As consumers worldwide slowly make the switch from internal combustion vehicles to lower-carbon equivalents, a few concerns have appeared about electric vehicles. Range anxiety is ebbing away as batteries become bigger and chargers become more frequent, but a few well-publicized incidents have raised worries over fire safety.

Lithium-ion batteries can ignite in the wrong circumstances, and when they do so they are extremely difficult to extinguish. Renault has a solution, and in a rare moment for the car industry, they are sharing it freely for all manufacturers to use.

The innovation in question is their Fireman Access Port, a standardized means for a fire crew to connect up their hoses directly to the battery pack and attack the fire at its source. An opening is covered by an adhesive disk designed to protect the cells, but breaks under a jet of high-pressure water. Thermal runaway can then be halted much more easily.

The licensing terms not only allow use of the access port itself, but also require any enhancements be shared with the rest of the community of automakers using the system. This was the part which caught our interest, because even if it doesn’t come from the same place as the licences we’re used to, it sounds a lot like open source to us.

Oddly, this is not the first time Renault have open-sourced their technology, in the past they’ve shared an entire car.

hackaday.com/2025/03/07/open-s…

elle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un Data Leak Site di una cyber gang mai monitorata prima: Skira.

I gruppi ransomware operano generalmente secondo la logica del “doppio ricatto” (double extortion): dopo aver ottenuto un accesso non autorizzato ai sistemi informatici di un’organizzazione, cifrano i dati e al contempo ne sottraggono una copia. Se la vittima non paga il riscatto, i cybercriminali minacciano sia di lasciare i sistemi inaccessibili sia di pubblicare i dati esfiltrati.

Skira si inserisce in questo quadro come nuovo gruppo emergente che, come molti suoi “colleghi” (es. LockBit, BlackCat/ALPHV, ecc.), dispone di un proprio sito Tor dove rivendica gli attacchi e mette in mostra l’elenco delle vittime.

Nel contesto delle lingue scandinave, “skir” (o forme molto simili, come l’islandese “skír” o l’antico norvegese “skírr”) significa generalmente “puro”, “trasparente” o “chiaro”. In svedese moderno, ad esempio, l’aggettivo “skir” viene usato per indicare qualcosa di “sottile”, “delicato” o “trasparente”. Queste radici germaniche potrebbero dunque aver ispirato il nome “Skira”, sebbene non ci siano conferme certe che il gruppo ransomware abbia attinto a questa etimologia.

Struttura del DLS

La homepage del Data Leak Site (DLS) di Skira, accessibile esclusivamente tramite la rete Tor, si presenta in modo estremamente essenziale. L’interfaccia è composta da pochi elementi testuali: un messaggio di benvenuto, un collegamento a una sezione chiamata Hacking News (dedicata alle vittime) e le istruzioni per contattare il gruppo tramite Session. L’assenza di elementi grafici elaborati e l’impostazione scarna suggeriscono la volontà di puntare tutto sui contenuti, fornendo solo le informazioni strettamente necessarie a negoziare un eventuale pagamento o a mettere in mostra i dati rubati.

• Una homepage con un messaggio di benvenuto, un link denominato Hacking News (che conduce al “blog delle vittime”) e le istruzioni per contattarli tramite Session.

• Una pagina dedicata alle vittime (la sezione Hacking News) dove vengono elencate diverse organizzazioni prese di mira: aziende e persino un ente governativo di una città turca.

Metodi di Contatto

• Oltre al tradizionale “portale di pagamento” talvolta integrato (non sempre mostrato pubblicamente), Skira incoraggia l’uso di Session per negoziare il pagamento del riscatto.

Nella pagina “Hacking News” di Skira vengono elencati nomi di:

• Aziende del settore immobiliare (India).
• Produttori di beni di largo consumo (India).
• Società di consulenza in ambito normativo (USA).
• Un ufficio governativo di una municipalità in Turchia.

L’elenco indica che Skira potrebbe mirare a realtà eterogenee senza una particolare preferenza di settore, ma puntando a organizzazioni con un livello di sicurezza insufficiente o a target ritenuti in grado di pagare un riscatto per evitare l’esposizione di dati sensibili.

Conclusioni

Il gruppo Skira rappresenta una nuova minaccia ransomware, chiaramente orientata al modello di “doppia estorsione” con tanto di Data Leak Site su rete Tor. Sebbene al momento le informazioni tecniche sul loro payload ransomware siano ancora scarse, la presenza di un elenco di vittime reali, le potenziali richieste di riscatto e l’uso di un canale di comunicazione sicuro (Session) mostrano che il gruppo è determinato a operare in modo strutturato.

Come per altre campagne ransomware, la prevenzione e la tempestiva rilevazione sono fondamentali per limitare i danni. L’adozione di buone pratiche di sicurezza, un monitoraggio continuo dell’infrastruttura e procedure di incident response ben definite restano i pilastri per ridurre il rischio di attacchi simili.

L'articolo Un Nuovo Attore Oscuro entra nell’Underground Criminale. Alla scoperta di Skira ransomware proviene da il blog della sicurezza informatica.

Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessler. Si tratta dell’arena della Cyber Warfare Ibrida, dove solo i più astuti e determinati hacker etici riusciranno ad emergere.

Questa volta, la sfida sarà più realistica e coinvolgente che mai.

Sarai all’interno di una operazione militare orchestrata da uno stato ostile ai danni dello stato MINZHONG, una tranquilla repubblica orientale che basa la sua prosperità sul commercio di beni alimentari e agricoli. La tua operazione inizierà da una semplice parola: Supply Chain.

Il tuo obiettivo: come di consueto prendere il controllo di tutto, un pezzo alla volta!

La Supply Chain: lo scenario più temuto nella Cybersecurity di oggi

Sì, avete capito bene: questa volta il protagonista è il tanto discusso attacco alla supply chain realizzato in collaborazione con CyberSecurityUP. Una tecnica che negli scenari attuali rappresenta una delle minacce più insidiose per le grandi aziende. Gli attaccanti non colpiscono direttamente il bersaglio principale, ma sfruttano fornitori e partner connessi alla rete per ottenere un primo accesso. Da qui, con tecniche di pivoting e movimenti laterali, è possibile infiltrarsi progressivamente in infrastrutture critiche, eludendo controlli di sicurezza e aumentando il raggio d’azione dell’attacco.

