E’ stata rilasciata la tanto attesa versione 2025.1a di Kali Linux, nonché la prima versione del 2025. Come spesso accade, nella prima versione dell’anno, il team di Kali ha rilasciato nuovi elementi visivi, tra cui sfondi e ambienti desktop.

Kali Linux è una distribuzione progettata per professionisti della sicurezza informatica e hacker etici, ideale per esercitazioni di red teaming, penetration testing, audit di sicurezza e analisi delle reti.

Il particolare numero di versione deriva da un problema dell’ultimo minuto individuato dagli sviluppatori nella release 2025.1, che ha reso necessaria una correzione urgente e una successiva ricompilazione. Di conseguenza, la prima versione ufficiale del 2025 è stata rilasciata come 2025.1a.

Il team di Kali ha dichiarato che questa versione è principalmente focalizzata sugli aggiornamenti, con l’unica aggiunta di un nuovo strumento: hoaxshell. Si tratta di un generatore e gestore di payload per reverse shell su Windows, che sfrutta il protocollo HTTP(S) per stabilire una connessione simile a un beacon. Inoltre, il kernel è stato aggiornato alla versione 6.12.

Con questa prima release dell’anno, Kali introduce un rinnovamento del tema, che include nuovi sfondi e miglioramenti all’esperienza di avvio e accesso. “Come nelle precedenti versioni, la prima release dell’anno, la 20XX.1, porta con sé il nostro aggiornamento annuale del tema, una tradizione che mantiene la nostra interfaccia moderna quanto i nostri strumenti”, si legge nell’annuncio di Kali 2025.1a.

“Quest’anno siamo entusiasti di presentare il nostro ultimo tema, progettato per migliorare l’esperienza utente sin dall’avvio. Aspettatevi aggiornamenti significativi al menu di avvio, alla schermata di accesso e una straordinaria selezione di sfondi per le edizioni Kali e Kali Purple.”

Questa release introduce anche cinque nuovi sfondi, oltre a tre wallpaper extra inclusi nel pacchetto Community Wallpapers. Questa versione include anche modifiche al desktop, tra cui Plasma 6.2 e Xfce 4.20.

• KDE Plasma 6.2 Dopo una lunga attesa, Plasma 6 è ora disponibile in Kali, in particolare la versione 6.21. Si tratta di un aggiornamento importante, poiché la versione precedente inclusa in Kali era Plasma 5.27. Tutti i temi sono stati aggiornati per allinearsi al nuovo ambiente, con finestre e visuali desktop rinnovate.
• Xfce 4.20 L’ambiente desktop predefinito, Xfce, è stato aggiornato dalla versione 4.18 alla 4.20, incorporando due anni di sviluppo. Sono state aggiunte nuove scorciatoie da tastiera per migliorare l’esperienza utente, tra cui scorciatoie per il file manager (Ctrl + Alt + F, Super + E, Super + F), esecuzione di comandi (Super + R), apertura del terminale (Super + T), apertura del browser (Super + W), ricerca del cursore (Super + F1) e visualizzazione del desktop (Super + D)1. Sono state aggiunte anche scorciatoie del window manager per spostare le finestre tra i monitor e affiancare le finestre.

“Da parte nostra, abbiamo aggiornato tutti i temi per allinearli al nuovo ambiente, con finestre e desktop rinnovati. E la nostra nuova aggiunta preferita da KDE? Pannelli mobili!”, spiega il Kali Team.

Per iniziare a utilizzare Kali Linux 2025.1, puoi aggiornare la tua installazione esistente, selezionare una piattaforma o scaricare direttamente le immagini ISO per nuove installazioni e distribuzioni live.

L'articolo Kali Linux 2025.1a è fuori: nuovo tema, kernel aggiornato e strumenti avanzati come sempre! proviene da il blog della sicurezza informatica.

Nel contesto della cybersecurity, l’evoluzione delle minacce legate ai ransomware continua a rappresentare una delle sfide più complesse per le aziende e gli esperti di sicurezza. Uno dei gruppi più attivi e pericolosi del panorama attuale è Black Basta, che dal 2022 ha affermato la sua presenza nel settore del crimine informatico attraverso attacchi mirati a infrastrutture aziendali critiche. La sua peculiarità non risiede solo nell’uso del modello Ransomware-as-a-Service (RaaS), ma anche nell’adozione di strumenti sofisticati per il compromissione iniziale dei sistemi bersaglio.

Uno di questi strumenti è BRUTED, un framework automatizzato di brute forcing e credential stuffing, progettato per compromettere dispositivi di rete periferici esposti su Internet, come firewall, VPN e altri servizi di accesso remoto. La sua efficienza e capacità di adattamento lo rendono un’arma particolarmente insidiosa nelle mani di cybercriminali esperti.

Questa analisi approfondisce il funzionamento di BRUTED, il modus operandi di Black Basta e le implicazioni per la sicurezza informatica.

