Imagine you own a weather station. Then imagine that after some years have passed, you’ve had to replace one of the sensors multiple times. Your new problem is that the sensor is no longer available. What does a hacker like [Luca] do? Build a custom solution, of course!

[Luca]’s work concerns the La Crosse WS-9257F-IT weather station, and the repeat failures of the TX44DTH-IT external sensor. Thankfully, [Luca] found that the weather station’s communication protocol had been thoroughly reverse-engineered by [Fred], among others. He then set about creating a bridge to take humidity and temperature data from Zigbee sensors hooked up to his Home Assistant hub, and send it to the La Crosse weather station. This was achieved with the aid of a SX1276 LoRa module on a TTGO LoRa board. Details are on GitHub for the curious.

Luca didn’t just work on the Home Assistant integration, though. A standalone sensor was also developed, based on the Xiao SAMD21 microcontroller board and a BME280 temperature, pressure, and humidity sensor. It too can integrate with the Lacrosse weather station, and proved useful for one of [Luca’s] friends who was in the same boat.

Ultimately, it sucks when a manufacturer no longer supports hardware that you love and use every day. However, the hacking community has a way of working around such trifling limitations. It’s something to be proud of—as the corporate world leaves hardware behind, the hackers pick up the slack!

hackaday.com/2024/11/26/recrea…

Most of us associate echolocation with bats. These amazing creatures are able to chirp at frequencies beyond the limit of our hearing, and they use the reflected sound to map the world around them. It’s the perfect technology for navigating pitch-dark cave systems, so it’s understandable why evolution drove down this innovative path.

Humans, on the other hand, have far more limited hearing, and we’re not great chirpers, either. And yet, it turns out we can learn this remarkable skill, too. In fact, research suggests it’s far more achievable than you might think—for the sighted and vision impaired alike!

Bounce That Sound

Bats are the most famous biologcal users of echolocation. Credit: Petteri Aimonen
Before we talk about humans using echolocation, let’s examine how the pros do it. Bats are nature’s acoustic engineers, emitting rapid-fire ultrasonic pulses from their larynx that can range from 11 kHz to over 200 kHz. Much of that range is far beyond human hearing, which tops out at under 20 kHz. As these sound waves bounce off objects in their environment, the bat’s specialized ultrasonic-capable ears capture the returning echoes. Their brain then processes these echoes in real-time, comparing the outgoing and incoming signals to construct a detailed 3D map of their surroundings. The differences in echo timing tell them how far away objects are, while variations in frequency and amplitude reveal information about size, texture, and even movement. Bats will vary between constant-frequency chirps and frequency-modulated tones depending on where they’re flying and what they’re trying to achieve, such as navigating a dark cavern or chasing prey. This biological sonar is so precise that bats can use it to track tiny insects while flying at speed.

Humans can’t naturally produce sounds in the ultrasonic frequency range. Nor could we hear them if we did. That doesn’t mean we can’t echolocate, though—it just means we don’t have quite the same level of equipment as the average bat. Instead, humans can achieve relatively basic echolocation using simple tongue clicks. In fact, a research paper from 2021 outlined that skills in this area can be developed with as little as a 10-week training program. Over this period, researchers successfully taught echolocation to both sighted and blind participants using a combination of practical exercises and virtual training. A group of 14 sighted and 12 blind participants took part, with the former using blindfolds to negate their vision.

The aim of the research was to investigate click-based echolocation in humans. When a person makes a sharp click with their tongue, they’re essentially launching a sonic probe into their environment. As these sound waves radiate outward, they reflect off surfaces and return to the ears with subtle changes. A flat wall creates a different echo signature than a rounded pole, while soft materials absorb more sound than hard surfaces. The timing between click and echo precisely encodes distance, while differences between the echoes reaching each ear allows for direction finding.
The orientation task involved asking participants to use mouth clicks to determine the way a rectangular object was oriented in front of them. Credit: research paperThe size discrimination task asked participants to determine which disc was bigger solely using echolocation. Credit: research paper
The training regime consisted of a variety of simple tasks. The researchers aimed to train participants on size discrimination, with participants facing two foam board disks mounted on metal poles. They had to effectively determine which foam disc was larger using only their mouth clicks and their hearing. The program also included an orientation challenge, which used a single rectangular board that could be rotated to different angles. The participants had to again use clicks and their hearing to determine the orientation of the board. These basic tools allowed participants to develop increasingly refined echo-sensing abilities in a controlled environment.

Perhaps the most intriguing part of the training involved a navigation task in a virtually simulated maze. Researchers first created special binaural recordings of a mannikin moving through a real-world maze, making clicks as it went. They then created virtual mazes that participants could navigate using keyboard controls. As they navigated through the virtual maze, without vision, the participants would hear the relevant echo signature recorded in the real maze. The idea was to allow participants to build mental maps of virtual spaces using only acoustic information. This provided a safe, controlled environment for developing advanced navigation skills before applying them in the real world. Participants also attempted using echolocation to navigate in the real world, navigating freely with experimenters on hand to guide them if needed.
Participants were trained to navigate a virtual maze using audio cues only. Credit: research paper
The most surprising finding wasn’t that people could learn echolocation – it was how accessible the skill proved to be. Previous assumptions about age and visual status being major factors in learning echolocation turned out to be largely unfounded. While younger participants showed some advantages in the computer-based exercises, the core skill of practical echolocation was accessible to all participants. After 10 weeks of training, participants were able to correctly answer the size discrimination task over 75% of the time, and at increased range compared to when they began. Orientation discrimination also improved greatly over the test period to a success rate over 60% for the cohort. Virtual maze completion times also dropped by over 50%.
Over time, participants improved in all tasks—particularly the size discrimination task, as seen in the results on this graph. The difficulty level of tasks were also scaled over time, presenting greater challenge as participants improved their echolocation skills. Credit: research paper
The study also involved a follow-up three months later with the blind members of the cohort. Participants credited the training with improving their spatial awareness, and some noted they had begun to use the technique to find doors or exits, or to make their way through strange places.

What’s particularly fascinating is how this challenges our understanding of basic human sensory capabilities. Echolocation doesn’t involve adding new sensors or augmenting existing ones—it’s just about training the brain to extract more information from signals it already receives. It’s a reminder that human perception is far more plastic than we often assume.

The researchers suggest that echolocation training should be integrated into standard mobility training for visually impaired individuals. Given the relatively short training period needed to develop functional echo-sensing abilities, it’s hard to argue against its inclusion. We might be standing at the threshold of a broader acceptance of human echolocation, not as an exotic capability, but as a practical skill that anyone can learn.

hackaday.com/2024/11/26/humans…

Aggiornare a una nuova versione di sistema operativo dovrebbe significare miglioramenti e nuove funzionalità. Tuttavia, l’update di Windows 11 24H2 sta portando con sé non pochi grattacapi, tra dispositivi USB non riconosciuti e giochi Ubisoft che si bloccano senza pietà. Ecco tutto quello che sta succedendo.

Dispositivi USB non rilevati

Dopo l’installazione di Windows 11 24H2, alcuni utenti si sono ritrovati con dispositivi USB che non vengono più riconosciuti. Il problema colpisce in particolare scanner e stampanti multifunzione che supportano il protocollo eSCL (eScanner Communication Language). Questo protocollo consente la scansione via USB o rete (Ethernet e Wi-Fi) senza bisogno di driver, ma un bug impedisce al dispositivo di passare correttamente dalla modalità eSCL a quella USB.

Non solo scanner e stampanti: anche fax, modem e dispositivi di rete con supporto eSCL sono coinvolti. Per evitare problemi, Microsoft ha deciso di bloccare l’installazione dell’aggiornamento sui PC con tali dispositivi collegati.