Tutto inizia con un punto di accesso apparentemente marginale: una terza parte, un piccolo fornitore, magari un’azienda di supporto IT o un partner logistico, connesso alla rete del bersaglio. Basta un errore umano, una configurazione errata o una credenziale esposta per fornire agli attaccanti il foothold necessario. Da quel momento, l’obiettivo non è solo mantenere la persistenza, ma esplorare la rete interna, comprendere la struttura dell’infrastruttura e identificare asset sensibili da compromettere.

Il vero gioco inizia quando si passa all’azione: l’escalation dei privilegi, l’uso di tunnel cifrati per evitare il rilevamento, il movimento tra sistemi governativi e servizi critici. Gli attaccanti si muovono silenziosamente, sfruttando connessioni fidate per propagarsi senza destare sospetti. La supply chain diventa così il tallone d’Achille delle organizzazioni, dimostrando come una singola vulnerabilità esterna possa compromettere un’intera infrastruttura.

Gli obiettivi della Capture The Flag 2025

Come ogni anno, le infrastrutture della capture the flag sono realizzate interamente da Red Hot Cyber e i suoi partner tecnologici. Questo anno gli obiettivi strategici in questa nuova capture the flag, saranno i seguenti:

• Suppy Chain: Viola il fornitore di terze parti colpevole di una bassa postura cyber
• Siti governativi: Viola i portali ufficiali e i sistemi ministeriali.
• Infrastrutture critiche: Viola la rete telefonica 4G, La banca, la Rete Idrica, L’ospedale e altro ancora.
• Social Engineering: Crea email ed effettua Spear Phishing per convincere il CEO dell’azienda energetica a fornirvi dati di intelligence

Ogni flag conquistata sarà un passo in più verso la vittoria.

Ma non tutto potrà essere fatto online

La sfida si fa sempre più reale di fronte all’operatore nazionale telefonico, una rete 4G radiomobile che andremo a dispiegare presso il teatro italia che dovrà essere violata per conquistare flag fisiche. Ma non sarà solo un gioco di codice e exploit. Per prendere flag fisiche, dovrete anche violare telecamere, reti telefoniche, lucchetti e disinnescare bombe e sfruttare i punti deboli della sicurezza fisica.

• Location per le operazioni cibernetiche standard : Online
• Location per le operazioni cibernetiche in prossimità: Teatro Italia (Secondo Piano)

Quest’anno, gli scenari fisici saranno differenti rispetto alle edizioni precedenti, offrendo nuove sfide e ambientazioni inedite. Per questa edizione, stiamo lavorando su una serie di prove esclusive, progettate per mettere alla prova le capacità dei partecipanti in un contesto realistico e immersivo.

Tutte le sfide saranno disponibili esclusivamente presso il Teatro Italia, che, a differenza dello scorso anno, metterà a disposizione non solo la terza balconata, ma anche l’intera sala al secondo piano per tutta la durata della Capture The Flag. Questo garantirà spazi più ampi rispetto alla scorsa edizione e un’esperienza di gioco ancora più coinvolgente. Alcune delle challenge in prossimità saranno:

• Disinnesca la bomba
• Viola la rete 4G
• Tre metri sopra al cielo
• Accedi alla banca di stato

L’operatore radiomobile 4G di MINZHONG

All’interno degli scenari fisici, quest’anno porteremo una vera rete radiomobile 4G, offrendo un ambiente realistico e avanzato per test di sicurezza sulle telecomunicazioni. I partecipanti avranno l’opportunità di interagire con una infrastruttura di rete, mettendo alla prova le proprie competenze nell’analisi e nell’attacco di sistemi di telecomunicazione in un contesto controllato e altamente tecnico.

L’accesso all’IMS di fonia e a internet sarà una componente chiave di questa esperienza, permettendo ai partecipanti di sperimentare in prima persona le vulnerabilità e le criticità delle reti mobili. L’obiettivo è quello di esplorare i potenziali punti deboli delle reti LTE, comprendere i meccanismi di autenticazione e propagazione del segnale, e individuare eventuali falle di sicurezza che potrebbero essere sfruttate da un attaccante reale.

Porteremo una rete 4G dedicata, fornendo ai partecipanti delle apposite SIM per connettersi al nostro operatore e testare direttamente la sicurezza della rete. Durante la challenge, sarà possibile raccogliere le flag violando la Radio Access Network (RAN) e propagarsi verso la core network e gli elementi di rete. Questo scenario offrirà un’esperienza unica e immersiva, con la possibilità di mettere in pratica tecniche avanzate di attacco e difesa in un ambiente realistico.

Nota Bene: L’irradiazione della rete radiomobile avverrà in prossimità, con un raggio indicativo di circa 7/10 metri, garantendo un’area di sperimentazione sicura e controllata.

Intelligenza artificiale e phishing

All’interno della competizione dovrete anche affinare le vostre abilità di social engineering. Non sempre è necessario un exploit o una vulnerabilità, potrebbe bastare convincere qualcuno a cliccare sul link sbagliato. Avrete infatti la possibilità di hackerare un fornitore di energia nazionale tramite vere e proprie campagne di phishing mirate a rubare dati sensibili per lo svolgimento delle operazioni statali.

A differenza delle altre sfide non dovrete fare affidamento su delle vulnerabilità o mancate configurazioni, bensì vi sarà richiesto di recuperare informazioni e indizi per creare delle mail convincenti. All’interno delle mail potrete includere domande, link o allegati malevoli, ma il risultato finale dipenderà dalle vostre abilità nel rendere la mail credibile. Per recuperare tutte le flag nascoste nell’infrastruttura sarà fondamentale anche la capacità di interpretare le informazioni recuperate dai vari dipendenti, ciascuno con la propria personalità e con i propri dispositivi aziendali.

Questa parte sarà gestita da un sistema automatizzato basato su Intelligenza Artificiale generativa sviluppato dal Centro per la Sicurezza Informatica della Fondazione Bruno Kessler (FBK) di Trento, in collaborazione con l’Università degli Studi di Trento. L’uso dell’IA non si limita solo a rispondere alle mail ricevute, ma alla totalità dell’interazione con il contenuto dei messaggi ricevuti. Tutte le parti dell’infrastruttura saranno create e gestite attraverso un sistema di Infrastructure as a Code (IaaC). Questo sistema sarà reso disponibile tramite un dominio pubblico, in modo da consentire la partecipazione sia ai team fisicamente al Teatro Italia che a quelli remoti. I dati raccolti dalla CTF saranno utilizzati in maniera aggregata e anonima per scopi di ricerca.