Black Basta: Un’Organizzazione Cybercriminale in Crescita

Black Basta si è imposto come uno dei gruppi ransomware più attivi e letali degli ultimi anni. Operando come Ransomware-as-a-Service (RaaS), offre agli affiliati strumenti per eseguire attacchi altamente mirati, condividendo con essi una parte dei profitti derivanti dai riscatti. Le principali caratteristiche della loro strategia includono:

• Doppia Estorsione: Dopo aver criptato i dati della vittima, il gruppo minaccia la pubblicazione delle informazioni rubate, aumentando la pressione per ottenere il pagamento.
• Targetizzazione di Settori Critici: I settori più colpiti dagli attacchi di Black Basta includono:
  
  • Servizi aziendali (Business Services), per il loro elevato valore commerciale.
  • Industria manifatturiera (Manufacturing), dove l’interruzione operativa può causare perdite economiche enormi.
  • Infrastrutture critiche, spesso caratterizzate da scarsa resilienza agli attacchi cyber.

  
  

• Utilizzo di strumenti avanzati come Cobalt Strike, Brute Ratel e, più recentemente, BRUTED, per massimizzare l’efficacia degli attacchi.

L’introduzione di BRUTED ha permesso a Black Basta di automatizzare e scalare gli attacchi di accesso iniziale, rendendo ancora più difficile per le aziende difendersi.

BRUTED: Come Funziona e Quali Sono i Suoi Obiettivi?

BRUTED è un framework di attacco altamente avanzato che automatizza il processo di brute forcing e credential stuffing. Il suo scopo principale è quello di individuare dispositivi di rete vulnerabili e ottenere l’accesso iniziale ai sistemi aziendali.

Le sue principali funzionalità includono:

• Scansione automatizzata di Internet per identificare dispositivi esposti e potenzialmente vulnerabili.
• Tentativi di accesso tramite brute force sfruttando database di credenziali rubate o deboli.
• Adattabilità multi-vendor, con supporto specifico per diversi tipi di firewall, VPN e gateway di accesso remoto.
• Persistenza e movimento laterale, facilitando l’accesso ai sistemi interni una volta compromesso il perimetro di sicurezza.

Una volta ottenuto l’accesso iniziale, gli attaccanti sfruttano il framework per:

1. Compromettere dispositivi chiave come firewall e VPN.
2. Eseguire movimenti laterali all’interno della rete per ottenere privilegi più elevati.
3. Distribuire il ransomware Black Basta, crittografando sistemi critici e bloccando l’operatività aziendale.

BRUTED rappresenta quindi un passo in avanti nell’automazione degli attacchi, permettendo agli affiliati di Black Basta di operare con maggiore efficienza e su scala più ampia.

Analisi della Mappa di Attacco: Una Visione Dettagliata

L’immagine allegata fornisce una rappresentazione grafica estremamente dettagliata dell’infrastruttura di attacco basata su BRUTED e utilizzata da Black Basta. Analizzandola, emergono diversi livelli chiave dell’operazione:

1. Origine dell’Attacco (Lato Sinistro)

• Connessioni con la Russia: L’immagine suggerisce un legame con attori malevoli operanti dalla Federazione Russa.
• Settori maggiormente colpiti: Business Services e Manufacturing risultano tra i principali obiettivi.
• Strumenti di attacco: Oltre a BRUTED, vengono utilizzati strumenti di post-exploitation come Cobalt Strike e Brute Ratel.

2. Host Compromessi e Tecniche di Attacco (Centro)

• Il cluster centrale dell’immagine mostra un insieme di dispositivi esposti su Internet.
• Ogni nodo rappresenta un host vulnerabile, probabilmente identificato tramite scansioni automatizzate.
• Le connessioni tra i nodi indicano attacchi mirati, con utilizzo di brute force e credential stuffing su larga scala.

3. Indicatori di Compromissione (Lato Destro)

• L’elenco di domini e IP compromessi mostra le infrastrutture usate da Black Basta per il comando e controllo (C2).
• I colori distinti rappresentano il livello di criticità e l’associazione con specifici attacchi.
• IP e DNS evidenziati in rosso corrispondono a infrastrutture attualmente attive e pericolose.

Questa analisi grafica fornisce un quadro chiaro delle tecniche di attacco e permette agli esperti di cybersecurity di identificare gli indicatori chiave di compromissione (IoC).

Come Difendersi da BRUTED e Black Basta

Per mitigare il rischio di compromissione da parte di BRUTED e Black Basta, le aziende devono adottare strategie di sicurezza avanzate, tra cui:

1. Protezione degli Endpoint di Rete:
   
   • Bloccare l’accesso remoto non necessario.
   • Configurare firewall per limitare accessi sospetti.

   
   

2. Gestione Sicura delle Credenziali:
   
   • Forzare l’uso dell’autenticazione multi-fattore (MFA).
   • Evitare il riutilizzo di password deboli.

   
   

3. Monitoraggio Attivo degli Indicatori di Compromissione:
   
   • Aggiornare costantemente le blacklist di IP e domini malevoli.
   • Analizzare tentativi di accesso anomali e bloccare gli indirizzi sospetti.

   
   

4. Patch Management:
   
   • Mantenere aggiornati firmware e software di firewall e VPN.
   • Applicare patch di sicurezza contro vulnerabilità note.

   
   

L’integrazione di BRUTED nel modello di attacco di Black Basta rappresenta un’evoluzione nella criminalità informatica, aumentando la velocità e la scalabilità degli attacchi. Le aziende devono adottare misure proattive e strategie difensive solide per contrastare questa minaccia in crescita.

