When your homebrew Yagi antenna only sort-of works, or when your WiFi cantenna seems moody on rainy days, we can assure you: it is not only you. You can stop doubting yourself once and for all after you’ve watched the Tech 101: Antennas webinar by [Dr. Jonathan Chisum].

[Jonathan] breaks it all down in a way that makes you want to rip out your old antenna and start fresh. It goes further than textbook theory; it’s the kind of knowledge defense techs use for real electronic warfare. And since it’s out there in bite-sized chunks, we hackers can easily put it to good use.

The key takeaway is that antenna size matters. Basically, it’s all about wavelength, and [Jonathan] hammers home how tuning antenna dimensions to your target frequency makes or breaks your signal. Whether you’re into omnis (for example, for 360-degree drone control) or laser-focused directional antennas for secret backyard links, this is juicy stuff.

If you’re serious about getting into RF hacking, watch this webinar. Then dig up that Yagi build, and be sure to send us your best antenna hacks.

youtube.com/embed/EFLLjtZUjuc?…

hackaday.com/2025/03/16/a-hack…

Photo-printing kiosks are about as common as payphones these days. However, there was a time when they were everywhere. The idea was that if you didn’t have a good printer at home, you could take your digital files to a kiosk, pay your money, and run off some high-quality images. [Snappiness] snagged one, and if you’ve ever wondered what was inside of one, here’s your chance.

While later models used a Windows PC inside, this one is old enough to have a Sun computer. That also means that it had things like PCMCIA slots and a film scanner. Unfortunately, it wasn’t working because of a bad touch screen. The box was looking for a network on boot, which required some parameter changes. The onboard battery is dead, too, so you have to change the parameters on every boot. However, the real killer was the touchscreen, which the software insists on finding before it will start.

The monitor is an old device branded as a Kodak monitor and, of course, is unavailable. [Snappiness] found pictures of another kiosk online and noted that the monitor was from Elo, a common provider of point-of-sale screens. Could the “Kodak” monitor just be an Elo with a new badge? It turns out it probably was because a new Elo monitor did the trick.

Of course, what excited us was that if we found one of these in a scrap pile, it might have a Sun workstation inside. Of course, you can just boot Solaris on your virtual PC today. You might be surprised that Kodak invented the digital camera. But they failed to understand what it would mean to the future of photography.

youtube.com/embed/BTkx8CamFbI?…

hackaday.com/2025/03/15/repair…

I ricercatori di Tenable hanno studiato la capacità del chatbot cinese DeepSeek di sviluppare malware (keylogger e ransomware). Il chatbot DeepSeek R1 è apparso a gennaio di quest’anno e da allora è riuscito a far molto rumore, anche a causa delle possibilità di jailbreaking.

Come tutti i principali LLM, DeepSeek è dotato di meccanismi di sicurezza per impedire che venga utilizzato per scopi dannosi, come la creazione di malware. Tuttavia, queste restrizioni possono essere aggirate abbastanza facilmente.

Quando gli viene chiesto direttamente di scrivere codice per un keylogger o un ransomware, DeepSeek si rifiuta di farlo, sostenendo di non poter aiutare con qualcosa che potrebbe essere dannoso o illegale.

Tuttavia, Tenable ha utilizzato un jailbreak per indurre il chatbot a scrivere codice dannoso e ha sfruttato le funzionalità CoT (chain-of-thought) di DeepSeek per migliorare i risultati.

La CoT imita il pensiero umano quando risolve problemi complessi, scomponendoli in passaggi sequenziali da seguire per raggiungere un obiettivo. Con il CoT, l’intelligenza artificiale “pensa ad alta voce” fornendo una descrizione dettagliata del suo processo di ragionamento.

Quando i ricercatori hanno utilizzato DeepSeek per creare un keylogger, l’intelligenza artificiale ha elaborato un piano per completare l’attività e poi ha preparato il codice C++. Il codice risultante era scritto con degli errori e il chatbot non è stato in grado di correggerne alcuni per creare un malware completamente funzionante senza l’intervento umano.

