Dall’inganno di Zoom al disastro ransomware: viaggio nel cuore dell’attacco BlackSuit
Era una giornata qualsiasi quando un utente ignaro, probabilmente alle prese con una call imminente, ha visitato un sito che sembrava legittimamente legato a Zoom, la nota piattaforma per videoconferenze. Grafica perfetta, dominio plausibile, contenuti apparentemente autentici. Ma dietro quell’interfaccia rassicurante si celava una trappola perfettamente architettata. L’utente scarica quello che crede essere l’installer ufficiale dell’applicazione. Lo esegue. E senza rendersene conto, spalanca le porte a un attacco multi-fase che culminerà, nove giorni dopo, nella devastazione completa del suo ambiente aziendale.
È quanto accaduto recentemente in un attacco analizzato nel dettaglio da The DFIR Report, che ha portato all’infezione e alla crittografia completa di una rete aziendale da parte del ransomware BlackSuit.
Quello che seguirà è un viaggio all’interno di una kill chain articolata, dove ogni componente malevolo ha uno scopo ben definito e ogni passaggio è pensato per restare sotto il radar il più a lungo possibile. Un attacco in cui la pazienza è stata l’arma principale dell’attaccante, e dove la vera forza non stava nella velocità, ma nella silenziosa e metodica occupazione del perimetro digitale della vittima.
Fase uno: Initial Access e installazione del loader
Il primo passo dell’attacco è quello che, da sempre, si conferma tra i più efficaci e pericolosi: l’ingegneria sociale. L’attore minaccia ha creato un sito clone di Zoom, perfettamente curato, al punto da ingannare sia utenti comuni che utenti aziendali. Il file scaricato non è altro che un installer trojanizzato, apparentemente funzionante, ma che contiene al suo interno il primo componente malevolo della catena: d3f@ckloader.
Questo loader, come da definizione, non svolge direttamente attività offensive visibili, ma agisce come ponte verso i successivi payload. Una volta eseguito, instaura immediatamente una comunicazione cifrata con un server di comando e controllo (C2) e scarica componenti aggiuntivi. Tra questi, uno in particolare gioca un ruolo chiave nelle fasi iniziali dell’attacco: SectopRAT.
Fase due: accesso remoto e raccolta delle informazioni
SectopRAT (Remote Access Trojan) è uno strumento già noto nel panorama delle minacce, apprezzato dagli attori malevoli per la sua leggerezza e per l’ampia gamma di funzionalità che offre. Non solo permette l’accesso da remoto alla macchina infetta, ma include capacità di keylogging, cattura dello schermo, gestione dei file e monitoraggio delle attività dell’utente.
L’attaccante, sfruttando SectopRAT, inizia a mappare la rete, raccogliere informazioni sugli utenti, sulla configurazione delle macchine e sulle credenziali. Questa fase è cruciale: non si tratta ancora di un attacco visibile o distruttivo, ma di una fase silenziosa, dove ogni azione è mirata a costruire una conoscenza dettagliata dell’ambiente.
Dall’analisi del traffico e dei log, si osserva l’uso di numerose tecniche MITRE ATT&CK, tra cui:
- T1018 – Remote System Discovery, per identificare le macchine collegate alla rete.
- T1087.001 – Account Discovery: Local Account, per ottenere una panoramica degli utenti locali.
- T1047 – Windows Management Instrumentation, che consente interrogazioni e operazioni remote.
- T1003.001 – Credential Dumping: LSASS Memory, per l’estrazione di credenziali direttamente dalla memoria RAM del processo LSASS.
La tecnica del dump LSASS rappresenta un punto di svolta: consente all’attaccante di ottenere accesso privilegiato (local admin, domain admin) e preparare il terreno per il movimento laterale.
Fase tre: Post-Exploitation con strumenti avanzati
Dopo nove giorni di attività discreta, il gruppo cambia passo. Con le credenziali privilegiate in mano, l’attaccante carica due tra i più temuti strumenti di post-exploitation oggi in circolazione: Brute Ratel e Cobalt Strike.
