazioni. Questa struttura probabilmente aiuta nel coordinamento di attacchi su larga scala e assicura una collaborazione fluida tra i diversi partner e team.

Conclusione

La campagna di reclutamento di DragonForce evidenzia la natura in evoluzione delle operazioni dei criminali informatici, dove la collaborazione e la specializzazione stanno diventando sempre più la norma. Offrendo una quota sostanziale dei profitti e accesso a strumenti e infrastrutture avanzate, DragonForce si sta posizionando come un partner attraente per i criminali informatici qualificati che cercano di sfruttare la loro esperienza in un modello RaaS redditizio.

Mentre questi attori di minacce continuano a perfezionare le loro operazioni e ad espandere le loro reti, sottolinea la necessità di misure di sicurezza informatica avanzate e vigilanza per proteggersi contro tali minacce sofisticate.

Nota: I dettagli forniti in questo articolo si basano su un post di un forum del dark web e riflettono le affermazioni fatte dall’attore di minacce noto come DragonForce.

L'articolo Ransomware: L’attore di minacce “DragonForce” cerca nuovi affiliati per le sue operazioni RaaS proviene da il blog della sicurezza informatica.

Now the eyes of space explorers are turned once more towards the Moon, there are a whole host of new engineering challenges facing engineers working on lunar missions. One such challenge relates to how any proposed Moon base might be built, and as European Space Agency (ESA) researchers turn their mind to the problem they’ve taken a uniquely European approach. They’ve made some LEGO bricks.

Sadly lunar regolith is in short supply in Europe at the moment, so as a stand-in they’ve ground up a meteorite, mixed the powder with a polymer, and 3D printed their bricks. The LEGO write-up is a little long on frothy writing style and a little short on the science, but it seems that they clutch in exactly the same way as the official bricks from Billund, and can be assembled just as you would a normal set of bricks.

It’s with some regret that we have to concede that Europe’s off-planet outpost won’t be crewed by LEGO people in a base made from LEGO bricks, but we applaud them for doing this as a practical test given the limited supply of starter material. LEGO themselves have snagged some of them to display in a range of their flagship stores, so we hot-footed it down to London to catch some pictures. What we found is a single brick in a glass case, sadly looking very like any other 3D printed brick in a shiny grey medium. It’s probably the most expensive brick in the world though, so we doubt they’ll be available to buy any time soon.

If you’re hungry for more of all things LEGO, we can do no better than suggest a trip to the mother lode, in Billund, Denmark.

Apple, è rinomata per i suoi prodotti di alta qualità e per la sua attenzione ai dettagli, recentemente ha distribuito nuovi aggiornamenti del firmware per tutti i modelli di AirPods e per alcune cuffie Beats selezionate, affrontando una vulnerabilità di sicurezza del Bluetooth che avrebbe potuto consentire a malintenzionati di accedere a questi dispositivi. Questo articolo offre una panoramica dettagliata sulle nuove versioni del firmware e sulle misure di sicurezza implementate.

Dettagli dell’Aggiornamento del Firmware

I nuovi aggiornamenti del firmware sono disponibili per i seguenti dispositivi:

• AirPods Pro (2ª generazione) con custodia di ricarica MagSafe (USB-C): Versione 6.5.8 (6F8)
• AirPods Pro (2ª generazione) con custodia di ricarica MagSafe (Lightning): Versione 6.5.8 (6F8)
• AirPods Pro (1ª generazione): Versione 6A326
• AirPods (3ª generazione): Versione 6A326
• AirPods (2ª generazione): Versione 6A326
• AirPods Max: Versione 6A326
• AirPods (1ª generazione): Versione 6.8.8
• Beats Fit Pro: Versione 6F8
• Powerbeats Pro: Versione 6F8

Note di Rilascio

Le note di rilascio ufficiali di Apple indicano che questi aggiornamenti includono “correzioni di bug e altri miglioramenti”. Tuttavia, informazioni più dettagliate disponibili sul sito di sicurezza di Apple specificano che il firmware risolve una vulnerabilità che avrebbe potuto consentire a un attaccante di accedere alle cuffie dell’utente.

Descrizione della Vulnerabilità

• Impatto: Durante la ricerca di una richiesta di connessione a uno dei dispositivi precedentemente associati, un attaccante nel raggio del Bluetooth avrebbe potuto simulare il dispositivo di origine previsto, ottenendo così l’accesso alle cuffie.
• Descrizione del Problema: Un problema di autenticazione è stato risolto attraverso una gestione migliorata dello stato del dispositivo.

Procedura per Verificare la Versione del Firmware

Per gli utenti che desiderano verificare la versione del firmware dei propri AirPods, la procedura è la seguente:

1. Aprire l’app Impostazioni sul proprio iPhone.
2. Accedere al menu Bluetooth.
3. Individuare gli AirPods nell’elenco dei dispositivi.
4. Toccare l’icona “i” accanto al nome del dispositivo.
5. Controllare il numero della “Versione del Firmware”.

Aggiornamento Automatico del Firmware

Apple ha dichiarato che non è possibile aggiornare manualmente il firmware degli AirPods o delle cuffie Beats. Gli aggiornamenti del firmware avvengono automaticamente quando le cuffie sono in carica e nel raggio del Bluetooth di un iPhone, iPad o Mac connesso a una rete Wi-Fi.

Conclusioni

L’aggiornamento del firmware distribuito da Apple rappresenta un passo significativo nella protezione dei dispositivi contro potenziali attacchi di sicurezza. Gli utenti sono incoraggiati a mantenere i loro dispositivi aggiornati per garantire il massimo livello di sicurezza e prestazioni.

Per ulteriori dettagli, visitare il sito di sicurezza di Apple o consultare le note di rilascio ufficiali.

L'articolo Apple risolve una Vulnerabilità di Sicurezza Bluetooth per i suoi dispositivi proviene da il blog della sicurezza informatica.

There have been a couple of high-profile solar eclipses lately, but like us, you probably missed the news of the one that passed over Munich in 2019. And every day since then, in fact, unless you were sitting in a particular spot: the couch of one [Bernd Kraus], who has his very own personal eclipse generator.