Nota bene: Per la durata della competizione sarà messa a disposizione una VPN al fine di rendere possibile l’uso di dispositivi personali come “server malevoli”: ciascun team avrà a disposizione un singolo utente per l’autenticazione.

Il testing della soluzione è stato svolto tra la Fondazione Bruno Kessler (FBK) di Trento e il team di HackerHood di Red Hot Cyber.

Iscrizioni alla Capture The Flag

La CTF avrà inizio con l’accoglienza presso il teatro Italia alle 15:00 dell’8 di Maggio e terminerà orientativamente alle 17:00 del giorno 9 Maggio. Le «Flag Fisiche» questo anno saranno disponibili presso il Teatro Italia per entrambe le giornate.

Tutti i partecipanti dovranno registrarsi all’indirizzo redhotcyber.com/ctf.redhotcybe… (al momento non ancora disponibile) e per accedere al teatro Italia per le flag fisiche, dovranno effettuare la registrazione all’evento dell’8 Maggio su eventbrite: rhc-conference-2025-workshop.e…. Di seguito il programma dell’evento ospitato all’interno della Red Hot Cyber Conference 2025:

• Giovedì 8 Maggio ore 15:00 : Per i partecipanti alle «flag fisiche», Check-in presso il teatro Italia (necessaria la registrazione su Eventbrite)
• Giovedì 8 Maggio ore 15:20 : Check in presso la sala adibita alla Capture the Flag al secondo piano entrando sulla destra (Necessaria la registrazione su CTFD)
• Giovedì 8 Maggio ore 15:30 : Avvio della CTF
• Giovedì 8 Maggio ore 15:30 : Avvio delle «flag fisiche» in collaborazione con CyberSecurityUp e Hackmageddon.world;
• Venerdì 9 maggio ore 17:00 : Chiusura della Capture The Flag

Gli organizzatori dell’evento accoglieranno i team e forniranno informazioni e supporto tecnico-organizzativo. Una chat Discord sarà inoltre disponibile sin dall’avvio della competizione sul sito della CTF per dialogare con gli organizzatori.

Il supporto on-site e on-line sarà attivo dalle 15:30 alle 20:00 del 9 Maggio e dalle 10:00 alle 17:00 del 9 Maggio.

Cosa occorre portare per le flag fisiche

Si raccomanda ai partecipanti che verranno presso il teatro Italia di dotarsi di:

• laptop e cavo di alimentazione (inclusi adattatori se necessari);
• ciabatta multi-presa;
• Prolunga di 5 metri;
• Smartphone connesso ad internet;
• Dongle Bluetooth (se non supportato dal computer portatile);
• Dongle Wi-Fi (se non supportato dal computer portatile);
• Dispositivo NFC;
• SDR solo in modalità RX.
• Smartphone 4G rottato compatibile con VoLTE (consigliata distribuzione lineageos)

I partecipanti sono liberi di utilizzare qualsiasi software o attrezzatura a loro scelta (ad esempio disassemblatori, Kali, macchine virtuali, schede SD, proxmark…) purché non danneggino i target, l’infrastruttura o gli altri partecipanti (vedi sezione Norme di comportamento).

Il Regolamento

Per ulteriori informazioni vi rimandiamo alla lettura del regolamento della capture the flag che trovate a questo indirizzo online

Buona caccia a tutti!

L'articolo La Terza Capture The Flag (CTF) di RHC è Pronta! Tra AI, Reti 4G e Stati Nazionali. Sei pronto? proviene da il blog della sicurezza informatica.

Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi variano da 100 a 1000 dollari, la discriminante? la geolocalizzazione e il tipo di accesso che si vuole acquisire.

Lo screenshot pubblicato nel post fa chiaramente riferimento ad un firewall Fortinet 600D.

Aziende in allerta

L’accesso non autorizzato a firewall e VPN aziendali rappresenta una minaccia critica per la sicurezza informatica, poiché consente agli attaccanti di aggirare i meccanismi di protezione perimetrale e accedere direttamente alle risorse interne di un’organizzazione. Una VPN compromessa può permettere ai criminali informatici di muoversi lateralmente all’interno della rete, esfiltrare dati sensibili, distribuire malware o lanciare attacchi ransomware senza essere facilmente rilevati. Nel caso di firewall compromessi, un attaccante con privilegi amministrativi può disattivare le regole di sicurezza, reindirizzare il traffico o creare backdoor persistenti per garantire un accesso continuo alla rete bersaglio.

Questi accessi vengono spesso commercializzati dagli Initial Access Broker (IAB), figure chiave nell’ecosistema del cybercrimine. Gli IAB sono hacker specializzati nell’individuare e vendere punti di ingresso nelle reti aziendali, sfruttando vulnerabilità, credenziali compromesse o exploit zero-day. In molti casi, i loro clienti sono gruppi ransomware, che utilizzano questi accessi per distribuire il proprio malware all’interno delle infrastrutture vittime. Questo modello di business consente una netta separazione tra chi viola le reti e chi esegue gli attacchi finali, rendendo ancora più complessa l’attribuzione degli attacchi e l’interruzione delle attività malevole.

Si tratta di informazioni di prima mano?

È possibile che i dati di accesso in vendita siano un subset di altre liste proposte gratuitamente di recente sempre su BreachForum? Un lavoro di verifica, catalogazione e suddivisione per nazione? Il dubbio sorge spontaneo ricostruendo alcuni post apparsi nell’ultimo periodo su BreachForum, in particolare:

• 26 febbraio 2025: un utente con lo pseudonimo JohnFury ha pubblicato un post intitolato “Black Basta – Leaked Access”. Il file “sottratto” a BlackBasta contiene centinaia di accessi a portali VPN molti dei quali ospitati da firewall Fortinet.
• 14 gennaio 2025: BelsenGroup regala un archivio contenete 15.000 configurazioni di firewall Fortinet e accessi VPN con relative password.

Un altro scenario possibile potrebbe essere quello di una nuova collezione di accessi guadagnati scannerizzando la rete in cerca di target non aggiornati e vulnerabili alle recenti CVE riconosciute e documentate da Fortinet.