Un approccio basato su zero-trust, MFA e monitoraggio attivo è fondamentale per difendersi efficacemente da queste minacce in continua evoluzione.

L'articolo BRUTED: Il Tool di Black Basta che Apre le Porte ai Ransomware proviene da il blog della sicurezza informatica.

Le autorità federali offrono una ricompensa di 10 milioni di dollari per informazioni che portino all’arresto di un presunto russo pirata informatico, che ha estorto milioni di dollari alle forze dell’ordine, agli ospedali e alle scuole del New Jersey e di altri luoghi.

Cittadino russo Mikhail Matveyev, nato nel 1992, residente a Kaliningrad, accusato di attacchi hacker con 2.800 vittime e una richiesta di riscatto di almeno 400 milioni di dollari, ha affermato il Dipartimento di Giustizia degli Stati Uniti.

Secondo due atti d’accusa desecretati dal Dipartimento di Giustizia degli Stati Uniti, Matveyev, cittadino e residente russo, ha utilizzato tre diverse varianti di ransomware per prendere di mira i residenti negli Stati Uniti.

Si dice che le vittime di questi attacchi abbiano pagato circa 200 milioni di dollari. Tra le persone colpite ci sono le forze dell’ordine del New Jersey e di Washington, organizzazioni sanitarie e scuole in tutto lo Stato.

Nel giugno 2020, Matveyev ha aggredito la polizia a Passaic Park e lo scorso maggio ha aggredito un’organizzazione no-profit per la salute mentale nella contea di Mercer. Ha attaccato anche il Dipartimento di Polizia Metropolitana di Washington.

“Grazie allo straordinario lavoro investigativo dei procuratori del mio ufficio e dei nostri partner dell’FBI, Matveyev non si nasconde più nell’ombra”, ha affermato il procuratore degli Stati Uniti Philip Sellinger per il distretto del New Jersey. “Abbiamo pubblicamente identificato la sua condotta criminale e abbiamo mosso molteplici accuse federali contro di lui. Lasciamo che le accuse di oggi servano da promemoria per tutti i criminali informatici. Il mio ufficio è impegnato a combattere la criminalità informatica e non risparmierà risorse per assicurare alla giustizia coloro che usano attacchi ransomware per colpire le vittime”.

Le varianti del ransomware utilizzate da Matveyev sono note come LockBit, Babuk e Hive. Il modus operandi era più o meno lo stesso: prima gli hacker avrebbero ottenuto l’accesso ai sistemi informatici vulnerabili, poi avrebbero inviato una nota alla vittima chiedendole un pagamento in cambio della decifratura dei suoi dati o dell’astensione dal divulgarli pubblicamente. Se la vittima non pagava la cifra richiesta, i dati venivano solitamente pubblicati su siti web pubblici, i cosiddetti siti di fuga di dati.

Matveyev utilizzava diversi pseudonimi, tra cui Wazawaka, m1x, Boriselcin e Uhodiransomwar. È accusato di cospirazione per trasmettere richieste di riscatto, cospirazione per causare danni a computer protetti e danneggiamento intenzionale di computer protetti. Se dichiarato colpevole, potrebbe scontare più di 20 anni di carcere.

L'articolo Ricompensa da 10 Milioni: Caccia Aperta all’Hacker Russo che ha Estorto 400 Milioni di dollari! proviene da il blog della sicurezza informatica.

Here at Hackaday, it’s a pretty safe bet that putting “World’s smallest” in the title of an article will instantly attract comments claiming that someone else built a far smaller version of the same thing. But that’s OK, because if there’s something smaller than this nearly microscopic LED blinky build, we definitely want to know about it.

The reason behind [Mike Roller]’s build is simple: he wanted to build something smaller than the previous smallest blinky. The 3.2-mm x 2.5-mm footprint of that effort is a tough act to follow, but technology has advanced somewhat in the last seven years, and [Mike] took advantage of that by basing his design on an ATtiny20 microcontroller in a WLCSP package and an 0201 LED, along with a current-limiting resistor and a decoupling capacitor. Powering the project is a 220-μF tantalum capacitor, which at a relatively whopping 3.2 mm x 1.6 mm determines the size of the PCB, which [Mike] insisted on using.

Assembling the project was challenging, to say the least. [Mike] originally tried a laboratory hot plate to reflow the board, but when the magnetic stirrer played havoc with the parts, he switched to a hot-air rework station with a very low airflow. Programming the microcontroller almost seemed like it was more of a challenge; when the pogo pins he was planning to use proved too large for the job he tacked leads made from 38-gauge magnet wire to the board with the aid of a micro hot air tool.