- Brute Ratel è un framework offensivo moderno, progettato per evadere i sistemi EDR e rendere il rilevamento molto più difficile. Permette l’iniezione di payload in processi legittimi, il beaconing nascosto e tecniche sofisticate di mimetizzazione.
- Cobalt Strike, invece, è ormai un classico. I suoi beacon, distribuiti in varie macchine della rete, permettono all’attaccante di agire in parallelo, eseguire comandi, caricare moduli, elevare privilegi e avviare operazioni di lateral movement.
Viene inoltre attivato QDoor, un malware che funge da proxy per connessioni RDP, facilitando l’accesso a sistemi remoti attraverso tunnel cifrati. In questa fase l’attaccante dispone ormai di controllo totale sulla rete: può accedere, spostarsi, impersonare utenti e amministratori, raccogliere informazioni e prepararsi all’azione finale.
Fase quattro: esfiltrazione e fase d’impatto
Con i dati sotto controllo, si passa all’esfiltrazione, realizzata utilizzando il servizio cloud Bublup. Un sistema apparentemente innocuo, che consente la creazione di raccolte di file e note, ma che viene qui sfruttato per caricare informazioni sottratte: credenziali, configurazioni, dati sensibili.
Segue quindi il colpo finale: l’attivazione di BlackSuit, un ransomware moderno, veloce e altamente distruttivo. La diffusione del ransomware avviene tramite PsExec, strumento legittimo spesso abusato dai criminali informatici per propagare payload su tutte le macchine accessibili nella rete.
Il ransomware crittografa ogni file e lascia note di riscatto. L’azienda è ora completamente paralizzata. Tutto ciò è avvenuto nell’arco di 194 ore, ovvero circa otto giorni.
La mappa MITRE dei malware coinvolti
L’immagine allegata è una rappresentazione grafica e concettuale dell’attacco, che mostra le interrelazioni tra i malware coinvolti e le tecniche MITRE ATT&CK utilizzate. A sinistra e a destra, sono visualizzati i malware: da QDoor, BlackSuit e SectopRAT fino a Brute Ratel, Cobalt Strike e d3f@ckloader.
Al centro, in giallo, un fitto reticolo di tecniche evidenzia la complessità e l’intenzionalità dell’attacco. Tecniche come:
- T1105 – Ingress Tool Transfer, per il caricamento di payload.
- T1059.001 – PowerShell, per esecuzioni silenziose.
- T1560.001 – Archive Collected Data: Archive via Utility, usata per impacchettare i dati prima dell’esfiltrazione.
- T1021.002 – Remote Services: SMB/Windows Admin Shares, chiave nel movimento laterale.
- T1486 – Data Encrypted for Impact, la tecnica conclusiva del ransomware.
Questa mappa non è solo una fotografia, ma una radiografia strategica: dimostra come gli attori malevoli sfruttino in modo modulare strumenti diversi, ognuno specializzato in un compito preciso. La sovrapposizione delle tecniche mostra che questi strumenti condividono obiettivi comuni, e che l’attacco non è un evento isolato, ma il risultato di una pianificazione attenta e raffinata.
Considerazioni finali
Ciò che colpisce di più in questo attacco non è la sua violenza finale, bensì la pazienza e l’intelligenza operativa con cui è stato condotto. L’inizio silenzioso, il tempo dedicato alla scoperta, il furto metodico delle credenziali, la distribuzione strategica dei beacon e infine la detonazione del ransomware: ogni fase è stata eseguita con precisione chirurgica.
In questo scenario, le contromisure devono evolversi. Nessuna soluzione può da sola impedire un attacco così strutturato: serve un approccio stratificato, che includa EDR/XDR efficaci, segmentazione di rete, formazione continua del personale, una gestione attenta delle credenziali e soprattutto una visione strategica della sicurezza.
Perché in guerra, come in cybersecurity, chi si prepara meglio, vince.
L'articolo Dall’inganno di Zoom al disastro ransomware: viaggio nel cuore dell’attacco BlackSuit proviene da il blog della sicurezza informatica.