Per concludere è importante capire che ruolo giocano gli IAB (Initial Access Broker) nel panorama dell’underground, aprendo le porte a gruppi hacker che poi sfruttano questi accessi per portare a segno attacchi più importanti e potenzialmente devastanti.

L'articolo Quale Azienda Italiana Verrà Violata? In Vendita Accessi VPN e firewall aziendali nelle underground proviene da il blog della sicurezza informatica.

Il gruppo Qilin Ransomware sostiene di aver compromesso i sistemi del Ministero degli Affari Esteri dell’Ucraina, sottraendo corrispondenza privata, informazioni personali e decreti ufficiali. Secondo quanto dichiarato dagli attaccanti, parte di questi dati sarebbe già stata venduta a terzi.

Al momento, non è possibile confermare la veridicità di queste affermazioni poiché l’organizzazione non ha ancora pubblicato alcun comunicato stampa ufficiale sul proprio sito web in merito all’incidente. Di conseguenza, quanto riportato in questo articolo deve essere trattato esclusivamente come fonte di intelligence.

Dettagli della presunta violazione

• Corrispondenza privata: potrebbe includere email riservate e documenti di comunicazione interna.
• Informazioni personali: dati di contatto, informazioni sensibili sul personale o su altri soggetti coinvolti.
• Decreti ufficiali: documenti governativi potenzialmente classificati o di rilevanza strategica.

Stato delle indagini

• L’assenza di un comunicato stampa ufficiale impedisce di confermare o negare la notizia.
• Il gruppo Qilin Ransomware dichiara di aver già monetizzato parte delle informazioni ottenute, vendendole a soggetti terzi.
• Nessuna evidenza è stata pubblicata per comprovare la vendita o l’effettivo contenuto dei dati sottratti.

Conclusioni

Al momento, la presunta violazione rivendicata dal gruppo Qilin Ransomware rimane non confermata da fonti istituzionali. Tuttavia, la potenziale gravità della questione — vista la natura strategica dei dati che sarebbero stati sottratti — richiede un’attenta valutazione dei rischi e delle contromisure da parte delle autorità competenti.

RHC continuerà a monitorare la situazione e pubblicherà eventuali ulteriori aggiornamenti qualora emergessero informazioni significative. Invitiamo chiunque sia a conoscenza di dettagli rilevanti a contattarci attraverso la mail crittografata del whistleblower, garantendo la possibilità di rimanere anonimi.

L'articolo Possibile violazione al Ministero degli Affari Esteri dell’Ucraina: il gruppo Qilin Ransomware rivendica l’attacco proviene da il blog della sicurezza informatica.

We used to say that fixing something was easier than bringing up a design for the first time. After all, the thing you are fixing, presumably, worked at one time or another. These days, that’s not always true as fixing modern gear can be quite a challenge. Watching [Ken’s] repair of an old 1955 Silvertone radio reminded us of a simpler time. You can watch the action on the video below.

If you’ve never had the pleasure of working on an AM radio, you should definitely try it. Some people would use an amplifier to find where the signal dies out. Others will inject a signal into the radio to find where it stops. A good strategy is to start at the volume control and decide if it is before or after that. Then split the apparently bad section roughly in half and test that portion—sort of a hardware binary search. Of course, your first step should probably be to verify power, but after that, the hunt is on.

There’s something very satisfying about taking a dead radio and then hearing it come to life on your bench. In this case, some of the problems were from a previous repair.

Troubleshooting is an art all by itself. Restoring old radios is also great fun.

youtube.com/embed/h8jnQ_7Yp2g?…

hackaday.com/2025/03/06/repair…

Negli ultimi anni, il panorama delle minacce informatiche è mutato radicalmente, grazie anche all’evoluzione delle tecniche di attacco e alla crescente diffusione di malware disponibili come Malware-as-a-Service (MaaS). Uno degli esempi più recenti di questa tendenza è LummaStealer, un malware progettato per sottrarre informazioni sensibili dagli endpoint compromessi, in particolare credenziali memorizzate nei browser e portafogli di criptovalute.

Tra ottobre 2024 e febbraio 2025, LummaStealer è stato distribuito attraverso un ingegnoso stratagemma che ha fatto leva su pagine di verifica CAPTCHA false, inducendo le vittime a compiere azioni che hanno portato all’infezione del sistema. Questo articolo analizza in dettaglio il funzionamento dell’attacco, la struttura della minaccia e le misure per mitigarne l’impatto.

Il vettore d’attacco: pagine CAPTCHA fasulle

L’attacco ha preso di mira utenti che navigano su siti web infetti o compromessi da campagne di malvertising (pubblicità malevole). La strategia sfrutta un comportamento ormai consolidato: le persone sono abituate a superare CAPTCHAs per dimostrare di non essere bot, rendendo questa tecnica particolarmente efficace.

Fasi dell’attacco:

1. Esposizione della vittima
   
   • L’utente accede a un sito web compromesso o viene reindirizzato tramite pubblicità malevole a una pagina fasulla che richiede la verifica tramite CAPTCHA.
   • Il sito può essere stato manipolato tramite attacchi di watering hole o distribuzione di pubblicità dannose attraverso reti pubblicitarie.

   
   

2. Induzione della fiducia
   
   • La pagina appare del tutto legittima: utilizza lo stesso stile grafico e il comportamento di un CAPTCHA reale.
   • L’utente, fidandosi della richiesta, interagisce con il CAPTCHA senza sospettare nulla.

   
   

3. Esecuzione dello script malevolo
   
   • Una volta completato il CAPTCHA, viene eseguito in background uno script offuscato che avvia il download di un payload malevolo.
   • Lo script può sfruttare tecniche di evasione per eludere il rilevamento da parte degli antivirus e dei sistemi EDR (Endpoint Detection and Response).

   
   

4. Download e installazione di LummaStealer
   
   • Il payload scaricato avvia l’installazione di LummaStealer, spesso senza richiedere interazione diretta dell’utente.
   • Il malware si insedia nel sistema, sfruttando meccanismi di persistenza per rimanere attivo anche dopo un riavvio.

   
   

5. Esfiltrazione dei dati sensibili
   
   • LummaStealer inizia a sottrarre informazioni salvate nel browser, tra cui password, cookie di sessione, dati delle carte di credito e credenziali di accesso ai servizi online.
   • Vengono prese di mira anche le applicazioni di gestione delle criptovalute, compromettendo i portafogli digitali e consentendo il furto di asset finanziari.