After building version one, [Mike] realized that even smaller components were available, so there’s now a 2.4 mm x 1.5 mm version using an 01005 LED. We suspect there’ll be a version 3.0 soon, though — he mentions that the new TI ultra-small microcontrollers weren’t available yet when he pulled this off, and no doubt he’ll want to take a stab at this again.

hackaday.com/2025/03/19/worlds…

A decade ago, smartwatches were an unexplored avenue full of exotic promise. There were bleeding-edge and eye-wateringly expensive platforms from the likes of Samsung or Apple, but for the more experimental among technophiles there was the Pebble. Based on a microcontroller and with a relatively low-resolution display, it was the subject of a successful crowdfunding campaign and became quite the thing to have. Now long gone, it has survived in open-source form, and now if you’re a Pebble die-hard you can even buy a new Pebble. We’re not sure about their choice of name though, we think calling something the “Core 2 Duo” might attract the attention of Intel’s lawyers.

The idea is broadly the same as the original, and remains compatible with software from back in the day. New are some extra sensors, longer battery life, and an nRF52840 BLE microcontroller running the show. It certainly captures the original well, however we’re left wondering whether a 2013 experience still cuts it in 2025 at that price. We suspect in that vein it would be the ideal compliment to your game controller when playing Grand Theft Auto V, another evergreen 2013 hit.

We look forward to seeing where this goes, and we reported on the OS becoming open source earlier this year. Perhaps someone might produce a piece of open source hardware to do the same job?

hackaday.com/2025/03/19/pick-u…

WELCOME BACK TO DIGITAL POLITICS. I'm Mark Scott, and the newsletter skews hard toward North America this week. As a counterweight: I'm in Geneva on March 24 to talk about data governance and tech sovereignty — if anyone is in town and wants to say hi.

— The new White House administration is finding its feet on digital policy. Its approach to greater oversight (or lack of it) is not as clear cut as you may think.

— Canada is gearing up for a snap nationwide election. Officials are worried about foreign interference from Russia, China... and the United States.

— The European Union announced a series of 'AI Factories' to jumpstart the bloc's use of artificial intelligence infrastructure to boost growth.

Let's get started:

digitalpolitics.co/newsletter0…

In the heart of Manchester, UK, a groundbreaking event took place in 1948: the first modern computer, known as the Manchester Baby, ran its very first program. The Baby’s ability to execute stored programs, developed with guidance from John von Neumann’s theory, marks it as a pioneer in the digital age. This fascinating chapter in computing history not only reshapes our understanding of technology’s roots but also highlights the incredible minds behind it. The original article, including a video transcript, sits here at [TheChipletter]’s.

So, what made this hack so special? The Manchester Baby, though a relatively simple prototype, was the first fully electronic computer to successfully run a program from memory. Built by a team with little formal experience in computing, the Baby featured a unique cathode-ray tube (CRT) as its memory store – a bold step towards modern computing. It didn’t just run numbers; it laid the foundation for all future machines that would use memory to store both data and instructions. Running a test to find the highest factor of a number, the Baby performed 3.5 million operations over 52 minutes. Impressive, by that time.

Despite criticisms that it was just a toy computer, the Baby’s significance shines through. It was more than just a prototype; it was proof of concept for the von Neumann architecture, showing us that computers could be more than complex calculators. While debates continue about whether it or the ENIAC should be considered the first true stored-program computer, the Baby’s role in the evolution of computing can’t be overlooked.

youtube.com/embed/cozcXiSSkwE?…

hackaday.com/2025/03/19/modern…

La banca ha scritto in un report che fatica a ricordare altri casi «in cui un marchio abbia perso così tanto valore in così poco tempo»

[...]

Secondo Lekander, Musk «sta dal lato sbagliato dei suoi acquirenti. Non è la gente con gli stivali da cowboy che compra le Tesla»

ilpost.it/2025/03/19/jp-morgan…

For those of us lucky enough to have been at Hackaday Europe in Berlin, there was a feast of hacks at our disposal. Among them was [Vladimir Divic]’s gradients game, software for an M5Stack module which was definitely a lot of fun to play. The idea of the game is simple enough, a procedurally generated contour map is displayed on the screen, and the player must navigate a red ball around and collect as many green ones as possible. It’s navigated using the M5Stack’s accelerometer, which is what makes for the engaging gameplay. In particular it takes a moment to discover that the ball can be given momentum, making it something more than a simple case of ball-rolling.

Underneath the hood it’s an Arduino .ino file for the M5Stack’s ESP32, and thus shouldn’t present a particular challenge to most readers. Meanwhile the M5Stack with its versatile range of peripherals has made it onto these pages several times over the years, not least as a LoRA gateway.

hackaday.com/2025/03/19/this-m…

This week, Jonathan Bennett and Ben Meadors talk to Darko Fabijan about Semaphore, the newly Open Sourced Continuous Integration solution! Why go Open, and how has it gone so far? Watch to find out!

• Semaphore Uncut Podcast: semaphore.io/podcast
• Discord: discord.gg/FBuUrV24NH
• youtube.com/c/SemaphoreCI
• Semaphore blog: semaphoreci.com/blog
• Semaphore on X: x.com/semaphoreci

youtube.com/embed/0Ts8sbV6K7A?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/03/19/floss-…

For most of history, the world got along fine without the rare earth elements. We knew they existed, we knew they weren’t really all that rare, and we really didn’t have much use for them — until we discovered just how useful they are and made ourselves absolutely dependent on them, to the point where not having them would literally grind the world to a halt.