Tuttavia, dopo piccole modifiche, il codice keylogger generato da DeepSeek ha funzionato, intercettando i tasti premuti dall’utente. I ricercatori hanno poi utilizzato DeepSeek per migliorare ulteriormente il malware risultante, in particolare per ottenere una maggiore furtività e crittografarne i registri.

Per quanto riguarda lo sviluppo del ransomware, DeepSeek ha prima descritto l’intero processo e poi è riuscito a generare diversi campioni di malware per la crittografia dei file, ma nessuno di essi è stato compilato senza modificare manualmente il codice.

Grazie a ciò, i ricercatori sono riusciti a far funzionare alcuni campioni di ransomware. Il malware era dotato di meccanismi per elencare i file e mantenerli persistenti nel sistema, e visualizzava anche una finestra di dialogo che informava la vittima di essere sotto attacco ransomware.

“In pratica, DeepSeek è in grado di creare la struttura di base per il malware. Tuttavia, non è possibile farlo senza un’ulteriore progettazione e modifica manuale del codice per ottenere funzionalità più avanzate. Ad esempio, DeepSeek non è riuscito a implementare l’offuscamento dei processi. Siamo riusciti a far funzionare il codice di iniezione DLL generato, ma ha richiesto molto lavoro manuale, Tuttavia, DeepSeek fornisce una raccolta utile di tecniche e termini di ricerca che possono aiutare chi non ha esperienza nella scrittura di malware a familiarizzare rapidamente con i concetti coinvolti”, conclude Tenable.

L'articolo Chatbot cinese DeepSeek usato per sviluppare keylogger e ransomware con poca review proviene da il blog della sicurezza informatica.

Gli utenti hanno accusato HP di aver rilasciato un firmware che ha reso inutilizzabili alcuni modelli di stampanti laser. I dispositivi non funzionano anche se riempiti con toner HP. Come altri produttori di stampanti, HP è nota per il rilascio di aggiornamenti firmware che bloccano le stampanti esistenti se i proprietari provano a utilizzare inchiostro di terze parti.

All’inizio di marzo 2025, uno di questi aggiornamenti è andato storto. Il 4 marzo, HP ha rilasciato un aggiornamento del firmware (20250209) per i modelli LaserJet MFP M232-M237. Secondo HP, il nuovo firmware include aggiornamenti di sicurezza, aggiornamenti normativi, miglioramenti generali e correzioni di bug, nonché patch per IPP Everywhere. Vale a dire che non viene menzionato che le modifiche influiscono sull’uso o sulla definizione di toner.

Tuttavia, gli utenti hanno iniziato a segnalare problemi inaspettati con il toner HP nelle stampanti della serie M232-M237 dopo aver aggiornato i dispositivi alla versione 20250209. Sul forum di supporto HP, le vittime scrivono che quando provano a stampare, vedono il codice di errore 11 e un indicatore di sostituzione del toner lampeggiante. Alcune persone notano che, nonostante abbiano pulito i contatti e sostituito il toner, i dispositivi continuano a non stampare.

“È incredibilmente frustrante perché è la mia piccola stampante aziendale e all’improvviso ha smesso di funzionare. Ho persino sostituito il toner, che mi è costato 60 dollari”, scrive una delle vittime. I rappresentanti di HP hanno dichiarato ai media di essere già a conoscenza del problema che riguarda i dispositivi HP LaserJet serie 200:

“Siamo a conoscenza di un problema di firmware che riguarda un numero limitato di dispositivi HP LaserJet serie 200 e il nostro team sta lavorando attivamente per risolverlo. Per ricevere assistenza, i clienti interessati possono contattare il nostro team di supporto all’indirizzo support.hp.com”. L’azienda non ha specificato quanto siano diffusi tali problemi o quanti utenti siano stati interessati dal mancato aggiornamento del firmware.