We’ll attempt to explain. Living in an apartment with a gorgeous western view of Munich is not without its cons, chief among which is the unobstructed exposure to the setting sun. Where most people would opt for a window treatment of some sort to mitigate this, [Bernd] felt that blotting out the entire view was a heavy-handed solution to the problem. His solution is a window-mounted X-Y gantry that dangles a cutout of the moon in just the right place to blot out the sun. An Arduino uses the time and date to calculate the position of the sun as it traverses the expansive window and moves the stepper motors to keep the moon casting its shadow in just the right place: on his face as he sits in his favorite spot on the couch.

There are a couple of time-lapse sequences in the video below, as well as a few shots of the hardware. We know this isn’t an actual coronagraph, but the effect is pretty cool, and does resemble an eclipse, at least in spirit. And it goes without saying that we applaud the unnecessary complexity embodied by this solution.

youtube.com/embed/WCM7DSpBpg0?…

La Cyber Threat Intelligence (CTI) diventa giorno dopo giorno una componente essenziale della sicurezza informatica aziendale. Tuttavia, c’è un malinteso comune tra le imprese: l’idea che affidarsi a fornitori di servizi di CTI, anche di alto livello, sia sufficiente per garantire una protezione completa contro le minacce cibernetiche.

Questo approccio può risultare limitato e potenzialmente pericoloso, poiché la vera efficacia della CTI risiede nella capacità di analizzare e contestualizzare le informazioni fornite, andando ben oltre la superficie dei servizi offerti.

La CTI, in definitiva è immergersi profondamente nella complessità e nell’oscurità del panorama digitale. Significa esplorare le minacce nei recessi più oscuri del dark web, conoscerle a fondo, infiltrarsi in ambienti underground e clandestini, camuffarsi da uno di loro per ottenere informazioni di prima mano.

In sintesi, è l’arte di assumere l’identità dei malintenzionati senza mai perdere di vista la propria integrità e la propria etica. Essere a contatto con le minacce, interpretarle e anticipare le mosse di un avversario.

Informazione vs Interpretazione. La Necessità di una Valutazione Critica delle Informazioni

Ogni notizia o segnalazione proveniente da fonti di Cyber Threat Intelligence (CTI) deve essere accuratamente esaminata. Non basta ricevere una news e agire immediatamente senza un’analisi approfondita e contestualizzata. È fondamentale distinguere tra “informazione” e “Interpretazione”.

Un’informazione, per quanto dettagliata, è un dato grezzo. Essa descrive un fatto, come l’identificazione di una nuova vulnerabilità, una malware, uno 0day o una minaccia specifica. Tuttavia, non fornisce automaticamente indicazioni su quanto tale minaccia sia rilevante o su quali azioni l’azienda dovrebbe intraprendere per proteggersi. Pertanto trattare una informazione come un’istruzione operativa può portare a interpretazioni inappropriate e attività operative successive inefficaci.

Interpretare delle informazioni invece, implica un processo di valutazione molto più complesso. In un contesto specifico, occorre valutare una serie di indicazioni come ad esempio:

• Chi ha fornito questa informazione?
• E’ autorevole?
• E’ accurata o potrebbe avere interessi nascosti?
• I campioni (samples) sono completi?
• Sono recenti?
• Sono afferenti all’organizzazione colpita?
• In che percentuale?
• Sono rilevanti per la nostra organizzazione o il nostro settore?
• Rispetto alle informazioni di carattere interno (che il fornitore di terza parte non conosce), quanto sono strategiche per il contesto aziendale?

Effettuare interpretazioni di informazioni richiede competenze avanzate e la capacità di leggere tra le righe per individuare dettagli che potrebbero non essere affatto evidenti. Questo perché, nella maggior parte dei casi, le informazioni sulla minaccia non sono complete e possono contenere dati imprecisi o fuorvianti.

Un fatto recente

Un esempio recente ha evidenziato un problematica di questa natura. Un noto threat actor ha dichiarato di aver violato una grande azienda Fortune 500, generando il panico in molte aziende clienti, comprese numerose attività in Italia.

Tuttavia, un’analisi dettagliata della fonte e dei samples messi a disposizione ha rivelato che l’affermazione era infondata sebbene il Threat Actors avesse una corretta reputazione. I dati contenevano pochissime email appartenenti all’azienda violata e la maggior parte di queste erano vecchie di anni e di dipendenti non più in azienda.

Questa situazione ha evidenziato che la fiducia cieca nei servizi di Threat Intelligence non è più sufficiente. È necessario possedere competenze specifiche per valutare adeguatamente le minacce, effettuando un’analisi critica che va oltre la semplice accettazione delle informazioni fornite da terze parti. È essenziale accedere direttamente alle fonti specifiche, analizzare i campioni e monitorare i thread successivi alla pubblicazione delle note di avviso per comprendere appieno il movimento delle informazioni, incluso il contesto underground. Solo confermando la validità di tali informazioni attraverso un’analisi approfondita, esse possono essere utilizzate operativamente in modo sicuro ed efficace.

La Scarsità di Esperti di CTI in Italia

In Italia, c’è una carenza significativa di esperti di Cyber Threat Intelligence all’interno delle aziende, soprattutto se si parla di personale dipendente dell’azienda stessa. La maggior parte delle imprese si affida esclusivamente a fornitori esterni di CTI per ottenere informazioni sulle minacce e agire operativamente. Questa mancanza di “filtraggio”, porta ad un fenomeno indesiderato che è la mancanza di capacità di verificare l’accuratezza delle informazioni fornite e l’incapacità di contestualizzare correttamente le minacce. In sintesi Interpretare.

Gli esperti interni sono essenziali per analizzare i dati e comprendere la vera natura delle minacce. Tali esperti – se formati adeguatamente utilizzando strumenti specifici – possono accedere alle underground in modo anonimo e protetto e contribuire efficacemente all’interpretazione dei dati (spesso grezzi) forniti dai servizi di threat intelligence.

Questo è necessario in quanto una azienda di terze parti non può conoscere con precisione le necessità specifiche di un approfondimento di intelligence per una specifica azienda, poiché non è al corrente di “informazioni di contesto” che non è possibile esportare verso l’esterno che sono essenziali per una corretta interpretazione.