This dependency has spurred a search for caches of rare earth elements in the strangest of places, from muddy sediments on the sea floor to asteroids. But there’s one potential source that’s much closer to home: coal ash waste. According to a study from the University of Texas Austin, the 5 gigatonnes of coal ash produced in the United States between 1950 and 2021 might contain as much as $8.4 billion worth of REEYSc — that’s the 16 lanthanide rare earth elements plus yttrium and scandium, transition metals that aren’t strictly rare earths but are geologically associated with them and useful in many of the same ways.

The study finds that about 70% of this coal ash largesse could still be accessible in the landfills and ponds in which it was dumped after being used for electrical generation or other industrial processes; the remainder is locked away in materials like asphalt and concrete, where it was used as a filler. The concentration of REEYSc in ash waste depends on where the coal was mined and ranges from 264 mg/kg for Powder River coal to 431 mg/kg for coal from the Appalachian Basin. Oddly, they find that recovery rates are inversely proportional to the richness of the ash.

The study doesn’t discuss any specific methods for recovery of REEYSc from coal ash at the industrial scale, but it does reference an earlier paper that mentions possible methods we’ve seen before in our Mining and Refining series, including physical beneficiation, which separates the desired minerals from the waste material using properties such as shape, size, or density, and hydrometallurgical methods such as acid leaching or ion exchange. The paper also doesn’t mention how these elements accumulated in the coal ash in the first place, although we assume that Carboniferous-period plants bioaccumulated the minerals before they died and started turning into coal.

Of course, this is just preliminary research, and no attempt has yet been made to commercialize rare earth extraction from coal ash. There are probably serious technical and regulatory hurdles, not least of which would be valid concerns for the environmental impacts of disturbing long-ignored ash piles. On the other hand, the study mentions “mine-mouth” power plants, where mines and generating plants were colocated as possibly the ideal place to exploit since ash was used to backfill the mine works right on the same site.

hackaday.com/2025/03/19/from-t…

A piece of musical history is the Maplin 4600, a DIY electronic music synthesizer from the 1970s. The design was published in an Australian electronics magazine and sold as a DIY kit, and [LOOK MUM NO COMPUTER] got his hands on an original Maplin 4600 that he refurbishes and puts through its paces.
Inserting conductive pegs is how the operator connects different inputs and outputs.
The Maplin 4600 is a (mostly) analog device with a slightly intimidating-looking layout. It features multiple oscillators, mixers, envelope generators, filters, and a complex-looking patch bay on the right hand side that is reminiscent of a breadboard. By inserting conductive pins, one can make connections between various inputs and outputs.

Internally the different features and circuits are mostly unconnected from one another by default, so the patch board is how the instrument is “programmed” and the connections made can be quite complex. The 4600 is one of a few synthesizer designs by [Trevor Marshall], who has some additional details about on his website.

The video (embedded below) is a complete walk-through of the unit, including its history, quirks, and design features. If you’d like to skip directly to a hands-on demonstrating how it works, that begins around the 10:15 mark.

Synthesizers have a rich DIY history and it’s fascinating to see an in-depth look at this one. And hey, if you like your synths complex and intimidating, do yourself a favor and check out the Starship One.

youtube.com/embed/S-tnRJZBEUk?…

hackaday.com/2025/03/19/revivi…

Si tratta di un grave bug risolto da Microsoft nel patch tuesday di Marzo che ha visto pubblicato un exploit proof-of-concept (PoC) che dimostra come questa falla di sicurezza può essere sfruttata.

La vulnerabilità è presente in Esplora file di Windows, ed è identificata come CVE-2025-24071, consente agli aggressori di rubare password con hash NTLM senza alcuna interazione da parte dell’utente, se non la semplice estrazione di un file compresso.

La vulnerabilità consente l’esposizione di informazioni sensibili ad attori non autorizzati, consentendo attacchi di spoofing di rete. Un ricercatore di sicurezza con handle 0x6rss ha pubblicato un exploit proof-of-concept su GitHub il 16 marzo 2025. Il PoC include uno script Python che genera il file .library-ms dannoso e può essere utilizzato con un semplice comando: python poc.py

Scopriamo come funziona questo grave bug di sicurezza

La vulnerabilità, denominata “NTLM Hash Leak tramite estrazione RAR/ZIP”, sfrutta il meccanismo di elaborazione automatica dei file di Windows Explorer. Quando un file .library-ms appositamente creato contenente un percorso SMB dannoso viene estratto da un archivio compresso, Windows Explorer ne analizza automaticamente il contenuto per generare anteprime e metadati di indicizzazione.

Questa elaborazione automatica avviene anche se l’utente non apre mai esplicitamente il file estratto. Il formato file .library-ms, basato su XML è considerato affidabile da Windows Explorer. Deinisce le posizioni delle librerie, include un tag che punta a un server SMB controllato dall’aggressore, afferma il ricercatore di sicurezza “0x6rss”.

Durante l’estrazione, Windows Explorer tenta di risolvere automaticamente il percorso SMB incorporato (ad esempio, \\192.168.1.116\shared) per raccogliere i metadati. Questa azione innesca un handshake di autenticazione NTLM dal sistema della vittima al server dell’aggressore, facendo trapelare l’hash NTLMv2 della vittima senza alcuna interazione da parte dell’utente.

