Il gruppo di hacker noto come Everest ha dichiarato di aver esflitrato dei dati dall’azienda Bio-Clima Service SRL. Si tratta di una azienda italiana che offre soluzioni per il ciclo di vita delle apparecchiature di laboratorio, inclusi sopralluoghi, contratti di manutenzione, calibrazioni, qualifiche IQ/OQ/PQ, mappature, sicurezza, biodecontaminazione, e monitoraggio.

Fornisce anche servizi di noleggio operativo e progettazione di camere fredde, garantendo efficienza e sicurezza. È attiva in ambito ospedaliero, farmaceutico e ambienti tecnici, con un approccio eco-sostenibile.

Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva.

La dichiarazione di Everest

L’attacco è stato annunciato dal gruppo ransomware Everest il giorno 15-11-2024, avviando un countdown di 13 giorni per la pubblicazione dei dati. Non è stata dichiarata la portata in dimensioni per quanto concerne l’esfiltrazione.

Vengono riportati all’interno del Data Leak Site (DLS) di Everest dei samples della Bio Clima Service S.r.l., datato Novembre 2024, e illustra dettagli relativi a un intervento di riparazione. Potrebbero essere quindi inclusi dei dati sensibili

Il gruppo ransomware EVEREST

Per chi non se lo ricorda, il gruppo ransomware EVEREST è diventato famoso nel 2021, soprattutto in ITALIA, dopo aver dichiarato di aver esfiltrato dei dati alla SIAE (Società Italiana degli Autori ed Editori).

Al seguente link è possibile recuperare la notizia dell’attacco.

Red Hot Cyber ha intervistato questa gang ransomware. Gli hacker spiegano che l’incidente non è stato un tipico ransomware: invece di crittografare i dati, si sono limitati a sottrarli sfruttando vulnerabilità specifiche. La loro motivazione principale era ottenere un riscatto senza distruggere l’infrastruttura. L’intervista fornisce dettagli sulle strategie usate e sull’eventuale rilascio pubblico dei dati, delineando un approccio alternativo al classico schema ransomware.

Per maggiori dettagli è possibile recuperare l’intervista al link qui sotto.

RHC intervista i black hacker dell’attacco alla SIAE. Non è un ransomware.

redhotcyber.com/post/siae-rhc-…

La situazione attuale

Ad oggi, l’azienda Bio-Clima Service non ha rilasciato dichiarazioni ufficiali riguardo all’attacco. Senza un comunicato stampa o una conferma ufficiale, le informazioni disponibili devono essere considerate come “fonti di intelligence” piuttosto che come conferme definitive della fuga di dati. È probabile che l’azienda rilasci ulteriori comunicazioni in futuro per chiarire la situazione.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Cos’è il ransomware as a service (RaaS)

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo Aziende italiane continuamente sotto pressione: Everest Rivendita un attacco alla Bio-Clima proviene da il blog della sicurezza informatica.

These days, most of us take the instant availability of a high-speed link to the Internet for granted. But despite all of the latest technology, things still occasionally go pear-shaped — meaning that blistering fiber optic connection you’ve got to the world’s collected knowledge (not to mention, memes) can still go down when you need it the most.

After suffering some connectivity issues, [Arnov Sharma] decided to put together a little box that could alert everyone in visual range to the status of the local router. It won’t fix the problem, of course, but there’s a certain value to getting timely status updates. Using a 3D printed enclosure and a couple of custom PCBs, the build is fairly comprehensive, and could certainly be pressed into more advanced usage if given the appropriate firmware. If you’ve been thinking of a Internet-connected status indicator, this is certainly a project worth copying studying closely.

The aptly named “Wi-Fi Status Box” uses two PCBs: one to hold the Seeed Studio XIAO ESP32C3 microcontroller and four WS2812B addressable LEDs, and another that plays host to the IP5306 power management IC.

That latter board in particular is something you may want to file away for a future project, as it not only handles charging lithium-ion batteries such as common 18650 cells, but it also features an LED “fuel gauge” and the ability to boost the output power to 5 VDC with relatively few external components.

As for the firmware on this one, it’s simplicity itself. The goal is to see if the router has gone down, so all the code does is check every ten seconds to see if the ESP32 is still able to connect to the given wireless network. If the connection is good the LEDs are green, but if the link fails, they flip over to red. Combined with a printed front panel that uses transparent filament to soften the glow of the LEDs, and you’ve got an attractive way of knowing when it’s time to panic.