Clever Puck reshared this.
Eden
Eden
Ron Howard ha sempre amato cambiare genere, dirigendo film su astronauti, giornali, menti geniali, sirene e persino il Grinch. Ma con Eden, presentato al Festival di Toronto, si è spinto in territori completamente nuovi — e purtroppo, inadatti.www.altrenotizie.org
The will to live
If we accept the erosion of human rights for others, we may soon find ourselves subjected to that same treatment
by Mario Gerada, sul Times of Malta di Venerdì 11 aprile 2025
Tracing the #!: How the Linux Kernel Handles the Shebang
One of the delights in Bash, zsh, or whichever shell tickles your fancy in your OSS distribution of choice, is the ease of which you can use scripts. These can be shell scripts, or use the Perl, Python or another interpreter, as defined by the shebang (#!) at the beginning of the script. This signature is followed by the path to the interpret, which can be /bin/sh for maximum compatibility across OSes, but how does this actually work? As [Bruno Croci] found while digging into this question, it is not the shell that interprets the shebang, but the kernel.
It’s easy enough to find out the basic execution sequence using strace after you run an executable shell script with said shebang in place. The first point is in execve, a syscall that gets one straight into the Linux kernel (fs/exec.c). Here the ‘binary program’ is analyzed for its executable format, which for the shell script gets us to binfmt_script.c. Incidentally the binfmt_misc.c source file provides an interesting detour as it concerns magic byte sequences to do something similar as a shebang.
As a bonus [Bruno] also digs into the difference between executing a script with shebang or running it in a shell (e.g. sh script.sh), before wrapping up with a look at where the execute permission on a shebang-ed shell script is checked.
Maronno Winchester reshared this.
Creating a Somatosensory Pathway From Human Stem Cells
Human biology is very much like that of other mammals, and yet so very different in areas where it matters. One of these being human neurology, with aspects like the human brain and the somatosensory pathways (i.e. touch etc.) being not only hard to study in non-human animal analogs, but also (genetically) different enough that a human test subject is required. Over the past years the use of human organoids have come into use, which are (parts of) organs grown from human pluripotent stem cells and thus allow for ethical human experimentation.
For studying aspects like the somatosensory pathways, multiple of such organoids must be combined, with recently [Ji-il Kim] et al. as published in Nature demonstrating the creation of a so-called assembloid. This four-part assembloid contains somatosensory, spinal, thalamic and cortical organoids, covering the entirety of such a pathway from e.g. one’s skin to the brain’s cortex where the sensory information is received.
Such assembloids are – much like organoids – extremely useful for not only studying biological and biochemical processes, but also to research diseases and disorders, including tactile deficits as previously studied in mouse models by e.g. [Lauren L. Orefice] et al. caused by certain genetic mutations in Mecp2 and other genes, as well as genes like SCN9A that can cause clinical absence of pain perception.
Using these assembloids the development of these pathways can be studied in great detail and therapies developed and tested.
DAZIBAO: "PERSO CON LA RUSSIA, COMINCIA LA MOBILITAZIONE DELL'OPINIONE PUBBLICA VERSO IL NUOVO NEMICO: LA CINA"
Da Massini su la7, a Libero e il Corriere della Sera, uno schieramento bipartisan di opinionisti si scaglia contro una Cina che si sono inventati all'occorrenza: nella Cina di Massini il presidente cinese va a caccia di occidentali "sempre e ovunque nel mondo", la Cina di Libero ha distrutto l'industria europea mentre la Cina del Corriere della Sera vuole conquistare l'intero pianeta terra.
Non il prezzo spropositato dell'energia, non la finanziarizzazione dell'economia, non la militarizzazione del mercato e neppure gli insulti di Donald Trump pronunciati quotidianamente contro l'Europa. Secondo questi osservatori, non sono state le scelte della nostra classe dirigente a portarci al declino, ma le scelte della Cina, che hanno avuto la grave colpa di essere state scelte intelligenti. Ne parliamo in questo video!