   
   

6. Connessione al server C2 e monetizzazione
   
   • I dati raccolti vengono inviati a un server di comando e controllo (C2), dove gli attaccanti possono analizzarli e rivenderli nel dark web o utilizzarli direttamente per frodi e accessi non autorizzati.

   
   

Indicatori di compromissione (IoC) e infrastruttura della minaccia

L’attacco è stato tracciato attraverso una serie di domini malevoli, utilizzati sia per distribuire il malware sia per l’esfiltrazione dei dati:

• h3.errantrefrainundocked.shop
• googlesearchings.art
• amazon-ny-gifts.com
• writerspzm.shop
• celebratioopz.shop
• futureddospzmvq.shop
• dealersopfosu.shop
• complaintspzzx.shop
• languageedscie.shop

Grazie al monitoraggio DNS Early Detection di Infoblox, è stato possibile individuare questi domini in media 46,8 giorni prima della loro segnalazione pubblica, consentendo di bloccare molte infezioni prima che avvenissero.

Impatto degli Stealer: perché sono una minaccia così grave?

I malware della categoria Stealer rappresentano una delle minacce più insidiose, poiché rubano informazioni in modo silenzioso e mirato, con impatti devastanti:

• Compromissione di account sensibili, inclusi quelli aziendali, bancari e amministrativi.
• Furto di identità digitale e uso fraudolento delle credenziali rubate.
• Esfiltrazione di criptovalute, con perdite economiche dirette per le vittime.
• Uso dei cookie di sessione per bypassare l’autenticazione e ottenere accesso a servizi senza necessità di password.

Tecniche MITRE ATT&CK impiegate

L’attacco LummaStealer sfrutta diverse tecniche del framework MITRE ATT&CK, tra cui:

• T1078 – Uso di credenziali compromesse
• T1566 – Phishing
• T1204 – Esecuzione utente ingannevole
• T1027 – Offuscamento del codice per eludere i controlli
• T1134 – Escalation di privilegi tramite manipolazione dei token
• T1059 – Esecuzione di comandi remoti tramite script dannosi
• T1102 – Comunicazione con servizi C2 tramite infrastrutture pubblicitarie

Come proteggersi da questa minaccia

Affrontare gli Stealer come LummaStealer richiede un approccio multi-strato che combini prevenzione, rilevamento e risposta rapida.

Strategie di mitigazione:

1. Monitoraggio DNS: adottare soluzioni che rilevino e blocchino i domini malevoli in fase precoce.
2. Educazione e consapevolezza: formare gli utenti a riconoscere CAPTCHA sospetti e siti fasulli.
3. Threat Intelligence: integrare gli Indicatori di Compromissione (IoC) nei sistemi SIEM/SOC per prevenire infezioni.
4. Autenticazione multi-fattore (MFA): per mitigare il rischio legato al furto di credenziali.
5. Bloccare gli script non necessari: limitare l’esecuzione di script offuscati può ridurre l’efficacia dell’attacco.
6. Monitoraggio delle transazioni crypto: implementare alert per attività sospette nei portafogli digitali.

L’attacco Fake CAPTCHA – LummaStealer è un esempio concreto di come i cybercriminali innovino costantemente le loro tattiche per ingannare gli utenti e superare le difese tradizionali. La combinazione di tecniche di ingegneria sociale, adtech malevolo e automazione rende questi attacchi particolarmente difficili da contrastare.

L’adozione di strumenti di threat intelligence avanzati e la collaborazione tra aziende di cybersecurity sono essenziali per fermare queste minacce prima che causino danni significativi.

Per ulteriori dettagli, consulta il report completo su Infoblox Blog.

L'articolo Analisi dettagliata dell’attacco “Fast Propagating Fake Captcha” e la distribuzione di LummaStealer proviene da il blog della sicurezza informatica.

If you think about military crypto machines, you probably think about the infamous Enigma machine. However, as [Christos T.] reminds us, there were many others and, in particular, the production of a “combined cipher” machine for the US and the UK to use for a variety of purposes.

The story opens in 1941 when ships from the United States and the United Kingdom were crossing the Atlantic together in convoys. The US wanted to use the M-138A and M-209 machines, but the British were unimpressed. They were interested in the M-134C, but it was too secret to share, so they reached a compromise.

Starting with a British Typex, a US Navy officer developed an attachment with additional rotors and converted the Typex into a CCM or Combined Cipher Machine. Two earlier verisons of the attachment worked with the M-134C. However the CSP 1800 (or CCM Mark III) was essentially the same unit made to attach to the Typex. Development cost about $6 million — a huge sum for the middle of last century.

By the end of 1943, there were enough machines to work with the North Atlantic convoys. [Christos] says at least 8,631 machines left the factory line. While the machine was a marvel, it did have a problem. With certain settings, the machine had a very low cipher period (338 compared to 16,900 for Enigma). This wasn’t just theoretical, either. A study showed that bad settings showed up seven times in about two months on just one secure circuit.

This led to operational changes to forbid certain settings and restrict the maximum message length. The machine saw service at the Department of State until 1959. There were several variations in use within NATO as late as 1962. It appears the Germans didn’t break CCM during the war, but the Soviets may have been able to decode traffic from it in the post-war period.

You can see a CCM/Typex combo in the video below from the Cryptomuseum. Of course, the Enigma is perhaps the most famous of these machines. These days, you can reproduce one easily.

hackaday.com/2025/03/06/combin…

The tale of the Microsoft Xbox Kinect is one of those sad situations where a great product was used in an application that turned out to be a bit of a flop and was discontinued because of it, despite its usefulness in other areas. This article from the Guardian is a quick read on how this handy depth camera has found other uses in somewhat niche areas, with not a computer game in sight.

It’s rather obvious that a camera that can generate a 3D depth map, in parallel with a 2D reference image, could have many applications beyond gaming, especially in the hands of us hackers. Potential uses include autonomous roving robots, 3D scanning, and complex user interfaces—there are endless possibilities. Artists producing interactive art exhibits would sit firmly in that last category, with the Kinect used in countless installations worldwide.