Occorre quindi dare la possibilità di accedere a fonti diverse, comprese quelle underground, e verificare la validità delle informazioni. Questo livello di analisi consente alle aziende di prendere decisioni informate e di sviluppare strategie di sicurezza più efficaci e di avere un monitoraggio della minaccia contestualizzato all’ambiente.

La Cyber Threat Intelligence è l’Arte di Collegare i Puntini

La CTI non è solo una questione di raccogliere dati, ma di interpretare e collegare i puntini per riuscire ad osservare un disegno completo. Se ci limitiamo solo ad alcuni “puntini” o ci fidiamo ciecamente di una singola fonte di intelligence, rischiamo di avere una visione distorta della minaccia. La capacità di analizzare varie fonti e di collegare informazioni differenti è ciò che distingue una vera pratica di CTI.

Dobbiamo considerare una minaccia come un mosaico: ogni pezzo è un’informazione e solo mettendole tutte assieme – e nel giusto verso – possiamo vedere una immagine completa. Se ci manca anche un piccolo frammento o ci affidiamo ad un pezzo sbagliato, l’immagine finale sarà distorta, incompleta o errata.

La CTI richiede quindi una costante pratica “in campo” e una capacità critica di analisi per connettere correttamente tutti i pezzi del puzzle, attraverso specifiche operazioni mirate di approfondimento e monitoraggio delle minacce stesse.

Conclusione

La Cyber Threat Intelligence è un’arte che richiede più della semplice raccolta di informazioni da fornitori di servizi. Richiede una profonda comprensione delle minacce e la capacità di interpretare criticamente le informazioni per determinare la loro accuratezza e rilevanza.

Le aziende devono investire in esperti interni che possano effettuare attività operative e andare oltre la superficie dei servizi acquistati e sviluppare una strategia di sicurezza informatica che sia operativa e basata su una valutazione accurata delle minacce reali.

Solo attraverso un approccio approfondito e critico alla CTI, le aziende possono sperare di mantenere una posizione difensiva efficace nel panorama delle minacce cibernetiche in continua evoluzione.

Facendo un paragone con le attività di Red Team, una grande azienda non si fida ciecamente di un fornitore di Security Assessment. Svolge con il proprio team interno delle attività di valutazione del fornitore, oltre ad utilizzare tale team per attività di carattere strategico e confidenziale.

E se non vai in campo per verificare se il fornitore sta lavorando bene o male, come fai a valutarne il suo operato?

L'articolo L’Arte della Cyber Threat Intelligence: Oltre la Superficie dei Servizi di Terza Parte proviene da il blog della sicurezza informatica.

Il Rafel RAT, un malware Android, inizialmente utilizzato per spionaggio, ha evoluto le sue funzionalità fino a diventare uno strumento di ransomware.

Questo malware sfrutta tecniche avanzate per infettare dispositivi e criptare dati, richiedendo un riscatto per la loro decrittazione. La sua diffusione avviene principalmente tramite applicazioni infette scaricate al di fuori degli store ufficiali, rendendo cruciale per gli utenti Android scaricare solo da fonti sicure​ (Check Point Research)​.

Msedge.exe: Processo Legittimo o Minaccia Malware?

Il file msedge.exe è il processo eseguibile del browser Microsoft Edge. Tuttavia, alcuni malware possono camuffarsi con nomi simili per nascondersi nel sistema. Per verificare se msedge.exe è legittimo, bisogna controllare la sua posizione nel sistema (deve trovarsi in C:\Program Files (x86)\Microsoft\Edge\Application\) e la sua dimensione (2.964.368 byte). Eventuali discrepanze potrebbero indicare la presenza di malware, richiedendo una scansione del sistema con un software anti-malware​ (SpyHunter)​.

Aggiornamento Android: Nuovi Avvertimenti per gli Utenti Samsung, Pixel e Xiaomi

Un recente articolo di Forbes ha evidenziato un avvertimento di Google riguardo nuove vulnerabilità nelle versioni di Android utilizzate dai dispositivi Samsung, Pixel e Xiaomi. Queste vulnerabilità potrebbero essere sfruttate da attaccanti per eseguire codice arbitrario o ottenere privilegi elevati, compromettendo la sicurezza dei dati degli utenti. È essenziale mantenere aggiornato il proprio dispositivo e installare patch di sicurezza non appena disponibili​ (Check Point Research)​.

DoNot Team: Un Nuovo Quadro di Malware Modulare

APT-C-35, noto anche come Donot Team è un gruppo APT (Advanced Persistent Threat) noto per le sue operazioni in Asia meridionale, utilizzando un malware modulare per compiere spionaggio e altre attività malevole. I loro attacchi sono altamente mirati e sfruttano vulnerabilità specifiche nei sistemi delle vittime. Documenti pubblicati su VX-Underground illustrano le tecniche avanzate utilizzate dal DoNot Team, tra cui l’uso di moduli personalizzati per raccogliere informazioni sensibili e mantenere la persistenza nel sistema compromesso​ (Check Point Research)​.

APT-C-35: Tecniche e Tattiche

APT-C-35 adotta tecniche avanzate per infiltrarsi nei sistemi delle vittime e mantenere l’accesso a lungo termine. Le principali tattiche includono:

1. Exploitation: APT-C-35 utilizza exploit per sfruttare vulnerabilità nei sistemi delle vittime, permettendo l’esecuzione di codice arbitrario. Ad esempio, sfruttano vulnerabilità nei software di terze parti per ottenere l’accesso iniziale.
2. Raccolta di Informazioni: Utilizzano strumenti per la raccolta di informazioni sui sistemi compromessi, inclusi dettagli di configurazione e credenziali di accesso. Queste informazioni vengono poi utilizzate per espandere ulteriormente la loro presenza all’interno della rete.
3. Manipolazione dei Dati: Oltre alla raccolta, possono manipolare i dati delle vittime, alterando file e registri per coprire le loro tracce o causare ulteriori danni​ (Morphisec Cybersecurity Blog)​​ (Security Affairs)​.