Utilizzando Procmon, possiamo osservare chiaramente che subito dopo l’estrazione del file .library-ms , le seguenti operazioni vengono eseguite automaticamente da Explorer.exe e dai servizi di indicizzazione come SearchProtocolHost.exe :

• CreateFile: il file viene aperto automaticamente da Explorer.
• ReadFile: il contenuto del file viene letto per estrarre i metadati.
• QueryBasicInformationFile: query sui metadati eseguite.
• CloseFile: il file viene chiuso dopo l’elaborazione.

Inoltre, SearchProtocolHost.exe viene richiamato come parte del servizio di indicizzazione dei file di Windows. Dopo che Explorer.exe termina la sua elaborazione iniziale, il servizio di indicizzazione riapre e legge il file per indicizzarne il contenuto. Ciò conferma ulteriormente la gestione automatizzata dei file al momento dell’estrazione:

• CreateFile, ReadFile, QueryBasicInformationFile, CloseFile: eseguiti da SearchProtocolHost.exe per aggiungere il contenuto del file all’indice di ricerca.

Queste azioni dimostrano in modo conclusivo che Windows elabora automaticamente i file immediatamente dopo l’estrazione, senza alcuna interazione esplicita da parte dell’utente.

Sia Explorer.exe che SearchProtocolHost.exe leggono ed elaborano automaticamente il contenuto XML del file .library-ms , avviando un tentativo di connessione al percorso SMB incorporato al suo interno.

Sfruttamento della vulnerabilità nei mercati underground

Questa vulnerabilità è attivamente sfruttata dagli attaccanti ed è stata potenzialmente messa in vendita sul forum xss.is dall’autore della minaccia noto come “Krypt0n“. Questo Threat Actors è anche lo sviluppatore del malware denominato “EncryptHub Stealer“

L'articolo Falla critica in Esplora file di Windows ruba le password senza interazione dell’utente proviene da il blog della sicurezza informatica.

Un recente post apparso sul noto forum underground BreachForums ha rivelato la pubblicazione di un pacchetto contenente 35 database italiani, esponendo informazioni sensibili di utenti e aziende. L’utente “Tanaka”, moderatore della piattaforma, ha condiviso una lista di archivi contenenti dati in formato SQL e CSV, suggerendo la possibile compromissione di diverse realtà, tra cui aziende private e persino entità istituzionali.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché le organizzazioni coinvolte non hanno ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Tra le vittime anche siti istituzionali

Uno degli elementi più allarmanti di questa fuga di dati è la presenza nella lista del sito “giustizia.it”, portale istituzionale legato all’amministrazione della giustizia italiana. Se confermata, questa violazione potrebbe avere gravi implicazioni per la sicurezza dei dati giudiziari e delle persone coinvolte.

Oltre a questo, nell’elenco compaiono diverse aziende operanti in vari settori, tra cui il commercio online, il settore immobiliare e la tecnologia. Alcuni file fanno riferimento a database contenenti centinaia di migliaia di utenti, con informazioni che potrebbero includere credenziali di accesso, dati personali e altre informazioni sensibili.

L’importanza di un’analisi mirata

È altamente probabile che questi database siano il risultato di vecchie violazioni, riorganizzati e rivenduti nel mercato underground sotto forma di “collection” di credenziali. Questo fenomeno è comune nel dark web, dove gli attori malevoli combinano dati trapelati nel tempo per creare nuovi “combo list” utilizzabili per attacchi mirati.

Anche se alcune credenziali possono sembrare obsolete, è fondamentale prestare attenzione: molte di esse rimangono valide o vengono riutilizzate dagli utenti su più servizi. La diffusione di queste raccolte può infatti alimentare una nuova ondata di phishing e attacchi credential stuffing, aumentando il rischio per aziende e privati.

Le aziende e le entità citate nel post dovrebbero prendere immediati provvedimenti per verificare l’origine di questi database e comprendere se siano realmente frutto di una violazione diretta o se, invece, derivino da una compromissione indiretta di fornitori terzi o servizi connessi.

Se non hanno evidenza di una precedente intrusione, dovrebbero comunque effettuare un’indagine approfondita per escludere la possibilità di un data breach non ancora identificato. Un monitoraggio continuo e l’adozione di strategie di mitigazione del rischio sono fondamentali per proteggere i dati degli utenti e preservare la propria reputazione.

Un mercato sempre più attivo dei dati trafugati

Il forum BreachForums si è ormai affermato come uno dei principali hub per la vendita e la condivisione di database compromessi. Dopo la chiusura di RaidForums, piattaforma simile, BreachForums è rapidamente diventato il punto di riferimento per i cybercriminali interessati alla compravendita di dati sensibili.

Questa ennesima esposizione di dati italiani sottolinea ancora una volta l’importanza di misure di sicurezza adeguate, aggiornamenti tempestivi dei sistemi e una formazione continua sulla cybersecurity per prevenire future compromissioni.

Cosa fare se si è coinvolti? Le aziende e gli enti presenti nell’elenco dovrebbero:

• Verificare la legittimità della presunta violazione.
• Condurre un audit di sicurezza per individuare eventuali falle nei sistemi.
• Forzare il reset delle credenziali per gli utenti coinvolti.
• Monitorare il dark web per intercettare eventuali tentativi di vendita o abuso dei dati esposti.