Per proteggere gli utenti, Microsoft ha bloccato l’installazione dell’aggiornamento sui PC che hanno questi dispositivi collegati. Gli utenti possono scegliere di attendere un fix ufficiale o scollegare temporaneamente i dispositivi per procedere con l’aggiornamento.

Impossibile giocare ad Assassin’s Creed e altri titoli Ubisoft

Gli appassionati di videogiochi non sono esenti dai problemi. Titoli come Assassin’s Creed Valhalla, Origins, Odyssey, Star Wars Outlaws e Avatar: Frontiers of Pandora stanno riscontrando incompatibilità gravi con Windows 11 24H2. I giochi spesso non si caricano o si bloccano con schermate nere, rendendo impossibile giocare.

Nonostante Ubisoft abbia rilasciato un fix temporaneo per Star Wars Outlaws (incluso in un aggiornamento da 8,83 GB), Microsoft segnala che i problemi di prestazioni persistono. Di conseguenza, anche in questo caso è stato applicato un blocco dell’aggiornamento per i dispositivi con questi giochi installati.

Blocchi mirati: la strategia di Microsoft

Per gestire queste problematiche, Microsoft ha applicato un compatibility hold, bloccando l’installazione di Windows 11 24H2 sui dispositivi potenzialmente interessati. Questa misura si applica sia ai PC con giochi Ubisoft problematici, sia a quelli con dispositivi USB eSCL collegati.

Conclusione

Gli aggiornamenti di sistema possono essere una lama a doppio taglio, come dimostra questo caos. Da una parte, Microsoft e Ubisoft stanno lavorando per risolvere i problemi; dall’altra, gli utenti devono convivere con bug che rendono frustrante l’esperienza. Il consiglio? Non forzare l’installazione e aspettare che le aziende rilascino soluzioni definitive.

Nel frattempo, chi gioca o usa dispositivi USB critici dovrebbe mantenere una versione stabile di Windows 11 e restare alla larga da aggiornamenti avventati. Perché, in fondo, nessuno vuole trovarsi con uno scanner muto e un gioco che non risponde.

L'articolo Windows 11 24H2: Dispositivi USB non rilevati e giochi Ubisoft bloccati proviene da il blog della sicurezza informatica.

Deno Land, sviluppatore del runtime Deno per JavaScript, TypeScript e WebAssembly, ha presentato una petizione per cancellare il marchio di Oracle per il termine “JavaScript” presso l’Ufficio brevetti e marchi degli Stati Uniti (USPTO). La petizione sostiene che Oracle si stia mantenendo illegalmente i diritti sul termine travisando la sua applicazione.

Gli argomenti principali di Deno sono che “JavaScript” è un termine comune, Oracle non lo utilizza a fini commerciali e la domanda di marchio è stata depositata utilizzando prove fraudolente. In particolare, Oracle ha fornito screenshot del sito web Nodejs.org come prova dell’uso commerciale del termine.

Ryan Dahl, fondatore di Deno e creatore di Node.js, ha osservato che l’azienda ha ripetutamente cercato di risolvere questo problema in modo pacifico. Nel 2022, Dahl ha inviato una lettera aperta a Oracle chiedendole di abbandonare il marchio, ma non ha mai ricevuto risposta. Nel settembre 2024 ci riprovò, raccogliendo le firme di più di 14mila sviluppatori, ma Oracle ancora una volta ignorò l’appello.

Dahl ha spiegato che l’obiettivo di Deno è rimuovere le barriere legali all’uso del termine “JavaScript” in prodotti, eventi e nomi di organizzazioni. Ha affermato che il marchio esistente crea confusione e porta a restrizioni inutili, inclusi avvisi di violazione.

È interessante notare che gli organizzatori della conferenza JSConf hanno scelto questo nome per evitare conseguenze legali associate all’utilizzo del termine completo “The JavaScript Conference”. Incidenti simili, comprese le richieste di smettere di usare il termine, si sono verificati in precedenza con altri progetti.

La petizione sostiene inoltre che Oracle in realtà non utilizza il termine “JavaScript” nei suoi prodotti, il che potrebbe costituire motivo di cancellazione del marchio. Se Oracle non rispondesse alla richiesta dell’USPTO entro il 4 gennaio 2025, Deno potrebbe prevalere per impostazione predefinita.

Dahl spera che Oracle riconosca che “JavaScript” appartiene a una comunità globale di sviluppatori, non a una sola azienda. Ha però anche precisato che in caso di controversia Deno è pronto a presentare prove per dimostrare che il marchio non è stato utilizzato in conformità alla legge.

L'articolo Deno sfida Oracle: La battaglia legale per il termine JavaScript si intensifica proviene da il blog della sicurezza informatica.

[ClownVamp]’s art project The Junk Machine is an interactive and eye-catching machine that, on demand, prints out an equally eye-catching and unique yet completely meaningless (one may even say corrupted) AI-generated advertisement for nothing in particular.

The machine is an artistic statement on how powerful software tools that have genuine promise and usefulness to creative types are finding their way into marketer’s hands, and resulting in a deluge of, well, junk. This machine simplifies and magnifies that in a physical way.

We can’t help but think that The Junk Machine is in a way highlighting Sturgeon’s Law (paraphrased as ‘ninety percent of everything is crud’) which happens to be particularly applicable to the current AI landscape. In short, the ease of use of these tools means that crud is also being effortlessly generated at an unprecedented scale, swamping any positive elements.

As for the hardware and software, we’re very interested in what’s inside. Unfortunately there’s no deep technical details, but the broad strokes are that The Junk Machine uses an embedded NVIDIA Jetson loaded up with Stable Diffusion’s SDXL Turbo, an open source AI image generator that can be installed and run locally. When and if a user mashes a large red button, the machine generates a piece of AI junk mail in real time without any need for a network connection of any kind, and prints it from an embedded printer.

Watch it in action in the video embedded below, just under the page break. There are a few more different photos on [ClownVamp]’s X account.

cdn.transientlabs.xyz/tlx/junk…

hackaday.com/2024/11/26/the-ju…

Introduction

In a recent incident response case, we dealt with a variant of the Mimic ransomware with some interesting customization features. The attackers were able to connect via RDP to the victim’s server after a successful brute force attack and then launch the ransomware. After that, the adversary was able to elevate their privileges by exploiting the CVE-2020-1472 vulnerability (Zerologon).

The identified variant abuses the Everything library and provides an easy-to-use GUI for the attacker to customize the operations performed by the malware. It also has features for disabling security mechanisms and running system commands.

This ransomware variant is named “Elpaco” and contains files with extensions under the same name. In this post, we provide details about Elpaco, besides already shared, as well the tactics, techniques and procedures (TTPs) employed by the attackers.

Analysis

First look at the sample

Our analysis started with a basic inspection of the sample. First, we verified its properties, such as the file type, strings and capabilities, as shown in the images below.

File type analysis

Interestingly enough, the malware used a 7-Zip installer mechanism, so it was classified as packed by most malware analysis tools and raised suspicions with detection tools.

File properties analysis

Entropy analysis

We inspected the file as a ZIP and found that the sample abused the Everything library, a legitimate filename search engine that provides fast searching and real-time updates by indexing files in Windows systems.