Apparently, the Kinect also has quite the following in ghost-hunting circles, which as many a dubious TV show would demonstrate, seem almost entirely filmed under IR light conditions. The Kinect’s IR-based structured light system is well-suited for these environments. Since its processing core runs a machine learning application specifically trained to track human figures, it’s no surprise that the device can pick up those invisible, pesky spirits hiding in the noise. Anyway, all of these applications depend on the used-market supply of Kinect devices, over a decade old, that can be found online and in car boot sales, which means one day, the Kinect really will die off, only to be replaced with specialist devices that cost orders of magnitude more to acquire.

In the unlikely event you’ve not encountered non-gaming applications for the Kinect, here’s an old project to scan an entire room to get you started. Just to be perverse, here’s a gaming application that Microsoft didn’t think of, and to round out, the bad news that Microsoft has really has abandoned the product.

hackaday.com/2025/03/06/the-st…

Nessuno si aspetta l’Inquisizione spagnola, dicevano i Monty Python. Nessuno si aspetta di dover organizzare una Resistenza contro lo strapotere di uno stato federale in pochi giorni.
Lo hanno fatto i parchi, con un account Alt, alternativo.
“Our parks are in chaos” scrivono il 15 febbraio. “Never thought we’d be rooting for the IRS, but here we are” scrivono ieri. Nel mezzo, una lunga serie di informazioni, di proteste e di incoraggiamenti, tra messaggi in codice e il continuo ricordare che molto avviene dietro le quinte, che non è vero che sono / siamo tutti paralizzati a guardare un colpo di stato in televisione.
Quello che sta facendo chi è dietro questi account (presenti anche su Bluesky, se vuoi evitare Meta) è incredibile. È incredibile e dimostra quello che ho sempre pensato: che quando dietro a un account c’è una vera presenza, non un segnaposto, cioè qualcuno che c’è, che sente, che tocca (e che pensa), quando ci sono delle persone con le loro passioni, quelle persone possono fare molto di più di invitarti a visitare un parco o a rispettarne le regole....
...Siamo nelle mani dei ranger, che si autodichiarano “The official "Resistance" team of U.S. National Park Service. Our mission is to stand up for the National Park Service to help protect and preserve the environment for present and future generations.” This is the way.
(cit. dalla newsletter Koselig)
Seguiteli, fategli sapere che non sono soli :
FB facebook.com/AltUSNationalPark…
Bsky bsky.app/profile/altnps.bsky.s…

E' in gioco il futuro. Qualcuno fermi il Troll Arancione.

Dal sito Fedi.Tips ho ripreso e tradotto questa guida su come rendere accessibili i post su #Mastodon: fedi.tips/how-do-i-make-posts-…

Fedi.Tips

L'articolo è distribuito con licenza Creative Commons BY-SA 4.0

Un grosso grazie all'autore 😀

Le persone non vedenti e ipovedenti di Mastodon e del #Fediverso spesso usano speciali applicazioni audio chiamate “screen reader” che leggono il testo ad alta voce, in modo da poter capire cosa c'è sullo schermo.

I ciechi e i sordociechi usano spesso display braille che convertono il testo del computer in uno schermo braille .

Le persone sorde non hanno bisogno di lettori di schermo o di braille, ma hanno bisogno di descrizioni testuali di qualsiasi contenuto audio pubblicato, sia esso un file audio o un video contenente audio.

È molto importante considerare l'accessibilità quando si scrivono i post, in modo che le persone cieche, sorde e sordocieche possano accedere completamente ai contenuti. Ci sono molte cose semplici da fare che fanno una grande differenza!

Come aggiungere descrizioni testuali (“alt text”) ai post con immagini, video e audio

1. Creare un nuovo post
2. Allegare un'immagine, un video o un audio
3. Quando l'immagine o il video o l'audio vengono visualizzati nella casella di modifica del post, da qualche parte nell'immagine o nel video stesso ci sarà un link con la dicitura “Alt” o “Descrizione” o “Descrivi la foto” o qualcosa di simile, spesso in un angolo. Fate clic su questo link.
4. Scrivete una descrizione testuale dell'immagine o del video o dell'audio. Non è necessario descrivere ogni dettaglio, basta scrivere ciò che si vuole far notare. Se pubblicate video con audio, ricordate di descrivere sia il video che l'audio.
5. Una volta terminata la descrizione, in alcune interfacce o app potrebbe essere necessario fare clic su “Applica” o “Fatto” per tornare a scrivere il post. Tuttavia, alcune app consentono di cliccare sul post per tornare a scriverlo. Qualunque sia l'applicazione o l'interfaccia utilizzata, fate così 🙂
6. Finite di scrivere il post e pubblicatelo

So che sembra una cosa lunga, ma ci si abitua molto rapidamente. Diventa una seconda natura e fa sì che i vostri post raggiungano un pubblico molto più vasto!

Perché i post con le descrizioni dei contenuti multimediali hanno un pubblico molto più vasto?

L'accessibilità è molto importante su Mastodon e sul resto del Fediverso. Molte persone non condividono i post con contenuti multimediali senza descrizione.

Se si pubblicano media senza descrizioni, si rende molto più difficile per le persone scoprire o condividere il post.

Quanto devono essere dettagliate le descrizioni del testo alt?

È una questione di contesto, ma la regola generale è quella di scrivere solo ciò che è importante notare in un'immagine, un video o un audio. Non deve essere tutto, ma solo ciò che è rilevante.

Se state parlando con qualcuno al telefono o scrivendo a qualcuno in una lettera e dovete descrivere a parole il vostro post con contenuti multimediali, quale livello di dettaglio usereste?

C'è un post con dei media senza descrizione, ma nel post c'è scritto #Alt4Me. Che cosa significa?

Se siete “normodotati” e vedete l'hashtag #Alt4Me sotto un post con dei contenuti multimediali, significa che una persona disabile sta chiedendo a qualcuno di scrivere una descrizione dell’elemento multimediale perché non è in grado di farlo. Rispondete al post con il tag #Alt4You e una descrizione.

Inoltre, se siete persone “normodotate” e vedete un contenuto multimediale degno di nota che non ha una descrizione e nessuno l'ha ancora richiesta, potete essere proattivi e rispondere con una descrizione usando il tag #Alt4You.

E se sto pubblicando solo del testo? Devo comunque tenere conto dei problemi di accessibilità?