Vale la pena notare che non è la prima volta che le stampanti HP si guastano a causa di un aggiornamento non riuscito. Ad esempio, nel maggio 2023, un aggiornamento del firmware ha causato l’interruzione della stampa in diversi modelli di stampanti HP OfficeJet e ha mostrato ai proprietari una schermata blu per diverse settimane.

L'articolo Aggiornamento Killer! Stampanti Laser HP bloccate dopo le patch del firmware : utenti infuriati! proviene da il blog della sicurezza informatica.

Gli sviluppatori di GitLab hanno rilasciato aggiornamenti per Community Edition (CE) ed Enterprise Edition (EE) che risolvono nove vulnerabilità. Tra i problemi risolti ci sono due bug critici di bypass dell’autenticazione nella libreria ruby-saml.

Tutti i problemi sono stati risolti nelle versioni 1.12.4 e 1.18.0 di ruby-saml e in GitLab CE/EE 17.7.7, 17.8.5 e 17.9.2; tutte le versioni precedenti sono considerate vulnerabili.

GitLab.com ha già ricevuto le patch e i clienti GitLab Dedicated riceveranno automaticamente gli aggiornamenti. Si consiglia agli utenti che supportano installazioni autogestite sulla propria infrastruttura di applicare manualmente gli aggiornamenti il ​​prima possibile.

Le vulnerabilità critiche sono state identificate come CVE-2025-25291 e CVE-2025-25292. Entrambi i bug sono stati riscontrati nella libreria ruby-saml, utilizzata per l’autenticazione SAML Single Sign-On (SSO) a livello di istanza o di gruppo.

Entrambe le carenze sono dovute al fatto che REXML e Nokogiri utilizzano metodi diversi per l’analisi XML, con il risultato che entrambi i parser generano strutture di documenti completamente diverse a partire dallo stesso input XML. Questa differenza consente a un aggressore di eseguire un attacco Signature Wrapping, che comporta l’aggiramento dell’autenticazione.

In sostanza, le vulnerabilità consentono a un aggressore autenticato di impersonare un altro utente in un ambiente Identity Provider (IdP). E se un aggressore ottiene l’accesso non autorizzato all’account di un altro utente, potrebbe verificarsi una fuga di dati, un’escalation dei privilegi e altri rischi.

Entrambi i bug sono stati scoperti dagli esperti di GitHub, che hanno già pubblicato la propria analisi tecnica. Si noti che GitHub non è stato interessato da queste vulnerabilità, poiché l’uso della libreria ruby-saml è stato interrotto nel 2014.

Vale anche la pena notare che questa settimana gli sviluppatori di GitLab hanno corretto un’altra pericolosa vulnerabilità legata all’esecuzione remota di codice arbitrario: CVE-2025-27407. Questo bug consente a un aggressore che controlla un utente autenticato di utilizzare la funzionalità di trasferimento diretto, disabilitata per impostazione predefinita, per eseguire codice in remoto.

L'articolo 9 Patch delle quali 2 urgenti per GitLab! Due bug critici mettono a rischio milioni di utenti proviene da il blog della sicurezza informatica.

È uscito il nuovo numero di Domenike Famelike!
pdfhost.io/v/VRKseXPWu2_Basili…
Tra arte, cultura e storie da vivere, questo numero ti porterà in un viaggio dove ogni pagina è un’ispirazione.

👉 Segui i nostri social per anteprime e contenuti extra!
#DomenikeFamelike #CulturaCheRespira

Leggi, condividi, sogna. 🌟

Ever wanted to produce nitrogen fertilizer like they did in the 1900s? In that case, you’re probably looking at the Birkeland-Eyde process, which was the first industrial-scale atmospheric nitrogen fixation process. It was eventually replaced by the Haber-Bosch and Ostwald processes. [Markus Bindhammer] covers the construction of a hobbyist-sized, fully automated reactor in this video.