Malware archive contents

The artifact abused this library in similar ways to the Mimic ransomware discovered earlier by TrendMicro: it contained legitimate Everything applications (
Everything32.dll and Everything.exe) and a password-protected archive with malicious payloads, named Everything64.dll. The remaining file inside the archive was a legitimate 7-Zip utility for extracting the malicious archive contents. The Mimic ransomware searches for specific files using Everything APIs, encrypts user data, demands ransom payments, and exhibits sophisticated features like multi-threaded encryption to speed up the attack. Mimic also avoids detection by obfuscating its code, which makes it harder for security tools to detect and block the attack.
By analyzing Elpaco strings, we were able to identify the command used to extract the
Everything64.dll file, including its password.2e434 RunProgram="hidcon:7za.exe x -y -p7183204373585782 Everything64.dll"

7-Zip extraction command

When executed, the malware unpacked the archive and dropped the necessary files into the
%AppData%\Local directory, inside a separate directory with a randomly generated UUID as the name.C:\Users\user\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\
Destination directory

Sample contents

The archive contents are required for encrypting files and performing additional tasks in the operating system.

Elpaco structure

For example, the
DC.exe binary is the Defender Control tool for enabling and disabling Windows Defender. It is triggered by the sample once unpacked.

Defender Control (DC.exe) software

The sample also drops a file called
session.tmp into the same destination directory. This is a session key for resuming encryption if the malicious process is interrupted, as by a process kill.

session.tmp file

However, the most interesting artifact is
svhostss.exe, which is the main console used by the malware. It is worth mentioning that this name closely mimics svchost.exe, a legitimate Windows process. This naming pattern is often used by threat actors to confuse less experienced individuals during memory analysis. The svhostss.exe file is indeed the binary that performs malicious instructions. The malware comes with a GUI under the name gui40.exe, located in the same directory. It interacts with the console and facilitates operations like customizing ransomware properties, such as a ransom note or allowed directories/files, and performing actions in the target system.

DC.exe is called during runtime by svhostss.exe, with the /D available command for disabling

In the GUI, the operator can select entire drives for encryption, perform a process injection to hide malicious processes, customize the ransom note, change the encryption extension, set the order of encryption based on the original file format, and exclude specific directories, files or formats from encryption.

Ransomware GUI

Ransom note customization

It is also possible to kill certain processes specified by the operator and execute system commands, all of which makes this threat highly customizable.

Ransomware parameters

Data import and export

The sample allows for the import and export of malware configuration files according to the parameters set by the operator. There are several built-in templates within the malware for the operator to choose from. The image below shows an exported configuration file; note that each configuration is preceded by a number that represents its ID.

Custom configuration file

The console interface, running alongside the GUI, gathers detailed information about the system, including drives and file shares.

Information gathering by svhostss.exe

The malware creates the following registry keys — note that all files with the default
.ELPACO-team extension are classified as “mimicfiles” and configured to open the ransom note (Decryption_INFO.txt).HKLM\SOFTWARE\Classes\.ELPACO-team\: "mimicfile"

HKLM\SOFTWARE\Classes\mimicfile\shell\open\command\: "notepad.exe
"C:\Users\user\AppData\Local\Decryption_INFO.txt""
Also, the artifact configures the
Run registry key to execute svhostss.exe and display the ransom note at startup.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svhostss:
""C:\Users\user\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-
C8DF72D8F78A\svhostss.exe""

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svhostss.exe: "notepad.exe
"C:\Users\user\AppData\Local\Decryption_INFO.txt""
It is noteworthy that the main binary,
svhostss.exe, lacks significant protection from analysis, so we were able to easily see certain command executions performed by the malware.

Runtime strings

We were also able to find suspicious imports of the functions
FindFirstFileW, WriteFile, FindNextFileW and ShellExecuteW. These are typically used in ransomware samples for file manipulation, while the latter is often used for calling an external program, such as PowerShell, cmd.exe or a third-party component, for deleting the malware.

Function imports

In the case of the Elpaco and Mimic variants, it uses the
SetSearchW function exported from the legitimate Everything DLL to search the victim’s files, as shown in the images below. Interestingly enough, we detected no functions for data exfiltration.

SetSearchW function

Detection and analysis evasion

The artifact encrypts the victim’s files with the stream cipher ChaCha20. The key for this cipher is encrypted by the asymmetric encryption algorithm RSA-4096 — without the key we were unable to decrypt the files.

ChaCha20 call

As shown in the image below, all procedures performed by the ransomware during execution are logged to
C:\temp\MIMIC_LOG.txt. The artifact also drops a copy of the session.tmp key file into the same C:\temp directory.

MIMIC_LOG.txt file

The last step in malware execution is calling the
Del command to delete all executables, configuration files, DLLs, batch files and database-related files in the ransomware directory. Interestingly enough, before deleting, the sample uses the fsutil LOLBin, as shown in the image above, to securely erase svhostss.exe file, without the possibility of its recovery.

YARA rules

Based on our analysis of the sample, we developed the following YARA rules for detecting both the dropper and the console interface used by the GUI. The rules take into account the file type, relevant strings and library imports.

Elpaco dropper:
import "pe"

rule elpaco_dropper
{
meta:
author = "Kaspersky - GERT"
description = "Yara rule for detecting the Elpaco dropper."
target_entity = "file"

strings:
$s1 = "-p7183204373585782" wide ascii nocase
$s2 = "Everything64.dll" wide ascii nocase
$s3 = "ELPACO-team.exe" wide ascii nocase
condition:
(2 of ($s*)) and pe.imports("SHELL32.dll", "ShellExecuteW") and pe.imports("KERNEL32.dll",
"LoadLibraryA")
}
svhostss.exe (console interface):
import "pe"

rule elpaco_console
{
meta:
author = "Kaspersky - GERT"
description = "Yara rule for detecting the Elpaco/Mimic main console."
target_entity = "file"

strings:
$s1 = "powershell.exe -ExecutionPolicy Bypass" wide ascii nocase
$s2 = "Software\\Classes\\mimicfile\\shell\\open\\command" wide ascii nocase
$s3 = "cmd.exe /c DC.exe /D" wide ascii nocase
$s4 = "MIMIC_LOG.txt" wide ascii nocase
$s5 = "mimicfile" wide ascii nocase
$s6 = "Everything Setup..." wide ascii nocase
$s7 = "

Victims

We used these YARA rules on public sources to detect threat actors who had recently used the Elpaco sample and other Mimic variants, mainly in the United States, Russia, the Netherlands, Germany and France. However, their presence was not limited to those countries, with further cases detected in Canada, Romania, South Korea, the United Kingdom and so on.

Top 5 countries targeted by Mimic (download)

The following chart shows the evolution of Mimic appearances per month.

Mimic appearances per month, 2024 (download)

The collected data shows that Mimic variants, including Elpaco, have been used by attackers at least since August 2023.

Conclusion

In this incident, we observed that the Elpaco ransomware is a Mimic variant that abused the Everything DLL, which is used for file discovery. The artifact presented an interesting user interface for customizing its attributes, while allowing the operator to export the parameters to a configuration file. Unfortunately, the encryption algorithm makes it impossible to decrypt the files on an infected machine without the private key, which makes this threat hard to deal with. Another feature of Elpaco is that it deletes itself after encrypting files to evade detection and analysis. We have observed attacks with Elpaco and other Mimic samples on a massive scale, targeting a wide range of countries worldwide, and we’ll continue monitoring this threat.

Kaspersky products detect the threat described in this article with the following verdicts:

• HEUR:Trojan-Ransom.Win32.Generic (dropper).
• HEUR:Trojan-Ransom.Win32.Mimic.gen (svhostss.exe).

Tactics, techniques and procedures

Below are the TTPs identified from our malware analysis.