Too obvious for you? Perhaps you’d prefer this version that uses an analog multimeter to display when the net drops out.

hackaday.com/2024/11/16/wifi-s…

Apple ha introdotto una nuova funzionalità di riavvio automatico in caso di inattività in iOS 18 che riavvia l’iPhone se non viene sbloccato entro 72 ore. Lo hanno riferito i ricercatori di sicurezza informatica.

È stato recentemente riferito che le forze dell’ordine e gli esperti di medicina legale digitale hanno dovuto affrontare il problema del riavvio degli iPhone in circostanze misteriose, che hanno reso difficile l’accesso ai dati sui dispositivi. Successivamente si è scoperto che la funzione di riavvio automatico quando inattiva in iOS 18 viene attivata dopo un certo tempo.

Recentemente la ricercatrice Jiska Klassen ha pubblicato un video che conferma la funzionalità. Il video mostra che l’iPhone si riavvia automaticamente se non viene sbloccato per 72 ore.

La conferma di queste informazioni è arrivata anche da Magnet Forensics, che sviluppa strumenti forensi per l’estrazione di dati da iPhone e Android, come GrayKey. Gli specialisti dell’azienda hanno confermato che il timer per il riavvio automatico è effettivamente impostato su 72 ore.

Come spiega Klassen, la nuova funzionalità migliora la sicurezza del dispositivo bloccando le chiavi di crittografia in uno speciale chip Secure Enclave. Ciò rende difficile l’utilizzo di strumenti legacy per accedere ai dati anche se gli aggressori lasciano il dispositivo in funzione. Tuttavia, nonostante ciò, 3 giorni sono un tempo sufficiente affinché gli esperti forensi possano adottare le misure necessarie per accedere ai dati, a condizione che agiscano rapidamente e in modo coordinato.

La sicurezza dell’iPhone è influenzata da due diversi stati del dispositivo: “prima del primo sblocco” ( BFU ) e “dopo il primo sblocco” ( AFU ). Nello stato BFU, tutti i dati sull’iPhone sono completamente crittografati e sono accessibili solo se si conosce il passcode. Nello stato AFU, alcuni dati rimangono non crittografati, il che può facilitarne l’estrazione utilizzando strumenti forensi, anche se il telefono è bloccato. Apple ha rifiutato di commentare queste informazioni.

Ricordiamo che nell’aprile 2024, la società di analisi forense mobile Cellebrite ha dovuto affrontare un problema: una parte significativa dei moderni iPhone si è rivelata inaccessibile ai suoi strumenti di hacking.

Con il rilascio della nuova versione di iOS 18, Apple ha fatto un altro passo avanti nella lotta al mercato dei pezzi di ricambio usati di dispositivi rubati. Ora la funzione Blocco attivazione si estende non solo all’iPhone stesso, ma anche ai suoi componenti principali come batteria, fotocamere e display. Questa innovazione mira a prevenire la rivendita di parti rubate e fornisce una protezione aggiuntiva agli utenti.

L'articolo iOS 18 introduce il Riavvio Automatico: l’iPhone diventa ancora più Sicuro proviene da il blog della sicurezza informatica.

Secondo Sekoia, tre importanti agenzie governative svolgono un ruolo chiave nelle attività informatiche della Cina e sono: Esercito Popolare di Liberazione (PLA), il Ministero della Sicurezza dello Stato (MSS) e il Ministero della Pubblica Sicurezza (MPS). Dall’inizio del 2021, le operazioni attribuite alla Cina sono state sempre più associate ad agenzie governative.

Gruppi affiliati all’esercito come BlackTech, Naikon, Tonto Team e Tick sono diventati meno attivi. Sono stati sostituiti da gruppi squali APT10, APT31, APT40, APT41, Mustang Panda e Lucky Mouse. Secondo lo studio vengono condotte operazioni di influenza anche nei paesi del sud-est asiatico. È stato riferito che per tali compiti il ​​dipartimento può ricevere aiuto da una delle più grandi società cinesi di sicurezza informatica: QiAnXin.

È interessante notare che le sezioni regionali del MSS e dell’MPS hanno una grande libertà d’azione. Reclutano attivamente aziende private per sferrare attacchi e raccogliere dati, il che consente loro di agire di nascosto ed evitare l’attribuzione diretta alle agenzie governative.

Oltre alle agenzie governative, una volta partecipavano a tali operazioni anche cittadini comuni, i cosiddetti hacker patriottici. In precedenza avevano effettuato attacchi in risposta a conflitti internazionali, ma col tempo le loro attività sono diventate parte delle operazioni governative. Dalla metà degli anni 2000, questi hacker hanno smesso di agire da soli e hanno iniziato a lavorare in aziende private, continuando a partecipare ad attacchi informatici a livello professionale.