Segui ComitatoDonbass
Gemini 2.0 + Robotics = Slam Dunk?
Over on the Google blog [Joel Meares] explains how Google built the new family of Gemini Robotics models.
The bi-arm ALOHA robot equipped with Gemini 2.0 software can take general instructions and then respond dynamically to its environment as it carries out its tasks. This family of robots aims to be highly dexterous, interactive, and general-purpose by applying the sort of non-task-specific training methods that have worked so well with LLMs, and applying them to robot tasks.
There are two things we here at Hackaday are wondering. Is there anything a robot will never do? And just how cherry-picked are these examples in the slick video? Let us know what you think in the comments!
youtube.com/embed/4MvGnmmP3c0?…
A Mouse, No Hands!
There are some ideas which someone somewhere has to try. Take [Uri Tuchman]’s foot mouse. It’s a computer mouse for foot operation, but it’s not just a functional block. Instead it’s an ornate inlaid-wood-and-brass affair in the style of a very fancy piece of antique footwear.
The innards of an ordinary USB mouse are placed in something best described as a wooden platform heel, upon which is placed a brass sole with a couple of sections at the front to activate the buttons with the user’s toes. The standout feature is the decoration. With engraving on the brass and inlaid marquetry on the wood, it definitely doesn’t look like any computer peripheral we’ve seen.
The build video is below the break, and we’re treated to all the processes sped up. At the end he uses it in a basic art package and in a piloting game, with varying degrees of succes. We’re guessing it would take a lot of practice to gain a level of dexterity with this thing, but we salute him for being the one who tries it.
This has to be the fanciest peripheral we’ve ever seen, but surprisingly it’s not the first foot mouse we’ve brought you.
youtube.com/embed/Lqgbl6JoYoQ?…
Altra lezione di umanità e coraggio che arriva direttamente dall'Africa, mentre qua nel "buono e democratico" occidente, "giardino del mondo", si stendono tappeti rossi per accogliere con tanto di onori i terroristi isrl.
Lunedì l'ambasciatore israeliano in Etiopia, Avraham Neguise, si è presentato alla riunione dell'Unione Africana dove si commemorava il genocidio in Ruanda del 1994.
Molti paesi africani si sono fortemente opposti alla presenza dell'ambasciatore israeliano e hanno bloccato tutto fino a quando non è stato cacciato via.
E alla fine l'hanno cacciato.
Grandi, grandissimi ❤️
GiuseppeSalamone
Ho praticamente mezzo secolo di vita.
Lo so che le statistiche sul meteo (che non è il clima) si fanno su tempi ben più lunghi.
E sarà anche che, come dice #Trump e molti nostri connazionali, il cambiamento climatico è una bufala, ma a me pare proprio caldo.
Il 26 di marzo, tornando a casa dalle montagne dive vive mia madre, ho dovuto accendere il condizionatore in auto, faceva troppo caldo.
Non l'avevo mai acceso così presto.
Oggi, di nuovo: 26 gradi.
Dunque, dicevamo...impressione solo mia? Hanno ragione i trumpisti nostrani?
No, perché la mia sensazione è CONFERMATA da mille analisi scientifiche.
Il #cambiamentoclimatico esiste, e questi sono i suoi effetti.
Carri, non chiacchiere. La ricetta Leonardo-Rheinmetall che supera il progetto franco-tedesco
@Notizie dall'Italia e dal mondo
Nel panorama europeo della difesa, segnato da iniziative ambiziose ma spesso ostacolate da divisioni politiche e frammentazioni industriali, l’intesa tra Italia e Germania sul nuovo carro armato destinato all’Esercito italiano si
Notizie dall'Italia e dal mondo reshared this.