It uses tungsten electrodes to produce the requisite arc, with a copper rod brazed onto both. The frame is made of aluminium profiles mounted on a polypropylene board, supporting the reaction vessel. Powering the whole contraption is a 24 VDC, 20 A power supply, which powers the flyback transformer for the high-voltage arc, as well as an air pump and smaller electronics, including the Arduino Uno board controlling the system.

The air is dried by silica gel before entering the reactor, with the airflow measured by a mass air flow sensor and the reaction temperature by a temperature sensor. This should give the MCU a full picture of the state of the reaction, with the airflow having to be sufficiently high relative to the arc to extract the maximum yield for this already very low-yield (single-digit %) process.

Usually, we are more interested in getting our nitrogen in liquid form. We’ve also looked at the Haber-Bosch method in the past.

youtube.com/embed/L9KpFKQ7brY?…

hackaday.com/2025/03/15/buildi…

RP2040-based Pico board acting as U2F dongle with Firefox. (Credit: ArcaneNibble, GitHub)
The WebUSB standard is certainly controversial. Many consider it a security risk, and, to date, only Chromium-based browsers support it. But there is a workaround that is, ironically, supposed to increase security. The adjacent Universal 2nd Factor (U2F) standard also adds (limited) USB support to browsers. Sure, this is meant solely to support U2F USB dongles for two-factor authentication purposes, but as [ArcaneNibble] demonstrates using U2F-compatible firmware on a Raspberry Pi RP2040, by hijacking the U2F payload, this API can be used to provide WebUSB-like functionality.

The provided demo involves flashing an RP2040 (e.g., Pico board) with the u2f-hax.u2f firmware and loading the index.html page from localhost or a similar secure context. After this, the buttons on the browser page can be used to toggle an LED on the Pico board on or off. You can also read an input back from the RP2040.

This feat is made possible by the opaque nature of the U2F key handle, which means that anything can be put in this blob. This makes it a snap to pass data from the U2F dongle to the host. For the inverse, things get a bit trickier. Here the ECDSA signature is manipulated inside the ASN.1 that is returned to the dongle. Since Firefox performs no signature validation (and Chrome only does a range check), this works. The MCU also auto-confirms user presence by having the key handle start with oxfeedface, so the device works without user interaction. However, you do seem to get an annoying popup that immediately goes away.

Of course, this only works if you create a special USB device for this purpose. That means your normal USB devices are still secure. While we know it could be a security risk, you can do some cool things with WebUSB. We’ve seen a few projects that use it.

hackaday.com/2025/03/15/add-we…

We talk about quantum states — that is, something can be at one of several discrete values but not in between. For example, a binary digit can be a 1 or a 0, but not 0.3 or 0.5. Atoms have quantum states, but how do we know that? That’s what the Franck-Hertz experiment demonstrates, and [stoppi] shows you how to replicate that famous experiment yourself.

You might need to translate the web page if your German isn’t up to speed, but there’s also a video you can watch below. The basic idea is simple. A gas-filled tube sees a large voltage across the cathode and grid. A smaller voltage connects to the grid and anode. If you increase the grid voltage, you might expect the anode current to increase linearly. However, that doesn’t happen. Instead, you’ll observe dips in the anode current.

When electrons reach a certain energy they excite the gas in the tube. This robs them of the energy they need to overcome the grid/anode voltage, which explains the dips. As the energy increases, the current will again start to rise until it manages to excite the gas to the next quantum level, at which point another dip will occur.

Why not build a whole lab? Quantum stuff, at a certain level, is weird, but this experiment seems understandable enough.

youtube.com/embed/St-EJRtIsHg?…

hackaday.com/2025/03/15/you-to…

“Ora che il Genio è uscito dalla lampada, è difficile rimettercelo dentro!” avevamo detto diverso tempo fa. Ma nonostante siano trascorsi due anni dall’introduzione dell’intelligenza artificiale al grande pubblico, il mondo appare ancora impreparato all’inevitabile. Persistono significative lacune nella regolamentazione e nella consapevolezza dei rischi, soprattutto associati all’intelligenza artificiale generale (AGI).