Indicators of Compromise

• 61f73e692e9549ad8bc9b965e25d2da683d56dc1 (dropper)
• 8af05099986d0b105d8e38f305efe9098a9fbda6 (svhostss.exe)

securelist.com/elpaco-ransomwa…

For a lot of electrical and mechanical machines, there are nominal and peak ratings for energy output or input. If you’re in marketing or advertising, you’ll typically look at the peak rating and move on with your day. But engineers need to know that most things can only operate long term at a fraction of this peak rating, whether it’s a power supply in a computer, a controller on an ebike, or the converter on a wind turbine. But this electric motor system has a unique cooling setup allowing it to function at nearly full peak rating for an unlimited amount of time.

The motor, called the Super Continuous Torque motor built by German automotive manufacturer Mahle is capable of 92% of its peak output power thanks to a unique oil cooling system which is able to remove heat and a rapid rate. Heat is the major limiter for machines like this; typically when operating at a peak rating a motor would need to reduce power output to cool down so that major components don’t start melting or otherwise failing. Given that the largest of these motors have output power ratings of around 700 horsepower, that’s quite an impressive benchmark.

The motor is meant for use in passenger vehicles but also tractor-trailer style trucks, where a motor able to operate at its peak rating would mean a smaller size motor or less weight or both, making them easier to fit into the space available as well as being more economically viable. Mahle is reporting that these motors are ready for production so we should be seeing them help ease the transportation industry into electrification. If you’re more concerned about range than output power, though, there’s a solution there as well so you don’t have to be stuck behind the times with fossil fuels forever.

Thanks to [john] for the tip!

hackaday.com/2024/11/26/electr…

Il presidente di Microsoft ha invitato Donald Trump a peroteggersi contro gli attacchi informatici provenienti da Cina e Iran nel mezzo di un’ondata di attacchi a livello nazionale contro funzionari governativi e campagne elettorali statunitensi.

Brad Smith, che è anche vicepresidente e consigliere generale della società, ha dichiarato al Financial Times che la sicurezza informatica “deve occupare un posto più ampio negli affari internazionali” e ha invitato il presidente eletto degli Stati Uniti a inviare un “messaggio chiaro”.

“Spero che l’amministrazione Trump faccia di più per contrastare gli attacchi informatici sponsorizzati dagli Stati, in particolare da Cina e Iran”, ha affermato Smith. “Non dobbiamo tollerare il livello di attacchi che stiamo vivendo oggi”.

Recentemente, le forze dell’ordine statunitensi hanno accusato la Cina di una massiccia campagna di spionaggio informatico che includeva l’hacking di diverse reti di telecomunicazioni statunitensi nel periodo precedente le elezioni.

Smith ha osservato che l’amministrazione Joe Biden ha compiuto “progressi significativi nel rafforzamento delle difese della sicurezza informatica”, ma ha aggiunto: “È necessario compiere ulteriori passi, in particolare nel prevenire e scoraggiare gli attacchi informatici da altri paesi”.

Secondo una ricerca di Microsoft, i clienti dell’azienda affrontano ogni giorno più di 600 milioni di attacchi informatici. I gruppi criminali e le agenzie governative uniscono sempre più le forze, si scambiano strumenti e conducono operazioni congiunte. A settembre, Smith ha testimoniato davanti al Senato degli Stati Uniti, chiedendo una maggiore interferenza digitale da parte di Cina e Iran nelle elezioni globali del 2024.

Tuttavia, la stessa Microsoft è stata criticata per i suoi scarsi standard di sicurezza. A marzo, il Cybersecurity Council degli Stati Uniti ha pubblicato un rapporto in cui indicava che la cultura della sicurezza dell’azienda era “inadeguata”. Nel 2023, gli hacker cinesi sono riusciti ad accedere a centinaia di account di posta elettronica, compresi quelli di alti funzionari della sicurezza statunitense, ospitati sui sistemi cloud di Microsoft.

In risposta, il CEO di Microsoft Satya Nadella ha affermato che la società intende rendere la sicurezza una priorità assoluta, anche legando la retribuzione dei dipendenti alle prestazioni di sicurezza. L’azienda sta inoltre apportando modifiche al sistema operativo Windows per accelerare il ripristino da incidenti come l’interruzione IT globale di luglio causata da un aggiornamento di sicurezza CrowdStrike non riuscito.

Oltre alle questioni di sicurezza informatica, Smith ha invitato il governo degli Stati Uniti ad “accelerare l’esportazione delle principali tecnologie digitali americane”, in particolare verso il Medio Oriente e l’Africa. Secondo lui i processi devono essere standardizzati in modo che la tecnologia americana possa raggiungere altre parti del mondo con la stessa rapidità della tecnologia cinese.

L'articolo Microsoft Esorta Trump: 600 milioni di cyberattacchi al giorno, il mondo deve reagire! proviene da il blog della sicurezza informatica.

Un attacco ransomware devastante ha paralizzato Blue Yonder, il gigante globale nella gestione delle supply chain, scatenando una crisi operativa senza precedenti che ha colpito supermercati nel Regno Unito e ha generato preoccupazioni a livello globale. L’azienda, che ha costruito la propria reputazione come fornitore di soluzioni AI-driven per la logistica e la distribuzione, si trova ora ad affrontare una delle sfide più difficili della sua lunga storia. Le ripercussioni di questo attacco sono enormi, non solo per Blue Yonder, ma per l’intero settore delle supply chain.

Blue Yonder: Un pilastro della Supply Chain globale

Blue Yonder, ex JDA Software, è una delle aziende leader mondiali nel fornire soluzioni di gestione della supply chain attraverso l’intelligenza artificiale. Con oltre 3.000 clienti, tra cui alcuni dei nomi più conosciuti al mondo come DHL, Renault, Morrisons, Starbucks, Nestlé, Tesco e 7-Eleven, Blue Yonder ha rivoluzionato il modo in cui le aziende gestiscono la domanda, l’inventario e la logistica. Con un fatturato annuo superiore a un miliardo di dollari e un team di 6.000 dipendenti, l’azienda ha costruito una solida reputazione nel settore della gestione delle supply chain.

Ma questa fiducia, guadagnata nel tempo, è stata messa a dura prova dal recente attacco ransomware che ha paralizzato i sistemi critici di Blue Yonder, mostrando quanto siano vulnerabili anche le più grandi aziende globali a minacce informatiche sempre più sofisticate.

L’attacco alla Supply Chain

Il 21 novembre 2024, Blue Yonder ha confermato di aver subito un attacco ransomware che ha compromesso gravemente il suo ambiente di hosting gestito. Questo incidente ha avuto un impatto immediato e devastante su numerosi clienti, in particolare supermercati nel Regno Unito come Morrisons e Sainsbury’s. Le catene di approvvigionamento, fondamentali per il rifornimento dei punti vendita, sono state paralizzate, con ritardi nelle consegne e una disponibilità di prodotti ridotta fino al 60%.

Morrisons ha dovuto ricorrere a processi di backup più lenti, mentre Sainsbury’s ha messo in atto i suoi piani di emergenza per cercare di mitigare i danni. La perdita di controllo su questi sistemi critici ha avuto effetti tangibili e immediati sulla disponibilità di beni essenziali per i consumatori, dimostrando quanto dipendenti siano i retailer e i produttori da soluzioni tecnologiche affidabili per gestire le proprie operazioni quotidiane.

La risposta di Blue Yonder

Da quando l’attacco è stato rilevato, Blue Yonder ha intrapreso una corsa contro il tempo per ripristinare i propri sistemi e contenere il danno. L’azienda ha collaborato con esperti di cybersecurity per implementare misure difensive e per avviare il processo di recupero, ma i tempi di ripristino non sono ancora chiari. Nonostante l’impegno profuso nel recupero dei dati e nel rafforzamento delle difese, le interruzioni nei sistemi gestiti continuano a persistere, alimentando un senso crescente di incertezza tra i suoi clienti.