Tecniche Avanzate di APT-C-35

1. Shellcode Multi-stadio: Utilizzano shellcode multi-stadio che consente l’esecuzione di codice malevolo in modo stealthy e persistente. Questo approccio consente di evitare rilevamenti e analisi statiche del malware.
2. Cifratura con XOR: Gli attaccanti utilizzano chiavi XOR per cifrare i payload malevoli, complicando l’analisi e il reverse engineering del malware.
3. Verifica di Soluzioni di Sicurezza: Prima di eseguire il payload, il malware verifica la presenza di software di sicurezza come McAfee, Norton e Bitdefender. Se questi software sono presenti, il malware adotta misure di evasione​ (Morphisec Cybersecurity Blog)​​ (Security Affairs)​.

Rafel RAT

Rafel RAT (Remote Access Trojan) è uno degli strumenti principali utilizzati da APT-C-35. Originariamente progettato per operazioni di spionaggio, è stato recentemente aggiornato per includere funzionalità di ransomware, ampliando così il suo spettro di minacce.

Tecniche di Attack-Pattern di Rafel RAT:

[T1592] Gather Victim Host Information: Rafel RAT utilizza scanner di Internet per cercare pattern associati a contenuti malevoli progettati per raccogliere informazioni sull’host dai visitatori. Questo gli consente di identificare potenziali bersagli e di personalizzare le sue campagne di phishing o di exploit.

[T1211] Exploitation for Defense Evasion: Rafel RAT sfrutta le vulnerabilità dei software installati sui sistemi infetti per eludere le misure di sicurezza e ottenere privilegi elevati. Questo gli permette di eseguire il payload del ransomware, disabilitare i processi di sicurezza o iniettare codice maligno in processi legittimi. Per rilevare l’exploitation del software, si possono monitorare le anomalie nei processi, come il crash, la scrittura di file sospetti sul disco o le evidenze di Process Injection.

[T1036] Masquerading: Rafel RAT può usare tecniche di mascheramento per nascondere la sua presenza o la sua origine sui sistemi compromessi. Può ad esempio modificare il nome, il percorso o l’hash dei file eseguibili, o usare nomi simili a quelli di processi o applicazioni legittime. Per rilevare il mascheramento, si possono raccogliere e confrontare gli hash dei file, i nomi dei file sul disco e nelle risorse dei binari, e gli argomenti della riga di comando. Si possono anche cercare indicazioni di caratteri comuni che possono indicare un tentativo di ingannare gli utenti sul tipo di file, come uno spazio come ultimo carattere del nome del file o i caratteri di override da destra a sinistra “\u202E”, “[U+202E]”, e “%E2%80%AEâ€157;.

[T1486] Data Encrypted for Impact: Rafel RAT può usare tecniche di cifratura dei dati per impedire l’accesso o il recupero delle informazioni sui sistemi infetti. Può ad esempio criptare i file, le partizioni o i dischi, o alterare le impostazioni di avvio per rendere il sistema inutilizzabile. Per rilevare la cifratura dei dati, si possono usare il monitoraggio dei processi per controllare l’esecuzione e i parametri della riga di comando dei binari coinvolti nell’attività di distruzione dei dati, come vssadmin, wbadmin e bcdedit. Si può anche monitorare la creazione di file sospetti e l’attività di modifica dei file insolita. In particolare, si può cercare una grande quantità di modifiche di file nelle directory degli utenti. In alcuni casi, il monitoraggio dell’attività di installazione di driver del kernel insolita può aiutare nella rilevazione. Negli ambienti cloud, si può monitorare gli eventi che indicano che gli oggetti di archiviazione sono stati sostituiti in modo anomalo da copie.

[T1565] Data Manipulation: Rafel RAT può usare tecniche di manipolazione dei dati per alterare o falsificare le informazioni sui sistemi infetti o durante la loro trasmissione. Può ad esempio modificare i file, i database, le configurazioni, i log o i dati in transito per danneggiare, ingannare o compromettere le operazioni o le decisioni degli utenti. Per rilevare la manipolazione dei dati, si possono ispezionare, dove applicabile, gli hash, le posizioni e le modifiche dei file importanti per cercare valori sospetti o inaspettati. Con alcuni processi critici che coinvolgono la trasmissione dei dati, il controllo manuale o fuori banda dell’integrità dei dati può essere utile per identificare i dati manipolati.

[T1078] Valid Accounts: Rafel RAT può usare account validi per accedere ai sistemi o ai servizi compromessi. Può ad esempio usare credenziali rubate, create o modificate, o sfruttare le configurazioni di default o le chiavi SSH. Per rilevare l’uso di account validi, si possono configurare politiche di audit robuste e consistenti sull’attività degli account in tutta l’impresa e con i servizi accessibili esternamente. Si può cercare un comportamento sospetto degli account tra i sistemi che condividono gli account, sia utente, amministratore o di servizio. Esempi: un account collegato a più sistemi simultaneamente; più account collegati alla stessa macchina simultaneamente; account collegati a orari insoliti o al di fuori degli orari di lavoro. L’attività può essere da sessioni di login interattive o da proprietà di processi da account usati per eseguire binari su un sistema remoto come un determinato account. Si possono correlare altri sistemi di sicurezza con le informazioni di login (ad esempio, un utente ha una sessione di login attiva ma non è entrato nell’edificio o non ha accesso VPN). Si possono eseguire audit regolari degli account di dominio e di sistema locale per rilevare gli account che possono essere stati creati da un avversario per la persistenza. I controlli su questi account potrebbero anche includere se gli account predefiniti come Guest sono stati attivati. Questi audit dovrebbero anche includere controlli su eventuali dispositivi e applicazioni per le credenziali di default o le chiavi SSH, e se ne vengono scoperte, dovrebbero essere aggiornate immediatamente.