Negli ultimi anni l’intelligenza artificiale ha compiuto progressi straordinari e sta già superando le capacità umane in settori quali la matematica, la programmazione e la diagnostica medica. Queste tecnologie diventano ogni giorno più avanzate e, secondo i maggiori esperti, nei prossimi anni l’umanità si imbatterà nel fenomeno della cosiddetta intelligenza artificiale generale (AGI), un sistema in grado di svolgere quasi tutti i compiti intellettuali accessibili all’uomo.

Il noto giornalista ed esperto di tecnologia Kevin Roos, che ha studiato a lungo lo sviluppo dell’intelligenza artificiale e ha parlato con importanti sviluppatori e ricercatori, sostiene che la creazione dell’AGI potrebbe essere annunciata già nel 2026-2027, e forse anche prima. A suo parere, nonostante l’inevitabile dibattito se questi sistemi debbano essere considerati “vere AGI”, un altro fatto rimane fondamentalmente importante: gli esseri umani stanno già perdendo il loro monopolio sulla superiorità intellettuale, entrando nell’era del predominio dell’intelligenza artificiale.

Kevin Roos avverte che le conseguenze di una simile svolta tecnologica saranno enormi e molteplici. Nei prossimi dieci anni, lo sviluppo di potenti sistemi AGI potrebbe generare migliaia di miliardi di dollari di valore per le economie globali e alterare significativamente l’equilibrio di potere nelle sfere politica e militare, soprattutto a favore dei paesi che controllano queste tecnologie. Ciò è già ovvio per la maggior parte dei governi e delle grandi aziende che stanno investendo attivamente miliardi di dollari nello sviluppo e nell’implementazione dell’intelligenza artificiale.

Nonostante ciò, Roos ritiene che la maggior parte delle persone e delle istituzioni governative non siano affatto preparate ad affrontare tali tecnologie e non abbiano un chiaro piano d’azione per ridurre al minimo i potenziali rischi e sfruttare le opportunità offerte dall’AGI. Inoltre, alcuni scettici che liquidano il discorso sull’intelligenza artificiale globale come una mera esagerazione o fantasia, stanno dando all’opinione pubblica un falso senso di sicurezza. Nel frattempo, l’intelligenza artificiale è già coinvolta in scoperte scientifiche che hanno portato all’assegnazione di premi Nobel e chatbot come ChatGPT sono utilizzati da centinaia di milioni di persone ogni settimana.

La Silicon Valley, diventata un polo globale per l’innovazione e lo sviluppo dell’intelligenza artificiale, le discussioni sull’avvento dell’AGI fanno parte della vita quotidiana. Aziende come OpenAI, Google DeepMind e Anthropic hanno dichiarato apertamente che intendono introdurre sul mercato nei prossimi anni sistemi capaci di superare le capacità umane nella maggior parte dei compiti intellettuali.

Sam Altman, CEO di OpenAI, afferma apertamente che i segnali dell’AGI stanno diventando sempre più evidenti. Demis Hassabis, CEO di Google DeepMind, è convinto che un’intelligenza artificiale completa apparirà nei prossimi tre-cinque anni. Dario Amodei, a capo di Anthropic, ritiene che nel giro di uno o due anni il mondo vedrà l’avvento di molti sistemi intellettualmente superiori agli esseri umani in quasi ogni aspetto.