Blue Yonder ha rassicurato i suoi partner dichiarando che non sono state rilevate attività sospette nel loro ambiente cloud pubblico, ma la mancanza di tempistiche certe per il ripristino completo continua a generare preoccupazioni. I clienti sono stati invitati a monitorare continuamente la pagina di aggiornamenti sul sito ufficiale dell’azienda, ma la situazione rimane critica.

Un’industria vulnerabile: L’attacco Ransomware e la sicurezza delle Supply Chain

Questo attacco ransomware solleva un’importante riflessione sulla sicurezza delle infrastrutture digitali moderne. Le supply chain globali, che dipendono sempre più dalle soluzioni SaaS e dai sistemi cloud, sono vulnerabili a questi attacchi sofisticati. Se una realtà come Blue Yonder, con ingenti risorse e anni di esperienza, può essere colpita così gravemente, è chiaro che anche altre aziende, in particolare quelle più piccole, potrebbero trovarsi in difficoltà ad affrontare minacce simili.

L’incidente mette in evidenza una vulnerabilità diffusa nell’industria tecnologica, dove attacchi ransomware come quello a Blue Yonder potrebbero causare danni per miliardi di dollari, con effetti a lungo termine sulla fiducia dei consumatori e sulla continuità operativa delle imprese. Le aziende devono comprendere che la protezione delle loro infrastrutture critiche non è più una questione di scelta, ma una necessità assoluta per garantire la loro sopravvivenza.

Nessuna rivendicazione al momento

Al momento, nessun gruppo di ransomware ha rivendicato la responsabilità dell’attacco, ma il fatto che questo tipo di attacco abbia preso di mira un attore così critico nella supply chain globale parla da sé sulla sofisticazione dei cybercriminali odierni. La portata di questa violazione suggerisce che la base clienti di Blue Yonder, che spazia tra settori e continenti, potrebbe trovarsi a gestire le ripercussioni di questo attacco per mesi a venire.

Conclusione

L’attacco a Blue Yonder è un monito chiaro per tutte le aziende che operano nel campo della supply chain: la sicurezza informatica non è solo una priorità, ma una necessità critica per la continuità operativa. Questo incidente ha messo in luce quanto sia fragile l’intero ecosistema delle supply chain quando le difese informatiche non sono adeguate.

Con il panorama delle minacce in continua evoluzione, le aziende devono adottare un approccio più aggressivo e proattivo verso la cybersecurity, investendo risorse per proteggere i propri sistemi critici e i dati sensibili. L’esperienza di Blue Yonder, per quanto dolorosa, offre una lezione fondamentale: una solida preparazione e una risposta tempestiva possono fare la differenza tra il superamento di una crisi e un danno irreparabile.

L'articolo Attacco Ransomware a Blue Yonder: Supermercati e giganti del Retail in crisi proviene da il blog della sicurezza informatica.

Questa è la continuazione della storia di Conti. Potete leggere la parte precedente, che riguardava le origini del gruppo, nell’articolo apposito. In questa sede esploreremo le componenti interne del gruppo e come il loro ecosistema abbia iniziato lentamente a collassare. Wizard Spider è ancora pieno di sorprese e in questo episodio sveleremo quelle più proibite.

The Fool – Trick or Treat

Metà del 2021, Conti domina le prime pagine dei giornali con attacchi costanti e guadagni dai riscatti dalle vittime. L’operazione RaaS ha fatto parlare di sé nell’ecosistema, attirando l’attenzione di tutti i soggetti coinvolti, comprese le vittime, gli affiliati e le forze dell’ordine. Ma questo è solo un pezzo dell’intero puzzle.

Le operazioni Trickbot non si sono mai fermate e anzi continuavano ad evolversi. Come scritto nell’articolo precedente, Trickbot è diventato uno strumento popolare anche al di fuori delle operazioni Conti grazie al passaggio ad un modello Malware-as-a-Service (MaaS). Con un canone mensile, chiunque poteva utilizzare il famigerato Trojan modulare, che è stato costantemente sotto sviluppo (in questo articolo di CyberInt potete trovare alcuni dei moduli e dei metodi di distribuzione).

Il governo federale degli Stati Uniti aveva bisogno di contrastare gli attacchi ransomware e digitali, che hanno ricevuto un’enorme spinta grazie a questo nuovo ambiente sotterraneo esploso dopo il Ransom Cartel. Un piccolo passo indietro al 2020, le elezioni americane sono state previste per il 20 novembre. Quando abbiamo descritto il toolset di Wizard Spider/Conti nell’articolo precedente, abbiamo trattato anche le capacità di Ryuk Stealer. Alcune delle caratteristiche includevano l’esfiltrazione automatica di file che contenevano parole chiave specifiche (nel nome e nei contenuti) altamente correlate ad asset dei vari governi occidentali.

Tutto ciò ha evidenziato come il gruppo dietro Ryuk, TrickBot e Conti avesse particolari interessi politici al di là dei meri scopi economici. Ovviamente l’origine degli attacchi è stata attribuita ai russi. Gli Stati Uniti erano preoccupati per la potenziale influenza o il sabotaggio delle imminenti elezioni, il che ha motivato le forze dell’ordine a lanciare operazioni offensive contro l’infrastruttura botnet TrickBot.

Il Cyber Command statunitense (mai confermato dall’agenzia stessa), guidato dal direttore dell’NSA Paul M. Nakasone, ha effettuato un’operazione di disturbo dell’intera infrastruttura della botnet TrickBot nel 2020. A settembre la botnet è stata invasa da file di configurazione intenzionalmente falsati per impostare la comunicazione con il server C2 sull’indirizzo IP localhost.

Snippet of the configuration files (KrebOnSecurity)

La nuova configurazione ha interrotto le comunicazioni del Trojan, bloccando di fatto parte delle sue operazioni, in particolare gli attacchi Ransomware. Inoltre, Microsoft ha intrapreso una serie di azioni legali per bloccare completamente le macchine di TrickBot. In meno di due settimane l’azienda è riuscita a spegnere 120 dei 128 server (fonte Microsoft).

Un duro colpo per TrickBot, ma non per molto tempo… in realtà più breve del previsto. In qualche modo gli sviluppatori “evil” hanno incorporato un meccanismo di recupero con l’obiettivo di recuperare i canali di comunicazione interrotti con gli agents di TrickBot nel caso in cui l’infrastruttura venisse modificata. La resilienza sembrava essere la priorità più importante per il gruppo TrickBot. L’operazione non è un buco nell’acqua solo perché la rapidità di recupero e l’adattabilità della minaccia sul piano tecnico sia stata repentina, ma è stata un messaggio per tutti che mostra la posizione del governo statunitense contro gli attacchi digitali e gli ambienti criminali con un approccio proattivo.

La direzzione di Paul M. Nakasone, sotto l’amministrazione, Trump è stata chiara: “impegno persistente”, “difesa in avanti” e “caccia in avanti” piuttosto che prevenzione e mitigazione passiva. Non ci sono prove che TrickBot sia stato utilizzato specificamente su obiettivi con finalità di sabotaggio elettorale, ma gli attacchi ransomware tramite il trojan sono continuati con lo stesso ritmo anche dopo l’elezione di Biden.