Capacità di Rafel RAT

1. Infostealer: Rafel RAT è altamente efficiente nel raccogliere informazioni sensibili dai sistemi infetti. Utilizza tecniche di keylogging e cattura schermate per ottenere dati sensibili dagli utenti.
2. Persistenza: Implementa tecniche di persistenza come la creazione di attività pianificate e la modifica delle chiavi di registro per eseguire il malware all’avvio del sistema​ (ThreatMon)​.
3. Cifratura e Anti-Analisi: Utilizza chiavi XOR per cifrare i suoi payload e verifica la presenza di software di sicurezza prima di eseguire ulteriori azioni malevole​ (Morphisec Cybersecurity Blog)​.
4. Ransomware: L’ultima evoluzione di Rafel RAT include capacità di ransomware, permettendo agli attaccanti di cifrare i dati delle vittime e richiedere un riscatto per la decrittazione​ (Morphisec Cybersecurity Blog)​​ (ThreatMon)​.

Struttura del Malware e Operazioni

Rafel RAT è spesso distribuito tramite spear-phishing e altre tecniche di social engineering. Una volta installato, il malware stabilisce una connessione con il server C2 (Command and Control), attraverso il quale gli attaccanti possono inviare comandi e ricevere dati esfiltrati. La modularità di Rafel RAT permette di scaricare ed eseguire ulteriori moduli malevoli secondo le necessità dell’attaccante.

Implicazioni e Misure di Sicurezza

L’attività di APT-C-35 e l’evoluzione di Rafel RAT evidenziano la crescente sofisticazione delle minacce informatiche moderne. Le organizzazioni devono adottare misure di sicurezza robuste per proteggere i loro sistemi, tra cui:

1. Aggiornamenti e Patch: Mantenere i sistemi aggiornati con le ultime patch di sicurezza è fondamentale per prevenire l’exploit di vulnerabilità conosciute.
2. Monitoraggio Continuo: Implementare soluzioni di monitoraggio continuo per rilevare attività sospette e rispondere rapidamente a potenziali minacce.
3. Educazione e Consapevolezza: Formare il personale sulla sicurezza informatica e sulle tecniche di social engineering per ridurre il rischio di attacchi tramite phishing e altre metodologie di ingegneria sociale​ (Morphisec Cybersecurity Blog)​​ (ThreatMon)​​ (Security Affairs)​.

Conclusione

APT-C-35, con il suo strumento avanzato Rafel RAT, rappresenta una minaccia significativa nel panorama della cybersecurity. La capacità del malware di adattarsi e includere nuove funzionalità, come il ransomware, evidenzia l’evoluzione continua delle tattiche di questi gruppi di cyber spionaggio. È essenziale per le organizzazioni adottare misure di sicurezza robuste, includendo soluzioni di rilevamento e risposta avanzate, per mitigare i rischi associati a tali minacce.

L'articolo Rafel RAT: Dallo Spionaggio al Ransomware, Una Minaccia in Evoluzione proviene da il blog della sicurezza informatica.

TikTok ha accidentalmente pubblicato un collegamento a una versione interna del suo nuovo strumento di creazione di avatar digitali basato sull’intelligenza artificiale senza restrizioni, consentendo agli utenti di creare video con qualsiasi contenuto.

La prima ad accorgersene è stata la CNN , che è riuscita a creare un video con citazioni di Hitler e messaggi che incoraggiavano le persone a bere candeggina, tra le altre frasi. Da allora TikTok ha rimosso questa versione dello strumento, mentre la versione pianificata rimane disponibile.

Lanciati all’inizio di questa settimana, gli avatar digitali Symphony di TikTok consentono alle aziende di creare annunci utilizzando le sembianze di attori pagati. Lo strumento utilizza anche la tecnologia voiceover AI, consentendo agli inserzionisti di inserire uno script per fare in modo che gli avatar dicano quello che vogliono, secondo le linee guida di TikTok.

Sebbene solo gli utenti con un account TikTok Ads Manager possano accedere allo strumento, la versione scoperta dalla CNN ha consentito a chiunque abbia un account personale di provarlo.

In una dichiarazione, la portavoce di TikTok Laura Perez ha affermato che TikTok ha risolto un “problema tecnico” che “ha consentito a un numero molto limitato di utenti di creare contenuti utilizzando una versione di test interna dello strumento per diversi giorni”.

Quando la CNN ha scoperto lo strumento interno, è stata in grado di creare un video con il testo “Lettera all’America” ​​di Osama bin Laden, slogan della supremazia bianca e un video che incoraggiava le persone a votare nel giorno sbagliato. Nessuno dei video creati dalla CNN aveva una filigrana che indicasse che il video era stato creato dall’intelligenza artificiale, che è presente nella versione corretta degli avatar digitali Symphony di TikTok.

La CNN non ha pubblicato i video creati su TikTok, ma Perez ha osservato che se lo avesse fatto, il contenuto sarebbe stato rifiutato per aver violato le politiche della piattaforma. Sebbene TikTok abbia già rimosso questa versione del suo strumento, resta la domanda se le persone troveranno altri modi per abusare del creatore di avatar digitali e se TikTok sia pronto per questo.

L'articolo TikTok: gli avatar AI generano video con slogan di Hitler e inviti a bere candeggina proviene da il blog della sicurezza informatica.

Recentemente, Handala, un attore malevolo ha pubblicato un post su un noto forum del dark web, rivendicando un attacco informatico ai danni di Zerto, una sussidiaria di Hewlett Packard Enterprise (HPE). Zerto è rinomata per le sue soluzioni avanzate di disaster recovery, resilienza ai ransomware e mobilità dei carichi di lavoro, progettate specificamente per infrastrutture virtualizzate e ambienti cloud.

Traduzione del Post

Handala (threat actor) ha attaccato Zerto (una delle più grandi aziende di sicurezza informatica sioniste al mondo).

Zerto, una società di Hewlett Packard Enterprise, consente ai clienti di gestire un business sempre attivo semplificando la protezione, il recupero e la mobilità delle applicazioni on-premises e cloud. La piattaforma di gestione e protezione dei dati cloud di Zerto elimina i rischi e la complessità della modernizzazione e dell’adozione del cloud attraverso implementazioni private, pubbliche e ibride. La piattaforma software-only utilizza una protezione continua dei dati su vasta scala per convergere il disaster recovery, il backup e la mobilità dei dati. Zerto è fidata da oltre 9.500 clienti a livello globale e alimenta le offerte per Microsoft Azure, IBM Cloud, AWS, Google Cloud, Oracle Cloud e più di 350 fornitori di servizi gestiti. Zerto fornisce backup e recupero per applicazioni SaaS come Microsoft 365, Dynamics 365, Azure Active Directory, Salesforce, Google Workspace e altro ancora. Questa azienda ha più di 300 milioni di dollari di entrate!