Il giornalista sottolinea che questi avvertimenti non provengono solo dai rappresentanti delle aziende di intelligenza artificiale, ma anche da esperti indipendenti di fama mondiale, come i pionieri della ricerca sull’intelligenza artificiale Geoffrey Hinton e Yoshua Bengio, nonché l’ex capo specialista in intelligenza artificiale dell’amministrazione Biden, Ben Buchanan. Gli attuali modelli di intelligenza artificiale sono notevolmente più potenti e intelligenti rispetto a un paio di anni fa. Sviluppi all’avanguardia come i modelli OpenAI o1 e DeepSeek R1 dimostrano capacità impressionanti nel risolvere problemi complessi, in precedenza accessibili solo agli esseri umani più talentuosi.

L’autore dell’articolo invita a prendere il più seriamente possibile la minaccia e il potenziale dell’AGI ora, per evitare gli errori commessi nell’era dei social network, quando la società non ha avuto il tempo di rispondere tempestivamente alle nuove tecnologie. Sebbene sia impossibile prevedere esattamente come sarà un mondo con un’intelligenza artificiale globale, è giunto il momento di iniziare a prepararsi a cambiamenti così massicci e inevitabili.

L'articolo L’AGI è più vicina che mai! Ma il mondo non è ancora preparato a questi inevitabili cambiamenti proviene da il blog della sicurezza informatica.

Ever pried apart an LCD? If so, you’ve likely stumbled at the unassuming zebra strip — the pliable connector that makes bridging PCB pads to glass traces look effortless. [Chuck] recently set out to test if he could hack together his own zebra strip using conductive TPU and a 3D printer.

[Chuck] started by printing alternating bands of conductive and non-conductive TPU, aiming to mimic the compressible, striped conductor. Despite careful tuning and slow prints, the results were mixed to say the least. The conductive TPU measured a whopping 16 megaohms, barely touching the definition of conductivity! LEDs stayed dark, multimeters sulked, and frustration mounted. Not one to give up, [Chuck] took to his trusty Proto-pasta conductive PLA, and got bright, blinky success. It left no room for flexibility, though.

It would appear that conductive TPU still isn’t quite ready for prime time in fine-pitch interconnects. But if you find a better filament – or fancy prototyping your own zebra strip – jump in! We’d love to hear about your attempts in the comments.

youtube.com/embed/kwZItuntksc?…

hackaday.com/2025/03/15/puttin…

Nella giornata di ieri, la banda di criminali informatici di Orca Ransomware rivendica all’interno del proprio Data Leak Site (DLS) un attacco ransomware all’italiana Casale Del Giglio.

Nel post pubblicato nelle underground dai criminali informatici viene riportato che la gang è in possesso di 253GB di dati, esfiltrati dalle infrastrutture IT dell’azienda. per un totale di oltre 300.000 files.

Sul sito della gang è attivo anche un countdown che mostra che tra 5gg, ci sarà un aggiornamento del post. Sicuramente la gang in quella data potrà pubblicare una parte dei dati in loro possesso per aumentare la pressione sulla vittima.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

I criminali informatici, per poter attestare che l’accesso alle infrastrutture informatiche è avvenuto con successo, riportano una serie di documenti (samples) afferenti all’azienda.

Questo modo di agire – come sanno i lettori di RHC – generalmente avviene quando ancora non è stato definito un accordo per il pagamento del riscatto richiesto da parte dei criminali informatici. In questo modo, i criminali minacciando la pubblicazione dei dati in loro possesso, aumenta la pressione verso l’organizzazione violata, sperando che il pagamento avvenga più velocemente.

Come spesso riportiamo, l’accesso alle Darknet è praticabile da qualsiasi persona che sappia utilizzare normalmente un PC. Questo è importante sottolinearlo in quanto molti sostengono il contrario, spesso nei comunicati dopo la pubblicazione dei dati delle cybergang ransomware e tali informazioni sono pubblicamente consultabili come fonti aperte.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Cos’è il ransomware as a service (RaaS)

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo Gli hacker criminali di Orca Ransomware rivendicano un attacco informatico all’italiana Casale Del Giglio proviene da il blog della sicurezza informatica.