Paul M. Nakasone

Un mandato di arresto per gli sviluppatori e i manutentori di TrickBot è stato emesso nell’Agosto 2020. Abbiamo dovuto aspettare fino all’inizio del 2021 per avere alcuni di questi individui ammanettati, a Febbraio “Max” è il primo membro di TrickBot che ha dovuto affrontare la dea bendata.

Ladies and gentelmen, Alla Witte, 55 anni, in arte “Max”.

Prima di parlare delle accuse che ha dovuto affrontare, facciamo una piccola nota su come Alla Witte è stata (presumibilmente) scoperta. Prima di tutto date un’occhiata alla pagina URL haus sul sito personale di “Max”. Notate la parola chiave “RED”.

Non è la prima volta che Witte mescola la vita personale con le sue attività underground: nel Dicembre 2019, ha infettato uno dei suoi dispositivi con TrickBot rubando i dati e memorizzando tutto ciò che conteneva sul server C2 (fonte Hold Security). Inoltre, sui profili dei social media, Witte cita “Max” come una persona a lei molto vicina. In breve, l’Operational Security (OPSEC) non era tra le abilità più acute di Alla Witte, creando lacune utili alle forze dell’ordine che stavano cercando di de-anonimizzare “Max”.

All’epoca dei fatti, Witte viveva in Suriname e lavorava come sviluppatrice web freelancer. L’arresto è avvenuto a Miami il 6 febbraio 2021. L’accusa nei suoi confronti comprendeva :

1. Frode informatica e furto d’identità (aggravato)
2. Sviluppo, amministrazione e manutenzione di TrickBot
3. Distribuzione di TrickBot
4. Frode telematica e bancaria
5. Riciclaggio di denaro

È possibile trovare l’intero mandato d’arresto sul sito ufficiale del USA Justice department, dalle indagini risulta qualcosa di interessante: la reputazione di Alla Witte all’interno del gruppo. La maggior parte dei membri conosceva il suo sesso e il suo vero nome, riferendosi a lei come un figlio farebbe con la madre. Aveva prestigio per le sue capacità tecniche, i membri di TrickBot furono davvero felici di sapere che Witte era a capo del processo di sviluppo.

Le indagini hanno scoperto che l’origine di TrickBot risiede nel trojan bancario Dyre, nel 2023 Alla Witte è stata condannata a 2 anni e 8 mesi di carcere.

L’elenco era ancora lungo e Witte era solo la punta dell’iceberg. Il prossimo individuo è Vladimir Dunaev, alias “FFX” (38 anni). Residente in Russia (regione di Yakutsk), a metà ottobre 2021 Vladimir è stato arrestato in Corea del Sud (non sono stati resi noti i motivi del trasferimento) ed estradato negli Stati Uniti. Dovrà affrontare un processo con un massimo di 60 anni di carcere.

Vladimir Dunaev

BleepingComputer, a suo tempo, ha pubblicato una tabella tratta dal documento di accusa che mostra le attività di Dunaev all’interno del gruppo TrickBot

FFX si è dichiarato colpevole nel 2023 e il 20 marzo 2024 è stato condannato a 5 anni e 3 mesi di carcere. Gli sviluppatori di TrickBot sono stati messi sotto pressione da questi due arresti. I funzionari governativi statunitensi hanno dichiarato di aver identificato altri individui responsabili della distribuzione, dello sviluppo o delle attività di riciclaggio di denaro relative al gruppo del Trojan modulare.

Le operazioni di TrickBot non si sono fermate ma è chiaro che il campo di battaglia è cambiato, Conti e i governi dei principali paesi occidentali si avrebbero lottato testa a testa!

The Hermit – Snatch & Snitches

Nell’agosto 2021 la scena del ransomware si è trasformata da gatto randagio a pantera urbana: LockBit 2.0 è fuori, il flusso di denaro è più grande che mai, l’attacco Colonial Pipeline e il mercato degli Initial Access Brokers sono diventati più popolari. L’ecosistema è ormai maturo con un pizzico di “professionalità”, ma cosa succede quando sono le “dark-companies” mancano di trasparenza e onestà?

Dovremmo analizzare cosa è successo con l’utente del forum XSS chiamato m1Geelka.

Questo ex affiliato di Conti (davvero arrabbiato) ha fatto trapelare i manuali forniti agli aggressori per esfiltrare i dati e distribuire il loro ransomware. Le guide riguardavano l’ambiente Active Directory, enumeration e attacchi comuni abusando una configurazione errata o vulnerabilità note (PrintNightmare, EternalBlue e ZeroLogon).

Con un ordine, perché questa persona si è arrabbiata? Nel suo blogpost è abbastanza chiaro che la motivazione era quella di pagamenti minori basati esclusivamente su “quanto loro [Conti] faranno sapere che la vittima paga”. Il programma di affiliazione era 70/30, 70% agli attaccanti e 30% al RaaS, il punto è la differenza tra la richiesta di Conti e l’importo reale del riscatto. Purtroppo non è trapelato nulla di critico, nessun codice sorgente, nessuna chat segreta e nessuna identità rivelata. Aspettate un po’ per questo )).

Sono state scoperte alcune specifiche utilizzate dagli affiliati: un forte uso di Cobalt Strike, script powershell e procedure per esfiltrare i dati (installare agenti RDP e caricare tutto su MEGA/FileZilla upload). Le figure più tecniche si alzerebbero per un attimo con un’espressione di sorpresa sul volto, la procedura descritta è semplice, davvero basilare.

In qualche modo lo staff di Conti ha voluto creare una documentazione per gli attaccanti inesperti, probabilmente per due motivi: facilità di inganno e “quantity over quality” con attacchi standardizzati. Se le parole dell’affiliato fossero vere, significherebbe che il pagamento totale per un attacco è stato di $2100, anche senza conoscere lavittima in questione è piuttosto irrealistico dato che il riscatto medio ammontava (all’epoca) a +$100K. Possiamo credere alle parole dell’affiliato con un ampio margine di sicurezza.

Come fanno le aziende “legali”, Conti si stava approfittando di alcuni dipendenti solo per profitto. La guida conteneva alcuni indirizzi IP e alcuni IOC minori che alcuni importanti fornitori avevano aggiunto alle loro soluzioni utile per la profilazione della minaccia Conti.

Screenshot of Conti’s Active Directory Manual

Nel caso in cui vogliate entrare in contatto con i contenuti del leak, ForbiddenProgrammer ha creato un GitHub pubblico con tutto il necessario.

Four of Swords – Operational Briefing

Finora abbiamo trattato molto di Conti in termini di evoluzione e di tempistica, ma prima di continuare il nostro viaggio è necessario fermarsi e menzionare alcuni attacchi effettuati da Conti RaaS nel 2021. Abbiamo già parlato dell’attacco ransomware ai danni del HSE irlandese, quindi vediamo di analizzare altre operazioni significative.

• London Graff Jewellers: Alla fine di ottobre Conti è riuscita a esfiltrare e criptare i dati di Graff Jewellers, un noto marchio britannico. Conti ha pubblicato 61.000 file sul proprio DLS, affermando che si trattava solo dell’1% del totale dei file esfiltrati; i file contenevano informazioni sulla fatturazione e sulle spedizioni di VIP come David Beckham, Donald Trump e membri delle famiglie reale arabe. Graff ha dovuto chiudere le proprie reti e durante le indagini forensi ha ritenuto che fossero stati rubati 11.000 dati di clienti. Conti ha chiesto decine di milioni come riscatto. L’11 novembre Conti decise di pubblicare un aggiornamento sull’attacco londinese di Graff, affermando che cancellerà definitivamente i file relativi alle famiglie arabe, dell’EAU e del Qatar, mentre rilascerà i dati relativi alla “plutocrazia neoliberale USA-Regno Unito-UE”. Dichiarazione interessante, l’“anima” del gruppo li ha spinti a danneggiare il più possibile i Paesi occidentali in ogni attacco che compiono. Si cita anche il Daily Mail per l’articolo che ha fatto capire al RaaS che tipo di dati sono stati trafugati, rimanendo fedele alle parole di Conti che non ha analizzato correttamente i contenuti esfiltrati.