Il caccia di sesta generazione franco-tedesco-spagnolo rischia di arenarsi (di nuovo)
@Notizie dall'Italia e dal mondo
Giambattista Vico parlava di corsi e ricorsi storici ma, nel panorama della difesa europea, e in particolare quando in ballo c’è Parigi, sarebbe forse più appropriato parlare di corsi e ricorsi industriali. È quanto sta accadendo (di nuovo) riguardo
Notizie dall'Italia e dal mondo reshared this.
freezonemagazine.com/news/nick…
The Making Of Five Leaves Left comprende demo non accompagnate, outtakes in studio e canzoni inedite che raccontano la storia di come l’album di debutto di Nick Drake Five Leaves Left sia stato pubblicato dalla Island Records nel 1969. Questa edizione in 4LP o 4CD, che sarà pubblicata il 25 luglio via Universal, autorizzata dalla Nick […]
L'articolo Nick
Il modello del Mes per la Difesa europea. La proposta all’Ecofin
@Notizie dall'Italia e dal mondo
La questione della difesa europea entra nel cuore dell’agenda economica dell’Unione. Alla riunione informale dell’Ecofin in corso a Varsavia, dove i ministri dell’Economia e delle Finanze si confrontano sul nuovo quadro fiscale dell’Unione, è infatti anche l’occasione per mettere sul tavolo –
Notizie dall'Italia e dal mondo reshared this.
freezonemagazine.com/news/sacr…
“I have a dream” No, nessuna intenzione di accostare quello che ognuno di noi coltiva nella propria mente, parafrasando il celebre discorso tenuto da Martin Luther King Jr. il 28 agosto 1963 davanti al Lincoln Memorial di Washington alla fine di una manifestazione per i diritti civili nota come la marcia su
don't like this
A parlare è Putin, ma potrebbe essere Trump
@Politica interna, europea e internazionale
L’intervista al Presidente è durata 90 minuti, a seguire ne riportiamo cinque passaggi emblematici estrapolati in ordine cronologico. Il primo: “I migranti possono uccidere, saccheggiare e stuprare impunemente perché i loro diritti devono essere tutelati…”. Il secondo, che è poi quello centrale: “L’ideale liberale é
Politica interna, europea e internazionale reshared this.
freezonemagazine.com/articoli/…
Muovendomi tra i banchi delle librerie, la mia attenzione viene attratta dalla sezione gialli o thriller. Gli autori americani sono sempre i miei più gettonati e l’acquisto prevalentemente finisce per ricadere da quelle parti. Prima di uscire con il bottino, la mia innata
freezonemagazine.com/news/koko…
Esce il prossimo 11 luglio il nuovo album dei Kokoroko. intitolato Tuff Times Never Last, del quale la band dice “è la condivisione dei nostri sentimenti, delle nostre speranze e dei nostri sogni, perché non sempre abbiamo avuto queste storie nel Regno Unito. Esplora l’unione, la comunità, la sensualità, l’infanzia, la perdita e
Scuola di Liberalismo 2025: Ermanno Ferretti – Lo scetticismo come base del liberalismo, da Socrate a Woody Allen
@Politica interna, europea e internazionale
Laureato in Storia contemporanea a Bologna, Ermanno Ferretti insegna storia e di filosofia nei licei. Durante la Pandemia ha iniziato a tenere delle videolezioni online capaci di
Politica interna, europea e internazionale reshared this.
Un gruppo di eurodeputati chiede una definizione rigorosa di open source nell’AI Act
L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale
Un totale di 30 eurodeputati progressisti mettono in guardia la Commissione dall’annacquare la definizione di AI “open source” per includere modelli con
Intelligenza Artificiale reshared this.
PODCAST. Guerra commerciale USA-CINA, Pechino risponde colpo su colpo
@Notizie dall'Italia e dal mondo
Con il multilateralismo e l'apertura Xi Jinping punta a fare da contraltare al protezionismo di Trump. Ascoltiamo la corrispondenza da Shanghai del nostro collaboratore Michelangelo Cocco.