In un contesto in cui le fughe di dati sono sempre più frequenti, la prevenzione e la reazione tempestiva restano le migliori strategie di difesa.

L'articolo Italia col Botto! Esposti 35 database italiani nell’underground. tra questi anche Giustizia.it proviene da il blog della sicurezza informatica.

Over the decades there have been many denominations coined to classify computer systems, usually when they got used in different fields or technological improvements caused significant shifts. While the very first electronic computers were very limited and often not programmable, they would soon morph into something that we’d recognize today as a computer, starting with World War 2’s Colossus and ENIAC, which saw use with cryptanalysis and military weapons programs, respectively.

The first commercial digital electronic computer wouldn’t appear until 1951, however, in the form of the Ferranti Mark 1. These 4.5 ton systems mostly found their way to universities and kin, where they’d find welcome use in engineering, architecture and scientific calculations. This became the focus of new computer systems, effectively the equivalent of a scientific calculator. Until the invention of the transistor, the idea of a computer being anything but a hulking, room-sized monstrosity was preposterous.

A few decades later, more computer power could be crammed into less space than ever before including ever higher density storage. Computers were even found in toys, and amidst a whirlwind of mini-, micro-, super-, home-, minisuper- and mainframe computer systems, one could be excused for asking the question: what even is a supercomputer?

Today’s Supercomputers

ORNL’s Summit supercomputer, fastest until 2020 (Credit: ORNL)
Perhaps a fair way to classify supercomputers is that the ‘supercomputer’ aspect is a highly time-limited property. During the 1940s, Colossus and ENIAC were without question the supercomputers of their era, while 1976’s Cray-1 wiped the floor with everything that came before, yet all of these are archaic curiosities next to today’s top two supercomputers. Both the El Capitan and Frontier supercomputers are exascale (1+ exaFLOPS in double precision IEEE 754 calculations) level machines, based around commodity x86_64 CPUs in a massively parallel configuration.

Taking up 700 m² of floor space at the Lawrence Livermore National Laboratory (LLNL) and drawing 30 MW of power, El Capitan’s 43,808 AMD EPYC CPUs are paired with the same number of AMD Instinct MI300A accelerators, each containing 24 Zen 4 cores plus CDNA3 GPU and 128 GB of HBM3 RAM. Unlike the monolithic ENIAC, El Capitan’s 11,136 nodes, containing four MI300As each, rely on a number of high-speed interconnects to distribute computing work across all cores.

At LLNL, El Capitan is used for effectively the same top secret government things as ENIAC was, while Frontier at Oak Ridge National Laboratory (ORNL) was the fastest supercomputer before El Capitan came online about three years later. Although currently LLNL and ORNL have the fastest supercomputers, there are many more of these systems in use around the world, even for innocent scientific research.

Looking at the current list of supercomputers, such as today’s Top 9, it’s clear that not only can supercomputers perform a lot more operations per second, they also are invariably massively parallel computing clusters. This wasn’t a change that was made easily, as parallel computing comes with a whole stack of complications and problems.

The Parallel Computing Shift

ILLIAC IV massively parallel computer’s Control Unit (CU). (Credit: Steve Jurvetson, Wikimedia)
The first massively parallel computer was the ILLIAC IV, conceptualized by Daniel Slotnick in 1952 and first successfully put into operation in 1975 when it was connected to ARPANET. Although only one quadrant was fully constructed, it produced 50 MFLOPS compared to the Cray-1’s 160 MFLOPS a year later. Despite the immense construction costs and spotty operational history, it provided a most useful testbed for developing parallel computation methods and algorithms until the system was decommissioned in 1981.

There was a lot of pushback against the idea of massively parallel computation, however, with Seymour Cray famously comparing the idea of using many parallel vector processors instead of a single large one akin to ‘plowing a field with 1024 chickens instead of two oxen’.

Ultimately there is only so far you can scale a singular vector processor, of course, while parallel computing promised much better scaling, as well as the use of commodity hardware. A good example of this is a so-called Beowulf cluster, named after the original 1994 parallel computer built by Thomas Sterling and Donald Becker at NASA. This can use plain desktop computers, wired together using for example Ethernet and with open source libraries like Open MPI enabling massively parallel computing without a lot of effort.

Not only does this approach enable the assembly of a ‘supercomputer’ using cheap-ish, off-the-shelf components, it’s also effectively the approach used for LLNL’s El Capitan, just with not very cheap hardware, and not very cheap interconnect hardware, but still cheaper than if one were to try to build a monolithic vector processor with the same raw processing power after taking the messaging overhead of a cluster into account.

Mini And Maxi

David Lovett of Usagi Electric fame sitting among his FPS minisupercomputer hardware. (Credit: David Lovett, YouTube)
One way to look at supercomputers is that it’s not about the scale, but what you do with it. Much like how government, large businesses and universities would end up with ‘Big Iron’ in the form of mainframes and supercomputers, there was a big market for minicomputers too. Here ‘mini’ meant something like a PDP-11 that’d comfortably fit in the corner of an average room at an office or university.