Questi sciocchi sionisti non possono nemmeno fornire la propria sicurezza informatica, pensate davvero che possano fornirla a voi? È ridicolo!

51 TB di dati scaricati e cancellati! Alcune email inviate…

Il Collettivo Hacker Handala

Handala è un gruppo di hacker pro-palestinese noto per i suoi attacchi mirati contro entità israeliane e i loro alleati. Questo gruppo ha acquisito notorietà per diverse operazioni di alto profilo, tra cui l’invio di messaggi minacciosi a cittadini israeliani e l’affermazione di aver compromesso sistemi radar e la difesa missilistica Iron Dome di Israele. Gli attacchi di Handala sono spesso motivati politicamente, mirati a diffondere messaggi politici e a destabilizzare le infrastrutture critiche​​​​.

Recentemente, Handala ha rivendicato un attacco contro l’app di messaggistica Viber, dichiarando di aver sottratto 740 GB di dati, inclusi il codice sorgente e altre informazioni sensibili. Questo gruppo ha anche richiesto un riscatto di 8 Bitcoin, equivalente a circa 583.000 dollari, per il rilascio dei dati rubati​​.

Handala utilizza diverse tecniche di attacco avanzate, tra cui phishing e SQL injection, per compromettere le loro vittime. La loro attività è principalmente motivata dal sostegno alla causa palestinese, e continuano a colpire vari settori, inclusi infrastrutture, aziende tecnologiche e sistemi di difesa israeliani​​​​.

Motivazioni dell’Attacco

L’attore malevolo ha dichiarato che l’attacco non è stato perpetrato per motivi finanziari o di spionaggio industriale, ma per ragioni politiche.

“Questi sciocchi sionisti non possono nemmeno fornire la propria sicurezza informatica, pensate davvero che possano fornirla a voi? È ridicolo!”

Questa dichiarazione sottolinea una tendenza crescente di attacchi informatici motivati da cause ideologiche piuttosto che da interessi economici.

Impatto dell’Attacco

Il post dell’attore malevolo afferma che sono stati sottratti e successivamente cancellati 51 terabyte (TB) di dati. Questo volume di dati rappresenta una quantità significativa di informazioni, che potrebbero includere:

• Dati Sensibili dei Clienti: Informazioni di backup, configurazioni di disaster recovery, e piani di resilienza ai ransomware.
• Proprietà Intellettuale: Codici sorgente, algoritmi e altre proprietà intellettuali sviluppate da Zerto.
• Dati Operativi: Dettagli sulle operazioni interne e l’infrastruttura IT di Zerto.

L’attore malevolo ha condiviso un canale Telegram nel post, utilizzato probabilmente per diffondere ulteriori dettagli sull’attacco e forse per coordinare ulteriori azioni. L’inclusione di un’immagine relativa all’attacco aggiunge un ulteriore livello di credibilità alla rivendicazione.

Conclusione

L’attacco a Zerto rappresenta un grave avvertimento per tutte le aziende operanti nel settore della sicurezza informatica e del cloud computing. La motivazione politica dietro l’attacco aggiunge una dimensione complessa alla sicurezza informatica, richiedendo strategie di difesa più sofisticate e una maggiore consapevolezza delle minacce.

L'articolo Presunto attacco informatico a Zerto: non per scopi finanziari o di spionaggio, ma per ragioni politiche. proviene da il blog della sicurezza informatica.

Le vulnerabilità rappresentano costantemente un rischio significativo per le aziende e le istituzioni. Molti amministratori di sistema potrebbero ricordare il CVE-2023-34362 dello scorso anno, una vulnerabilità catastrofica in Progress MOVEit Transfer che ha scosso l’industria, colpendo vittime di alto profilo come la BBC e l’FBI.

Dati sensibili sono stati trapelati e distrutti, poiché la banda di ransomware cl0p ha sfruttato vulnerabilità 0day per rubare dati, lasciando infine una scia di caos. Oggi, una nuova minaccia emerge all’orizzonte: la vulnerabilità CVE-2024-5806.

Il passato: CVE-2023-34362

La CVE-2023-34362 (nvd.nist.gov/vuln/detail/CVE-2… ) rappresenta una delle vulnerabilità più critiche che ha colpito Progress MOVEit Transfer, un software ampiamente utilizzato per il trasferimento sicuro dei file. Scoperta e divulgata nel 2023, questa vulnerabilità ha avuto un impatto significativo su diverse organizzazioni di alto profilo, tra cui la BBC e l’FBI.

Descrizione della Vulnerabilità CVE-2023-34362

La CVE-2023-34362 è una vulnerabilità classificata come “Remote Code Execution” (RCE). Questa tipologia di vulnerabilità permette a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio senza necessità di autenticazione. Nel caso specifico della CVE-2023-34362, la falla risiedeva in una gestione inadeguata delle richieste HTTP da parte del software MOVEit Transfer.

Meccanismo di Sfruttamento CVE-2023-34362

La vulnerabilità poteva essere sfruttata inviando richieste HTTP appositamente create al server MOVEit Transfer. Queste richieste malevole erano in grado di bypassare i controlli di sicurezza e di eseguire comandi arbitrari con i privilegi del processo di esecuzione del server. Questo tipo di attacco poteva essere utilizzato per installare malware, rubare dati, o compromettere ulteriormente la rete interna dell’organizzazione.

Impatto e Danni Causati CVE-2023-34362

L’impatto della CVE-2023-34362 è stato devastante. La vulnerabilità è stata sfruttata dalla gang di ransomware cl0p, che ha utilizzato questa falla per condurre attacchi su vasta scala. Le conseguenze degli attacchi includevano:

1. Furto di Dati Sensibili: Dati altamente sensibili e riservati sono stati sottratti da numerose organizzazioni, tra cui la BBC e l’FBI.
2. Distruzione di Dati: Alcuni dati compromessi sono stati distrutti, causando perdite significative.
3. Interruzione dei Servizi: Le operazioni di molte organizzazioni sono state interrotte, causando disservizi e perdite economiche.