Il rapporto si concentra in particolare su come gli hacker patriottici abbiano contribuito a creare malware come PlugX e ShadowPad , che ora vengono utilizzati attivamente dai gruppi APT cinesi. Tutto ciò è diventato possibile grazie alle politiche di Xi Jinping, che nel 2015 ha ufficialmente unito gli sforzi di specialisti militari e civili per le operazioni informatiche.

Recenti indiscrezioni provenienti dalla società informatica cinese I-SOON hanno rivelato importanti dettagli su come la Cina orchestra gli attacchi informatici. Le agenzie governative coinvolgono sempre più aziende private a livello provinciale e cittadino per svolgere operazioni informatiche. Ciò consente di nascondere le vere fonti degli attacchi e di renderli difficili da rintracciare.

L’MPS raccoglie attivamente dati sulle nuove vulnerabilità, ricevendoli da ricercatori e aziende, per poi utilizzare negli attacchi. Il rapporto rileva inoltre che aziende come I-SOON e altre aziende tecnologiche ora forniscono i propri servizi non solo a grandi agenzie governative, ma anche per singole attività.

Il rapporto suggerisce che i moderni gruppi APT cinesi sono un ibrido di hacker privati ​​e governativi che collaborano per eseguire attacchi complessi, anziché limitarsi a una struttura specifica. Ciò complica il processo di attribuzione ed evidenzia l’attenzione strategica della Cina sull’utilizzo di una varietà di risorse per lo spionaggio informatico e le operazioni di informazione.

L'articolo Spionaggio alla Xi Jinping: Gli hacker APT diventano patrimonio dello Stato proviene da il blog della sicurezza informatica.

Gli esperti di Android Authority hanno scoperto snippet di codice nella nuova versione 24.45.33 di Google Play Services che supportano una funzionalità chiamata “Email protetta”.

Questo strumento è probabilmente progettato per creare alias e-mail monouso o ad uso limitato che inoltrano e-mail all’account principale. Gli utenti potranno disabilitare l’inoltro se inizia a essere inviato spam, il che aiuterà a mantenere la riservatezza dell’indirizzo principale. Oltre a proteggere dallo spam, la funzionalità è progettata per ridurre il rischio di tracciamento online e minimizzare l’impatto delle violazioni dei dati.

La funzione Email protetta è stata trovata anche nel menu delle impostazioni di compilazione automatica, ma un tentativo di accedere alla sezione ridireziona a una pagina vuota myaccount.google.com.

Non è ancora noto se gli indirizzi temporanei saranno unici per ciascun caso o se ci saranno restrizioni sul loro numero.

L'articolo Google rivoluziona la privacy! In Arrivo l’Email “Usa e Getta” per dire addio allo spam? proviene da il blog della sicurezza informatica.

Europol ha emesso una notifica di intelligence sul reclutamento di minori da parte di reti criminali in tutta Europa.
Sviluppata sulla base delle informazioni fornite a Europol dalle autorità di contrasto, la notifica rivela come le organizzazioni criminali prendano di mira i giovani attraverso i social media e la messaggistica criptata per reclutarli e commettere gravi atti di criminalità organizzata.

I dati raccolti da recenti indagini mostrano che i minori sono coinvolti in quasi tutti i mercati criminali.

Sebbene il reclutamento di minori nelle forme gravi di criminalità organizzata e terrorismo non sia una novità, negli ultimi anni si è evoluto in una tattica deliberata da parte delle reti criminali per eludere l'individuazione, l'arresto o l'azione penale. La pratica si è espansa in più paesi e i metodi di reclutamento sono cambiati, con i minori sempre più incaricati di attività violente, tra cui estorsione e omicidio.

La notifica di Europol avverte che le reti criminali ora sfruttano comunemente i minori utilizzando messaggi in codice, slang e persino tattiche di "gamification" per inquadrare i compiti criminali come sfide o giochi. Queste tecniche sono progettate per attirare i giovani in attività criminali, spesso facendole apparire finanziariamente attraenti o socialmente gratificanti.

Le reti criminali utilizzano la gamification per reclutare minori presentando compiti illegali come "sfide" o "missioni", rendendoli più coinvolgenti e meno intimidatori. Questo approccio sfrutta la familiarità dei giovani con le sfide dei social media e i giochi online, desensibilizzandoli ai rischi associati. Inoltre, possono offrire ricompense per il completamento di specifici compiti, aumentando l'attrattiva della partecipazione alle attività criminali.
Le piattaforme di social media con funzione di messaggistica crittografata vengono abusate dai criminali in modo che possano operare con una visibilità minima, consentendo interazioni che non lasciano tracce digitali e riducendo quindi il rischio di rilevamento.