Sì! Anche se state scrivendo un post di solo testo senza contenuti multimediali, dovete comunque fare una serie di cose per rendere il vostro testo accessibile alle persone non vedenti che utilizzano screen reader:

• Quando pubblicate gli hashtag, usate il CamelCase (dove ogni parola inizia con una lettera maiuscola), ad esempio #DogsOfMastodon invece di #dogsofmastodon. Le lettere maiuscole consentono alle applicazioni di lettura dello schermo di separare correttamente le parole e di leggere l'hashtag ad alta voce. Questo rende il tag più facile da leggere anche per le persone vedenti!
• Non scrivete un “testo sarcastico” in cui prendete in giro qualcuno mettendo lettere maiuscole a caso. Le lettere maiuscole casuali all'interno delle parole impediscono il corretto funzionamento di uno screen reader, che legge tali parole come espressioni disarticolate prive di senso.
• Non utilizzate lunghe stringhe di emoji, poiché queste suonano molto fastidiose quando vengono lette ad alta voce dagli screen reader. L'uso di emoji non è un problema, sono solo i gruppi enormi di emoji raggruppati insieme a causare problemi. Cercate di non superare uno o due emoji per gruppo, se possibile.
• Non utilizzare caratteri volutamente oscuri per il nome utente, che possono sembrare incomprensibili quando vengono letti da uno screen reader (fare clic qui per un esempio ). I caratteri standard funzionano con gli screen reader, quelli oscuri di solito no.

Come faccio a ricordarmi di aggiungere le descrizioni ai miei post multimediali?

Esiste un servizio di prohttps://fedi.tips/how-do-i-remember-to-add-text-descriptions-on-mastodon-and-the-fediverse/memoria automatico chiamato PleaseCaption che vi ricorderà via DM se dimenticate di aggiungere una descrizione con testo alt.

Cosa succede se dimentico di aggiungere una descrizione?

Potete modificare i vostri post per aggiungere le descrizioni in seguito.

Devo criticare le persone che non hanno aggiunto il testo alt?

È importante aggiungere descrizioni ai media in modo che siano accessibili, ma è anche importante non criticare chi non è in grado di farlo a causa della propria disabilità. Se qualcuno ha scritto #Alt4Me accanto ai media, significa che non può aggiungere descrizioni da solo. Non criticateli o commentate la mancanza di descrizioni, ma aiutateli rispondendo con un post #Alt4You che includa la vostra descrizione del media.

Se non c'è un tag #Alt4Me sul media non descritto, vale comunque la pena di essere educati, perché nessuno vuole che si creino cattivi sentimenti intorno al tema delle descrizioni. Si consiglia di rispondere semplicemente con una descrizione e con il tag #Alt4You; se sono abili, si spera che recepiscano il messaggio che le descrizioni sono preferibili.

Come posso inserire le descrizioni dei media nel mio post senza superare il limite di caratteri?

Finché la descrizione viene aggiunta nella sezione Alt Text dell'immagine, non viene conteggiata nel limite di caratteri del post principale. C'è un limite ampio per le descrizioni (1500 caratteri su Mastodon), quindi non si dovrebbe esaurire lo spazio a disposizione.

Scusate, sono un programmatore e vorrei farvi notare che CamelCase è in realtà PascalCase.

Per maggiori informazioni su questo problema terminologico, consultare la guida agli hashtag.
#accessibilità #Mastodon #Fediverse #AltText
@Informa Pirata

Andre Louis

2023-04-28 16:48:33

This is an utterly ridiculous name for a #ScreenReader user to have to hear. This is someone’s youtube name I came across in the comment section of a video, and I think the best way to show you how annoying it is to listen to, is to show you an audio recording of what my phone does, when it comes across it. Standard letters really do suffice, people. It is not necessary for all this. Even with my phone set to the normal speed at which I listen to speech, it takes an age to get through this, not to mention that youtube actually repeats names twice before reading out the comment.
It's just trying to say 'Sinister Potato.'
ˢᶦⁿᶦˢᵗᵉʳ ᴾᵒᵗᵃᵗᵒ

We’ve seen several methods of repairing plastic gears. After all, a gear is usually the same all the way around, so it is very tempting to duplicate a good part to replace a damaged part. That’s exactly what [repairman 101] does in the video below. He uses hot glue to form a temporary mold and casts a resin replacement in place with a part of a common staple as a metal reinforcement.

The process starts with using a hobby tool to remove even more of the damaged gear, making a V-shaped slot to accept the repair. The next step is to create a mold. To do that, he takes a piece of plastic and uses hot glue to secure it near a good part of the gear. Then, he fills the area with more hot glue and carefully removes it.

He uses WD-40 as a mold release. He moves the mold to the damaged area and cuts a bit of wire to serve as a support, using a soldering iron to melt it into the gear’s body. Some resin fills the mold, and once it is cured, the gear requires a little rework, but then it seems to work fine.

We would be tempted to use some 3D printing resin with UV curing, since we have it on hand. Then again, you could easily scan the gear, repair it digitally on the computer and just print a new one. That would work, too.

We’ve seen the same process using candle wax and epoxy. If you want to see an example of just printing an entire replacement, we’ve seen that, too.

youtube.com/embed/iNdAn-Fnc_Y?…

hackaday.com/2025/03/06/plasti…

L’Unione Europea ha aggiornato il quadro generale per la gestione delle crisi di sicurezza informatica, chiarendo i ruoli dei membri UE e delle entità coinvolte a livello comunitario. La proposta delinea le funzioni specifiche da attuare lungo l’intero ciclo di vita della crisi, con l’obiettivo di garantire una risposta coordinata ed efficace.

Le principali aree d’azione includono la preparazione alle crisi, la condivisione della consapevolezza situazionale e la capacità di prevedere eventi informatici. Inoltre, il progetto prevede l’adozione di strumenti avanzati per il rilevamento delle minacce e strategie di mitigazione, deterrenza e contenimento per affrontare e superare eventuali attacchi.

Henna Virkkunen, Vicepresidente esecutivo per la sovranità tecnologica, la sicurezza e la democrazia, ha sottolineato l’importanza della proposta, affermando: “In un’economia sempre più interconnessa, gli attacchi informatici possono avere impatti devastanti su tutti i settori. Questo progetto dimostra il nostro impegno per una risposta coordinata, sfruttando le strutture esistenti per proteggere il mercato interno e le funzioni sociali critiche”.