The high-end versions of minicomputers were called ‘superminicomputer‘, which is not to be confused with minisupercomputer, which is another class entirely. During the 1980s there was a brief surge in this latter class of supercomputers that were designed to bring solid vector computing and similar supercomputer feats down to a size and price tag that might entice departments and other customers who’d otherwise not even begin to consider such an investment.

The manufacturers of these ‘budget-sized supercomputers’ were generally not the typical big computer manufacturers, but instead smaller companies and start-ups like Floating Point Systems (later acquired by Cray) who sold array processors and similar parallel, vector computing hardware.

Recently David Lovett (AKA Mr. Usagi Electric) embarked on a quest to recover and reverse-engineer as much FPS hardware as possible, with one of the goals being to build a full minisupercomputer system as companies and universities might have used them in the 1980s. This would involve attaching such an array processor to a PDP-11/44 system.

Speed Versus Reliability

Amidst all of these definitions, the distinction between a mainframe and a supercomputer is much easier and more straightforward at least. A mainframe is a computer system that’s designed for bulk data processing with as much built-in reliability and redundancy as the price tag allows for. A modern example is IBM’s Z-series of mainframes, with the ‘Z’ standing for ‘zero downtime’. These kind of systems are used by financial institutions and anywhere else where downtime is counted in millions of dollars going up in (literal) flames every second.

This means hot-swappable processor modules, hot-swappable and redundant power supplies, not to mention hot spares and a strong focus on fault tolerant computing. All of these features are less relevant for a supercomputer, where raw performance is the defining factor when running days-long simulations and when other ways to detect flaws exist without requiring hardware-level redundancy.

Considering the brief lifespan of supercomputers (currently in the order of a few years) compared to mainframes (decades) and the many years that the microcomputers which we have on our desks can last, the life of a supercomputer seems like that of a bright and very brief flame, indeed.

Top image: Marlyn Wescoff and Betty Jean Jennings configuring plugboards on the ENIAC computer (Source: US National Archives)

hackaday.com/2025/03/19/so-wha…

Gli specialisti Fortra hanno scoperto un nuovo gruppo ransomware dal nome Ox Thief, che utilizza metodi non convenzionali per fare pressione sulle vittime. In un caso recente, gli aggressori hanno minacciato di contattare Edward Snowden se le loro richieste non fossero state soddisfatte. Questa mossa potrebbe indicare che alcuni criminali informatici hanno difficoltà a riscuotere il riscatto.

Ox Thief ha iniziato le sue operazioni in modo tradizionale: il gruppo ha annunciato sul suo sito Tor di aver rubato 47 GB di “file altamente sensibili” da un’azienda. Per dimostrare l’autenticità delle loro affermazioni, gli hacker hanno fornito campioni di dati e hanno minacciato di pubblicare tutte le informazioni se la vittima non avesse pagato il riscatto.

Tuttavia, la tattica è andata oltre lo scenario consueto della seconda estorsione. I criminali hanno pubblicato un elenco dettagliato delle possibili conseguenze del rifiuto di pagare: cause legali, multe multimilionarie, responsabilità penale, perdita di reputazione e gravi costi per rispondere all’incidente. Come esempi, i criminali informatici hanno citato casi reali di perdite importanti: Capitale One nel 2019 e Uber nel 2016.

Ox Thief ha anche minacciato di attirare l’attenzione di importanti esperti di sicurezza informatica e di organizzazioni per i diritti umani, tra cui il giornalista Brian Krebs, il fondatore di Have I Been Pwned Troy Hunt, l’Electronic Frontier Foundation (EFF) e persino il gruppo per i diritti umani NYOB. Tra i possibili “informatori” viene menzionato anche Edward Snowden, il che sembra un tentativo di aumentare la pressione sulla vittima.

Questo metodo ricorda la tattica del gruppo ALPHV/BlackCat, che nel 2023 ha presentato un reclamo contro MeridianLink. Tuttavia, secondo gli analisti di Fortra, le azioni di Ox Thief rappresentano una nuova fase nell’evoluzione dell’estorsione. Gli aggressori oggi fanno affidamento non solo sulla pressione psicologica, ma anche sulla paura di azioni legali e di interventi governativi.

Inoltre, il cambiamento di strategia potrebbe essere correlato a un calo dei pagamenti agli estorsori. Se le organizzazioni sono meno propense a fare concessioni, i criminali sono costretti a escogitare nuovi modi per esercitare pressione.

Il nuovo gruppo è stato notato all’inizio di marzo, dopo aver annunciato che Broker Educational Sales & Training (BEST), un’azienda che forma professionisti del settore finanziario e assicurativo, era stata hackerata. Gli hacker hanno affermato di aver rubato dati personali, resoconti finanziari, documenti assicurativi e contratti dei dipendenti. Tuttavia, non esiste alcuna conferma indipendente dell’incidente. La situazione è complicata dal fatto che un altro gruppo, Medusa, aveva precedentemente rilasciato dichiarazioni simili in merito all’hacking di BEST.

L'articolo Se non paghi chiamo Edward Snowden. Nuove tattiche di estorsione prendono forma proviene da il blog della sicurezza informatica.