L'articolo PODCAST. Guerra commerciale USA-CINA, Pechino risponde colpo su colpo
Notizie dall'Italia e dal mondo reshared this.
freezonemagazine.com/news/mark…
In libreria dal 16 aprile 2025 La scoperta dell’Abisso di San Sebastiano, capolavoro del Rinascimento pittorico olandese, e gli strepitosi saggi scritti da due giovani studenti di Oxford – Schmidt e il Narratore – fanno di entrambi mezze rockstar della critica d’arte. Dopo aver girato il globo, pubblicato best seller, allevato stuoli di discepoli, dopo […]
L'articolo Mark Haber –
SIRIA. I curdi chiederanno ufficialmente il federalismo
@Notizie dall'Italia e dal mondo
Incidono su questa proposta anche l’indignazione per gli eccidi di alawiti e la nuova dichiarazione costituzionale emessa dal governo ad interim, che l’amministrazione curda ritiene incompatibile con la diversità nazionale
L'articolo SIRIA. I curdi chiederanno ufficialmente il federalismo
Notizie dall'Italia e dal mondo reshared this.
Arriva un codice Ateco anche per prostitute ed escort
Il dettaglio elenca "attività connesse alla vita sociale, ad esempio accompagnatori e di accompagnatrici (escort)", le agenzie "di incontro e matrimoniali" e poi la "fornitura o organizzazione di servizi sessuali", l'organizzazione di "eventi di prostituzione o gestione di locali di prostituzione", e l'organizzazione di "incontri e altre attività di speed networking".
ilpost.it/2025/04/10/macron-fr…
la #Francia verso il #riconoscimento dello Stato di #Palestina
Nicola Pizzamiglio likes this.
Poliversity - Università ricerca e giornalismo reshared this.
#Turchia e #Israele, banchetto in #Siria
Turchia e Israele, banchetto in Siria
La nuova realtà siriana dopo la caduta del governo di Assad e la presa del potere del regime qaedista appoggiato dalla Turchia ha innescato dinamiche che stanno provocando pericolose tensioni tra Ankara e Tel Aviv.www.altrenotizie.org
The Nexus of Privacy reshared this.
Il frigorifero ti spia
@Privacy Pride
Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/il-frigo…
Claudia ci sta viziando e ci propone di nuovo il suo punto di vista, competente ed autorevole, sui comportamenti più comuni ed (apparentemente) innocenti. Grazie per aver disgregato le nostre confortanti illusioni. CB Che bella la domotica! Sei a Ovindoli per
Privacy Pride reshared this.
"You could count the number of skilled electronics engineers on US soil, and there's probably a million in Shenzhen alone."
"You could count the number of skilled electronics engineers on US soil, and therex27;s probably a million in Shenzhen alone."#Interviews #Tariffs #Manufacturing #Purism #LibertyPhone
How a $2,000 'Made in the USA' Phone Is Manufactured
"You could count the number of skilled electronics engineers on US soil, and there's probably a million in Shenzhen alone."Jason Koebler (404 Media)
Scarcerato Ahmad Manasra dopo 10 anni
@Notizie dall'Italia e dal mondo
Pur non avendo preso parte al ferimento compiuto nel 2015 dal cugino di due israeliani, Manasra quando aveva 13 anni venne ugualmente accusato di tentato omicidio
L'articolo Scarcerato Ahmad Manasra dopo 10 anni proviene da Pagine Esteri.
Notizie dall'Italia e dal mondo reshared this.
Poliversity - Università ricerca e giornalismo reshared this.
Intelligenza artificiale e data center: la sfida energetica che l’Europa non può ignorare, secondo l’IEA
L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale
L’Intelligenza artificiale (IA) sta emergendo come una delle tecnologie più influenti del nostro tempo, con il
reshared this
SUDAN. Amnesty: i paramilitari praticano la schiavitù sessuale
@Notizie dall'Italia e dal mondo
Il nuovo rapporto della ONG contiene i racconti di circa trenta vittime di stupri avvenuti tra aprile 2023 e ottobre 2024 in quattro stati del Paese
L'articolo SUDAN. Amnesty:pagineesteri.it/2025/04/10/med…
Notizie dall'Italia e dal mondo reshared this.
Simon Perry
Unknown parent • •