Il nuovo quadro integra e amplia iniziative esistenti come l’EU Cyber Diplomacy Toolbox e il Critical Infrastructure Blueprint, oltre a regolamenti specifici sulla sicurezza informatica nel settore energetico. Un punto chiave della proposta è il rafforzamento della cooperazione tra entità civili e militari, in particolare con la NATO, poiché attacchi su larga scala contro infrastrutture critiche potrebbero richiedere il supporto dell’Alleanza Atlantica.

Il Cyber Blueprint, pur essendo uno strumento non vincolante, definisce azioni specifiche per migliorare la risposta dell’UE agli incidenti informatici e aggiornare il progetto del 2017. La revisione è stata guidata dai risultati delle esercitazioni a livello UE, con lo scopo di affinare il coordinamento e l’efficacia delle strategie di difesa informatica.

Infine, la proposta si allinea alla strategia futura dell’UE per la preparazione alle emergenze e include misure per la sicurezza delle comunicazioni e il contrasto alla disinformazione. Inoltre, si integra con la comunicazione congiunta della Commissione Europea e dell’Alto Rappresentante per la protezione e la resilienza dei cavi sottomarini, infrastrutture essenziali per la connettività globale.

L'articolo L’UE Rafforza la Sicurezza Informatica: Nuova Proposta per la Gestione delle Crisi proviene da il blog della sicurezza informatica.

Many of us use touch pads daily on our laptops, but rarely do we give much thought about what they really do. In fact they are a PCB matrix of conductive pads, with a controller chip addressing it and sensing the area of contact. Such a complex and repetitive pattern can be annoying to create by hand in an EDA package, so [Timonsku] has written a script to take away the work.

It starts with an OpenSCAD script (originally written by Texas Instruments, and released as open source) that creates a diamond grid, which can be edited to the required dimensions and resolution. This is then exported as a DXF file, and the magic begins in a Python script. After adjustment of variables to suit, it finishes with an Eagle-compatible board file which should be importable into other EDA packages.

We’ve never made a touchpad ourselves, but having dome other such repetitive PCB tasks we feel the pain of anyone who has. Looking at this project we’re struck by the thought that its approach could be adapted for other uses, so it’s one to file away for later.

This isn’t the first home-made touchpad project we’ve brought you.

hackaday.com/2025/03/06/custom…

If you’re coming to Hackaday Europe 2025, you’ve got just over a week to get your bags packed and head on out to Berlin. Of course you have tickets already, right? And if you were still on the fence, let us tempt you with our keynote talk and some news about the Friday night meetup, sponsored by Crowd Supply.

But first, the keynote! You might know David Cuartielles as one of the four founders of Arduino. As a telecommunications engineer and doctor in design, he has devoted the last 25 years to experimenting with different educational models centered on the creation of interactive artifacts and platforms.

His talk, “What if the future (of electronics) was compostable?”, asks the question of whether or not we can take our physical projects and make them more ecologically friendly, and looking at Arduino’s approach of bio-degradable electronics and AI-enabled industrial technologies.

Bring a Hack

Come join us for informal Bring-a-Hack drinks starting up at 18:00 Friday night, May 14th, at the Jockel Biergarten, Ratiborstraße 14C. It’s always a great time to hang out a little bit while there are no presentations to feel like you’re missing out on. If you’ve got a project that fits in your backpack, brink it along and show us all. And if you just feel like relaxing over a beverage and some Biergarten fare, that’s great too! We’ll see you there.

hackaday.com/2025/03/06/hackad…

Gruppo hacker del famigerato gruppo Lazarus, legato alla Corea del Nord, è riuscito a riciclare oltre 1 miliardo di dollari, rubati dall’exchange di criptovalute Bybit. Tuttavia, una parte dei fondi rubati resta ancora sotto osservazione da parte degli analisti, il che fa sperare in un loro parziale recupero.

Secondo i ricercatori di Lookonchain, Nansen e Arkham, gli hacker hanno svuotato completamente il loro portafoglio, che al momento dell’attacco conteneva quasi 1,5 miliardi di dollari. La maggior parte di questi fondi è stata riciclata tramite l’exchange decentralizzato THORChain, che di recente ha avuto problemi finanziari.

Il 4 marzo, il CEO di Bybit Ben Zhou ha rivelato che dei quasi 500.000 ETH e dei relativi derivati ​​rubati (per un valore di circa 1,09 miliardi di dollari), il 77% era ancora sotto controllo, il 20% era scomparso dai radar e il 3% era stato congelato.

Gli analisti hanno scoperto che l’83% degli ETH rubati è stato convertito in Bitcoin (BTC) utilizzando 6.954 portafogli. Zhou ha sottolineato che le prossime settimane saranno decisive per il congelamento dei beni, poiché i fondi rubati inizieranno a confluire in borse centralizzate, piattaforme di trading over-the-counter (OTC) e servizi P2P.

Una parte dei fondi rubati è scomparsa tramite lo scambio di criptovalute ExCH, che poco dopo incidente è entrata in conflitto con Bybit. Gli hacker hanno utilizzato anche un servizio proxy associato a OKX. Il presidente di OKX, Hong Fang, ha osservato che l’azienda sta aggiornando attivamente la lista nera degli indirizzi sospetti e ha ricordato che tutte le transazioni nei portafogli elettronici restano tracciabili.

Inoltre, anche i cacciatori di ricompense sono coinvolti nella lotta per riavere indietro i propri fondi. Secondo LazarusBounty.com, ci sono già 19 persone registrate che stanno aiutando a congelare i beni e l’importo delle ricompense pagate ha superato i 2 milioni di dollari.

Il gruppo Lazarus ha dimostrato ancora una volta la sua reputazione di uno dei gruppi di hacker più pericolosi al mondo, riciclando miliardi a un ritmo senza precedenti. Il loro schema coinvolgeva migliaia di portafogli, exchange decentralizzati e piattaforme underground, minacciando la sostenibilità del mercato delle criptovalute.

La portata dell’attacco evidenzia fino a che punto possono arrivare i criminali informatici quando i meccanismi di controllo e di sicurezza non riescono a tenere il passo con i loro metodi.

L'articolo Lazarus ricicla 1 miliardo di dollari in criptovalute in 2 settimane nel colpo del secolo! proviene da il blog della sicurezza informatica.