Un nuovo bug di sicurezza su Progress MOVEit Transfer

Recentemente, è stata identificata una nuova vulnerabilità in Progress MOVEit Transfer, classificata come CVE-2024-5806. Questa vulnerabilità è stata etichettata come una debolezza di ‘improper authentication’ (CWE-287).

Si tratta di un problema che consente agli attaccanti di aggirare i meccanismi di autenticazione e ottenere accesso non autorizzato ai dati sensibili. Questo tipo di vulnerabilità è particolarmente preoccupante poiché può essere sfruttata per compromettere gravemente la sicurezza dei dati.

Maggiori dettagli: nvd.nist.gov/vuln/detail/CVE-2…

La Disponibilità di un Proof of Concept (POC) per l’Exploit

Ad aggravare ulteriormente la situazione, è emerso un Exploit Proof of Concept (POC) per il CVE-2024-5806. La disponibilità di un POC significa che gli attaccanti hanno a disposizione un esempio funzionante di come sfruttare la vulnerabilità, aumentando il rischio di attacchi reali.

Il POC può essere utilizzato come base per sviluppare strumenti di attacco più sofisticati e mirati, rendendo la vulnerabilità una minaccia imminente.

Il Rischio di un Nuovo Attacco da Parte di cl0p

Considerando la storia recente, una domanda sorge spontanea: l’attore ransomware cl0p sfrutterà nuovamente questa vulnerabilità?

La gang cl0p, nota per aver utilizzato la vulnerabilità CVE-2023-34362 per attacchi devastanti, potrebbe vedere nella CVE-2024-5806 una nuova opportunità.

Con la loro comprovata esperienza e la disponibilità di un POC, c’è un rischio elevato che cl0p o gruppi simili possano tentare di sfruttare questa nuova falla di sicurezza.

La ransomware gang cl0p

Cl0p è una delle gang di ransomware più temute e sofisticate nel panorama della sicurezza informatica. Questo gruppo criminale è noto per aver condotto attacchi devastanti contro numerose organizzazioni di alto profilo utilizzando tecniche avanzate e vulnerabilità critiche, come la CVE-2023-34362 in Progress MOVEit Transfer.

Cl0p ransomware è ampiamente ritenuto avere origini in Russia o nei paesi dell’ex Unione Sovietica. Le prove indicano che i membri del gruppo parlano russo e operano in fusi orari compatibili con questa regione. Tuttavia, come per molte attività cybercriminali, l’esatta localizzazione geografica dei membri del gruppo può essere difficile da determinare con certezza.

Tecniche, Tattiche e Procedure (TTPs)

Cl0p ransomware gang utilizza un insieme di tecniche, tattiche e procedure altamente sofisticate per condurre i propri attacchi.

Di seguito le principali TTPs associate al gruppo:

1. Exploiting Zero-Day Vulnerabilities: Cl0p è noto per sfruttare vulnerabilità non ancora pubblicamente divulgate (zero-day) per penetrare nei sistemi delle vittime. Un esempio rilevante è la CVE-2023-34362 in Progress MOVEit Transfer.
2. Phishing e Spear-Phishing: Utilizzano campagne di phishing mirate per ottenere accesso iniziale ai sistemi, spesso inviando email che appaiono legittime ma contengono link o allegati malevoli.
3. Lateral Movement: Una volta ottenuto l’accesso a una rete, Cl0p si sposta lateralmente per compromettere ulteriori sistemi, utilizzando strumenti come Mimikatz per estrarre credenziali e guadagnare accesso privilegiato.
4. Data Exfiltration: Prima di criptare i dati, il gruppo esfiltra informazioni sensibili, che utilizza come leva per estorcere ulteriori pagamenti minacciando di pubblicare i dati rubati.
5. Double Extortion: Cl0p pratica l’estorsione doppia, richiedendo un riscatto sia per decriptare i file sia per evitare la pubblicazione dei dati esfiltrati.
6. Ransomware Deployment: Infine, Cl0p distribuisce il ransomware attraverso la rete compromessa, cifrando i file e rendendoli inaccessibili fino al pagamento del riscatto.

Conclusione

La scoperta della vulnerabilità CVE-2024-5806 in Progress MOVEit Transfer rappresenta un serio rischio per la sicurezza delle informazioni aziendali. La presenza di un POC per l’exploit aumenta ulteriormente la minaccia, rendendo cruciale per le organizzazioni adottare misure preventive immediate. La possibilità che il gruppo ransomware cl0p sfrutti questa nuova vulnerabilità non può essere esclusa, rendendo ancora più importante la vigilanza e la preparazione. La sicurezza informatica è una battaglia continua, e solo attraverso la prevenzione e la risposta rapida le aziende possono proteggere i loro asset più preziosi: i dati.

L'articolo Catastrofe Cyber in vista? Il nuovo Bug di Progress MOVEit ha un Exploit PoC Online proviene da il blog della sicurezza informatica.

[Poking Technology] doesn’t think much of his new smartwatch. It is, by his admission, the cheapest possible smartwatch, coming in at about $3. It has very few useful features but he has figured out how to port MicroPython to it, so for a wrist-mounted development board with BLE, it might be useful. You can check it out in the video below.

The first step is a teardown, which reveals surprisingly little on the inside. There’s a tiny battery, a few connections, a display, and a tiny CPU board. There are, luckily, a few test pads that let you get into the CPU. What do you get? A 24 MHz Telink CPU with 512k of flash and 16k of RAM, along with all the other hardware.

Of course, even if you just want a display with some smarts, $3 might be in your price range. The whole thing wound up taped down to a PCB. But the usual debugger didn’t want to connect. Grabbing an oscilloscope revealed that the output from the board had some level problems. He eventually wrote his own debugger interface using a Pi Pico.

He was able to find the onboard CPU’s development tools. The CPU claims to be proprietary but looks suspiciously like a slightly modified ARM. A short investigation shows that the object code is extremely similar to the ARM Thumb instruction set but with a few extra bits set and different mnemonics. But once you put Python on board, who really cares?