• JVCKenwood: Anche la multinazionale giapponese ha avuto l’onore di essere pubblicata su Conti DLS. 7 MLN di dollari di riscatto per il decryptor e la non pubblicazione di 1,7 TB che sono stati rubati, come prova hanno fornito una scansione PDF del passaporto di un dipendente. I server colpiti sono stati quelli responsabili delle vendite in Europa. L’azienda ha dichiarato che l’accesso non autorizzato ai propri server ha avuto origine da un gruppo sussidiario residente in Europa, l’ipotesi dei professionisti è che Conti abbia acquistato l’accesso da uno IAB.

• Exagrid: Dopo meno di un mese dall’attacco dell’HSE irlandese, una nuova vittima è stata costretta a fare i conti con Conti: si tratta di Exagrid, una società di backup a livelli. Il gruppo ha dichiarato di aver criptato server SQL e file server, rubando 800 GB di dati. Sono rimasti all’interno della rete per un mese “abbastanza per studiare tutta la vostra documentazione”. L’azienda ha negoziato fino al 13 maggio, quando è stato raggiunto un accordo: in un primo momento il RaaS ha offerto uno sconto di 1 MLN di dollari, ma le trattative si sono concluse con un accordo di pagamento di 2,6 MLN di dollari. Un dettaglio curioso è che dopo l’invio del decriptatore Exagrid ne ha richiesto uno nuovo perché quello originale era stato distrutto per errore. Questo attacco è stato un colpo critico al prestigio dell’azienda, che è stata premiata 7 volte con riconoscimenti del settore per essere tra “le migliori soluzioni per le procedure di recupero a seguito di attacchi ransomware”.

• Broward County Schools: Il 7 marzo 2021, il distretto delle scuole pubbliche della contea di Broward ha trovato l’infrastruttura distrutta e non disponibile. Non ci è voluto molto prima che trovassero una nota di riscatto da parte del “ContiLocker Team” con un link alla chat di negoziazione. Qui abbiamo alcune schermate della chat che sono piuttosto interessanti da leggere. Conti ha chiesto un riscatto di 40 MLN di dollari poiché, come hanno dichiarato, il distretto colpito ha un fatturato di 2 BLN di dollari. Per il RaaS sembrava un prezzo “ragionevole” per il recupero. La contea di Broward è un distretto scolastico pubblico e non privato, ma Conti ha sostenuto il contrario: quando il rappresentante della vittima ha chiesto un pagamento di 500.000 dollari, il gruppo ha risposto con “Ragazzi, siete stati assunti dalle Broward Schools e sappiamo esattamente chi siete […] Abbiamo pagato e assunto la società di outsourcing e sappiamo esattamente che la vostra società di recupero ha ricevuto un bonifico da Broward (bankofamerica), ecco perché siamo pronti ad accettare 10 milioni di dollari”. Il rappresentante mantiene la sua posizione, Conti decide di abbandonare la trattativa e di caricare pubblicamente la chat.

Al di fuori degli attacchi Conti nel 2021 ha deciso di vendere l’accesso delle vittime terzi con una nuova funzionalità del proprio modello di business. Il RaaS estendeva le funzionalità del malware e gli strumenti per far saltare il backup delle vittime. Conti è cresciuta in termini di denaro, affiliati e capacità. Non perdono occasione per fare l’occhiolino o per far vergognare i paesi occidentali (Stati Uniti, Regno Unito e Unione Europea) e nel frattempo guadagnare il più possibile.

The World – No Angels in the game, just Demons

Il 2022 è iniziato e Conti ha continuato a popolare il DLS. Tutto stava tornando al normale benessere dopo 2 anni di COVID-19 e di perdite economiche, lentamente il mondo si stava riprendendo ed era pronto a stabilizzarsi. Il 24 febbraio il presidente Putin annunciò il dispiegamento di truppe russe nel Donbass per sostenere i corpi separatisti nelle regioni di Donetsk e Luhansk proteggendoli dal “genocidio” causato dall’Ucraina, pochi minuti dopo le sue parole si trasformarono in realtà. Il resto è storia pronta ad essere scritta quando la guerra avrà raggiunto la sua conclusione.

In quel periodo i gruppi di ransomware non erano troppo espliciti sulle loro posizioni politiche pubblicamente, non è una buona idea mischiare la politica con il business. Il 25 febbraio Conti pubblica un nuovo post sul DLS, questa volta senza nuove vittime. Solo un messaggio al mondo.

Si tratta di una novità nel panorama dei ransomware. Conti non si limita a prendere posizione, ma minaccia anche gli altri Paesi di non attaccare con “qualsiasi attività di guerra” contro la Russia, pena ritorsioni digitali.

I titoli dei giornali sono stati inondati dalle loro dichiarazioni, mentre i non addetti ai lavori erano confusi, scettici o spaventati. È difficile da digerire quando lo stesso gruppo che ha bloccato buona parte del sistema sanitario irlandese è pronto a premere il grilletto sulle tue infrastrutture critiche.

Per un po’ il silenzio e la tensione sono stati gli unici elementi che hanno dominato la stanza. In meno di una settimana qualcosa di nuovo ha scosso, ancora una volta, l’ambiente dell’infosec, ma questa volta non da Conti.

Il 27 febbraio Conti ha capito che la sua posizione e le sue minacce avevano un prezzo e un security researcher ucraino era lì pronto a rispondere una volta per tutte. L’account ContiLeaks su Twitter/X ha annunciato con un link che sono trapelati 13 mesi di registri di chat di Conti.

twitter.com/ContiLeaks/status/…

Tutti i messaggi dal 29 gennaio (2021) al 27 febbraio (2022) sono ora disponibili per tutti. I messaggi provengono da un server Jabber e dai log di Rocket Chat. Alcuni nomi utente sono ricorrenti: Defender, Stern, Mango e Target (quest’ultimo da tenere presente), solo per citarne alcuni. Anche “Max” (Alla Witte) è presente nei log di chat.

Check Point Research ha fatto un lavoro straordinario con un’analisi approfondita dei log delle chat, e qualcosa di speciale è il loro grafico che rappresenta l’organigramma del gruppo.

Anche se si trattava solo di un piccolo graffio, ciò che è emerso dall’analisi è stato tra il brillante e il sorprendente. La struttura del gruppo è davvero lontana da un semplice gruppo di specialisti informatici. Risorse umane, sysadmin, affiliati, negoziatori, operatori e sviluppatori sono ben distinti tra loro, con orari e giorni di riposo come in una normale azienda. Hanno anche progetti esterni al malware, come la creazione di un social media per i blackhats. Anche il programma “dipendente del mese” faceva parte della struttura aziendale di Conti: gli individui che ottenevano risultati migliori venivano ricompensati con una busta paga extra.

Per capire quanto siano professionali queste persone si tenga conto che quando è uscito Windows 11 Conti aveva un team responsabile proprio del reverse engineering del software alla ricerca di nuovi exploit e abusi.