I social media influenzano il coinvolgimento dei minori nel crimine organizzato fornendo canali di comunicazione diretti e anonimi, che eliminano la necessità di incontri fisici. Le piattaforme consentono ai reclutatori di raggiungere un vasto pubblico di giovani, utilizzando linguaggio mirato e messaggi attraenti per presentare attività illegali come opportunità vantaggiose. Inoltre, le caratteristiche di privacy e messaggi autodistruttivi rendono difficile il monitoraggio delle comunicazioni, aumentando il rischio di coinvolgimento dei minori in attività criminali.

Il documento di Europol (in inglese) è scaricabile qui: europol.europa.eu/cms/sites/de…

@Notizie dall'Italia e dal mondo
#Europol

In occasione della Giornata Internazionale per la Prevenzione e la Lotta contro tutte le forme di Criminalità Organizzata Transnazionale, l’Italia ha ribadito l’impegno condiviso per affrontare la sfida pervasiva e in continua evoluzione della criminalità organizzata transnazionale, una questione che impatta società, economie e sicurezza a livello mondiale.

L’Ambasciatore Maurizio Massari, Rappresentante Permanente italiano all’ONU, e’ intervenuto nel corso di un evento co-organizzato insieme all’ #UNODC (l’agenzia Onu per la lotta al crimine organizzato) e agli Stati Membri che fanno parte del gruppo centrale che ha proposto la risoluzione istitutiva della giornata: Austria, Colombia, Repubblica Dominicana, Ungheria, Giappone, Marocco, Perù e Arabia Saudita.

Massari ha sottolineato il legame tra impegno per la giustizia e lo sviluppo sociale, in linea con l’Obiettivo di Sviluppo Sostenibile 16, come riaffermato durante la visita del Presidente italiano Sergio Mattarella alle Nazioni Unite a New York, quando “ha ricordato la dimensione globale di questa lotta e la necessità di un’azione internazionale collettiva per affrontare le cause profonde della criminalità organizzata”.

Tornando sul legame tra lotta al crimine e sviluppo, Massari ha evidenziato che quando le comunità sono resilienti, ben supportate e potenziate, diventano meno vulnerabili all’influenza delle reti criminali.

In questo impegno l’esperienza dell’Italia rappresenta una testimonianza potente sia delle sfide sia della resilienza necessaria per combattere la criminalità organizzata. “L’Italia ha visto il sacrificio di molti coraggiosi – poliziotti, giudici e funzionari pubblici – che hanno rischiato, e persino dato, la vita nella lotta contro le reti mafiose, eroi come i giudici Giovanni Falcone e Paolo Borsellino, il cui lascito continua a ispirare sforzi in tutto il mondo, ma anche cittadini comuni, imprenditori e lavoratori hanno resistito alla criminalità organizzata, affrontando a caro prezzo le richieste di estorsione della mafia e rifiutando di cedere ai ricatti”, ha detto Massari ricordando infine l’innovazione negli approcci agli asset confiscati alle organizzazioni criminali e riutilizzati per iniziative sociali, dando risorse alle comunità che una volta alimentavano le attività criminali.

Non ho mai usato friendica ma sono pratico con il fediverso sopratutto con mastodon sull'istanza livellosegreto.it

Su mastodon, almeno su quel server, non è possibile scrivere tanto testo, quindi ho deciso di aprire qui un profilo pubblico.

Quello di cui vorrei ogni tanto parlare (preferisco la qualità alla quantità) è ciò che mi appassiona, ovvero:
-opensource e privacy (grapheneos, aosp, fdroid, scelte di vita relative)
-dipendenza dalla tecnologia (approccio alla vita sana e alternative contro le dipendenze tecnologiche, in tutti i sensi possibili)
-musica (ascolto musica da veramente una vita, ho una cultura immensa e vorrei condividerla e ascoltare ciò che propongono di bello gli altri)
-cinema (ne guardo assai poco ma un tempo ero fissato con il cinema asiatico!)
-vita sotto la salute mentale (ero hikikomori e ora vivo con assistenza psichiatria, sarebbe interessante parlarne approfonditamente senza dare informazioni banali)
-altro (non mi viene in mente molto ora ma spero apprezzerete i vari argomenti!!)

Non ho app del fediverso ma faccio tutto via browser quindi, essendo che mi sono appena iscritto, mi ci vorrà un po' per ingranare e crearmi un feed interessante! Spero che comunque sia gradita la mia presenza qui.

Un saluto!