The only downside is that it doesn’t appear that the BLE is practically usable because of memory limitations. But there are still places you might use the little watch in a project.

If you want a smartwatch, maybe build your own. While many DIY watches are simple, you can get pretty complicated if you like.

youtube.com/embed/sv58aPvIonw?…

It’s a great joke, and like all great jokes it makes you think. [Søren Fuglede Jørgensen] managed to cram a 15 M parameter large language model into a completely valid TrueType font: llama.ttf. Being an LLM-in-a-font means that it’ll do its magic across applications – in your photo editor as well as in your text editor.

What magic, we hear you ask? Say you have some text, written in some non-AI-enabled font. Highlight that, and swap over to llama.ttf. The first thing it does is to change all “o” characters to “ø”s, just like [Søren]’s parents did with his name. But the real magic comes when you type a length of exclamation points. In any normal font, they’re just exclamation points, but llama.ttf replaces them with the output of the TinyStories LLM, run locally in the font. Switching back to another font reveals them to be exclamation points after all. Bønkers!

This is all made possible by the HarfBuzz font extensions library. In the name of making custom ligatures and other text shaping possible, HarfBuzz allows fonts to contain Web Assembly code and runs it in a virtual machine at rendering time. This gives font designers the flexibility to render various Unicode combinations as unique glyphs, which is useful for languages like Persian. But it can just as well turn all “o”s into “ø”s or run all exclamation points through an LLM.

Something screams mischief about running arbitrary WASM while you type, but we remind you that since PostScript, font rendering engines have been able to run code in order to help with the formatting problem. This ability was inherited by PDF, and has kept malicious PDFs in the top-10 infiltration vectors for the last fifteen years. [Citation needed.] So if you can model a CPU in PDF, why not an LLM in TTF? Or a Pokemon clone in an OpenType font?

We don’t think [Søren] was making a security point here, we think he was just having fun. You can see how much fun in his video demo embedded below.

youtube.com/embed/Q4bOyYctgFI?…

This week Jonathan Bennett and Doc Searls chat with Igor Pecovnik and Ricardo Pardini about Armbian, the Debian-based distro tailor made for single-board computers. There’s more than just Raspberry Pi to talk about, with the crew griping about ancient vendor kernels, the less-than-easy ARM boot process, and more!

youtube.com/embed/y4UXp7Uw0lo?…

– armbian.com/
– github.com/armbian

Did you know you can watch the live recording of the show right in the Hackaday Discord? Have someone you’d like use to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Meshtastic is a way to build mesh networks using LoRa that is independent of cell towers, hot spots or traditional repeaters. It stands to reason that with an SDR and GNU Radio, you could send and receive Meshtastic messages. That’s exactly what [Josh Conway] built, and you can see a video about the project, Meshtastic_SDR, below. The video is from [cemaxecuter], who puts the library through its paces.

For hardware, the video uses a Canary I as well as the WarDragon software-defined radio kit which is an Airspy R2 and a mini PC running Dragon OS — a Linux distribution aimed at SDR work — in a rugged case. GNU Radio, of course, uses flows which are really just Python modules strung together with a GUI.

The GNU blocks send and receive data via TCP port, so using the radio as a data connection is simple enough. The flow graph itself for the receiver looks daunting, but we have a feeling you won’t change the default very much.

If you’ve wanted to dip your toe into Meshtastic or you want a meaty example of using GNU Radio, this would be a fun project to duplicate and extend. While Meshtastic is generally a mesh protocol, you can set up a node to act as a repeater. You never know when decentralized communications might save the day.

youtube.com/embed/L1VgO1OZWbs?…

If you take public transport in many of the world’s cities, your ticket will be an NFC card which you scan to gain access to the train or bus. These cards are disposable, so whatever technology they use must be astonishingly cheap. It’s one of these which [Ken Shirriff] has turned his microscope upon, a Montreal Métro ticket, and his examination of the MiFare Ultra Light it contains is well worth a read.

The cardboard surface can be stripped away from the card to reveal a plastic layer with a foil tuned circuit antenna. The chip itself is a barely-discernible dot in one corner. For those who like folksy measurements, smaller than a grain of salt. On it is an EEPROM to store its payload data, but perhaps the most interest lies in the support circuitry. As an NFC chip this has a lot of RF circuitry, as well as a charge pump to generate the extra voltages to charge the EEPROM. In both cases the use of switched capacitors plays a part in their construction, in the RF section to vary the load on the reader in order to transmit data.

He does a calculation on the cost of each chip, these are sold by the wafer with each wafer having around 100000 chips, and comes up with a cost-per-chip of about nine cents. Truly cheap as chips!

If NFC technology interests you, we’ve taken a deep dive into their antennas in the past.

The basics of keyboard design are tried and true at this point, but there are still a few aspects yet unconquered. One of them is making your keyboards wireless. You might think it’s easy, but if you just slap a wireless-enabled microcontroller onto your board, you’ll soon be left with a dead battery. Rejoice – [Pete Johanson], creator of ZMK, tells all that you want to know about making your keyboard low-power.

In a lengthy blog post, he goes through everything that a typical keyboard consists of, and points out factor after factor that you never knew could cause a spike in power consumption. Are you using muxes or config options that will force your MCU to always stay alert? Is your voltage regulator’s quiescent current low enough, and can the same be said about other parts you’re using? Does your MCU have to work extra hard transmitting bytes because you’ve put a copper fill under its antenna? Most importantly, is the firmware you’re using designed to optimize power consumption at its core?

If you’ve ever thought about designing low-power keyboards, hell, any low-power device, you seriously should read this post – it will set you at ease by giving you a checklist of things to do, and it also links to quite a few other useful resources, like the ZMK power profiler. Perhaps, if you’re building a wireless keyboard or just creating battery-powered device, you should consider ZMK, as it sure seems to be written with energy efficiency in mind.

Want to learn more about what it takes to build a low-power device? Our 2023 Low-Power Contest attracted a wide range of entrants, and they’ve shared a flurry of methods and tricks you can use to build any sort of battery-juice-sipping gadget.