Le chat includono reclutamento, aggiornamenti, richieste di eseguibili/DLL per la crittografia e relazioni con altre famiglie di ransomware come Ryuk, Maze e LockBit (a quanto pare, LockBitSupp in persona si è unito alla chat con lo pseudonimo “Brom”). Una buona parte del processo di sviluppo riguardava l’elusione degli AV, dove i “dipendenti” chiedevano al loro “supervisore” di acquistare CarbonBlack AV e altri importanti prodotti AV/EDR. Lo stesso vale per il Reverse Engineering e i test, per i quali è stato acquistato un SonicWall ricondizionato (SMA 410, il nuovo modello dell’epoca).

ContiLeaks non era abbastanza soddisfatto e così l’1 e il 2 marzo ha rilasciato nuovi log freschi dai jabbers

twitter.com/ContiLeaks/status/…

twitter.com/ContiLeaks/status/…

twitter.com/ContiLeaks/status/…

Su queste nuove chat abbiamo una conversazione tra Mango e JhonyBoy77 in cui si parla di una email esfiltrata riguardo Alexei Navalny

Inoltre, le chat hanno incluso l’opinione dei membri sull’Ucraina, la Russia e la guerra nel Donbass.

Patrick: La guerra era inevitabile, l’Ucraina ha presentato una richiesta per le armi nucleari in suo possesso
Weldon: le scimmie non spiegano le cose, si arrampicano sugli alberi
Elijah: @patrick ben fatto e fatto. Comunque, nessuno la userà mai. Sì, solo per spaventare
Elijah: Guardate, i missili della Corea del Nord arrivano periodicamente nelle acque territoriali della Federazione Russa. Ma nessuno se ne preoccupa. E tra l’altro hanno armi nucleari. Ma in qualche modo nessuno si è allarmato
Patrick: vecchio mio, ti sbagli, non ci sono dubbi sulla Corea del Nord ora. Nessuno è contento della guerra, fratelli, ma è ora di processare questa banda neonazista di figli adottivi di Canaris.

La loro idea su Zelensky non è ovviamente tenera e hanno colto l’occasione per sottolineare le sue origini ebraiche

Weldon: Zelensky è un ebreo. Oh, cazzo!
Kermit: Ebrei. Oh, fantastico. I miei preferiti
Weldon: Esatto, non ebreo, ma ebreo.
Kermit: cazzo, vorrei essere ebreo. basta nascere ebreo per essere considerato membro di una società segreta e incasinare la vita dei russi.
Weldon: è nato un tartaro – ha pianto un ebreo
Gelmut: tartaro nero di Crimea nato a Odessa, che ha ricevuto la cittadinanza russa 😀
Weldon: Obama?
Gelmut: Un bambino ebreo si avvicina ai genitori e dice: “Voglio essere russo”. Al che i genitori rispondono: – Se vuoi essere russo, vai all’angolo e stai lì tutto il giorno senza cibo. Mezza giornata dopo, i genitori chiedono: “Come fai a vivere da russo? E il ragazzo risponde: – Sono russo solo da due ore, ma già odio voi ebrei.

Sempre in riferimento all’Ucraina, definiscono Holomodor come una sorta di “favola”.

Molti messaggi sessisti e omofobici sono stati inviati nella chat di rocket senza alcun problema con gli altri membri a seguirli.

La cosa più disturbante è il “black humor” sugli abusi ai danni dei bambini

Angelo: è possibile scopare le ragazze mentre dormono?
Elroy: No, dormi abbastanza, poi, la sera…
Angelo: ok, rimetto la cassetta a posto
Benny: filmato iconico…

Inoltre, condividono con gli altri ciò che stanno guardando

Kermit: dopo il mio link tutti sono andati a provare sicuramente
Angelo: cp che cos’è?
Kermit: Pornografia infantile (“child porngraphy”)
Angelo: No, anche sotto i 17 anni non c’è modo
Kermit: Dai
Angelo: Beh, 16
Kermit: A 16 anni ci sono certe ”lyali”

A prescindere da questi argomenti di discussione problematici e inquietanti, la maggior parte dei messaggi mostra che i ragazzi di Conti sono persone normali con la loro vita quotidiana, i loro vizi e le loro famiglie. Le loro tesi sull’Ucraina e altri individui anti-russi sono in linea con la narrativa russa, la decisione di sostenere esplicitamente la Russia non è un qualcosa della quale sorprendersi.

Le chat non sono state l’unica cosa a provenire dalla clandestinità: sono stati leakati anche i codici sorgente del ransomware Conti e del backend di TrickBot. Quest’ultimo è stato estremamente utile per raccogliere tutti gli IoC e prevenire alcuni degli attacchi che utilizzavano quell’infrastruttura, un buon colpo visto che lo strumento è stato pesantemente utilizzato nelle operazioni di ransomware.

Il codice sorgente di Conti ha una storia completamente diversa, il vero ritorno di fiamma deve ancora arrivare. Un gruppo di hacker sotto l’etichetta NB65 ha infranto le regole non scritte del Ransomware: Mai. Attaccare. paesi. CIS. Hanno preso il codice sorgente trapelato, modificato alcune parti e rimosso le salvaguardie linguistiche che evitava la crittografia all’interno della macchina dei Paesi della CSI. Quando tutto era pronto, hanno iniziato ad attaccare le aziende russe e, invece delle tipiche note di riscatto che richiedono il pagamento di un riscatto, hanno scritto una nota testuale che avverte che gli attacchi sono dovuti all’invasione dell’Ucraina da parte della Russia.

Le aziende colpite sono Tensor (operatore gestionale di documenti), Roscosmos (industria spaziale) e VGTKR (nota azienda radiotelevisiva di proprietà della Russia). VGTKR è stata colpita da un’enorme esfiltrazione di dati, 786,2 GB, la maggior parte dei quali sono e-mail e file. Questa volta non c’è DLS, tutto può essere trovato sulla pagina web di Distributed Denial of Secret. I documenti sensibili trapelati includono prove dell’influenza del Cremlino sulla direzione dei contenuti trasmessi e alcuni “consigli” su come coprire eventi specifici direttamente dall’FSB.

twitter.com/xxNB65/status/1507…

twitter.com/xxNB65/status/1534…

Conti ha imparato che le provocazioni non sono sempre la scelta migliore, la sua posizione sull’Ucraina ha probabilmente fatto arrabbiare molte persone anche all’interno del suo stesso gruppo. ContiLeaks ha rilasciato un’intervista alla CNN fornendo alcune informazioni sulla propria missione.

Ha confermato di essere ucraino e ha motivato la fuga di notizie con “Non so sparare, ma posso combattere con una tastiera e un mouse”. Secondo l’intervista, passava le giornate all’interno di un bunker con il suo computer portatile ad esfiltrare ogni possibile messaggio. Ha aggiunto che l’FBI lo ha contattato direttamente chiedendogli di fermarsi per non intralciare le loro indagini, lui si è fermato per un po’ ma ha completato la fuga di notizie indipendentemente dalle raccomandazioni dell’FBI.

L’FBI ha suggerito di rimanere con un accesso segreto e di contribuire direttamente con le forze dell’ordine, il motivo è (probabilmente) la tensione che era già in gioco con la guerra. Biden e Putin hanno avuto una telefonata nel 2021, dopo la quale alcuni importanti membri del REvil sono stati arrestati in Russia, questa è stata la prima sorta di collaborazione tra i due Stati in termini di arresti relativi a crimini digitali. Probabilmente le azioni di ContiLeaks hanno contribuito a rompere la sottile collaborazione tra l’aquila e la grande orso.

The FBI suggested to remain with a covert access and contribute directly with law enforcement, the reason behind this is (probably) for the tension that was already in play with the war. Biden and Putin had a call in 2021, after that some major REvil members have been arrested in Russia, this was the first sort of collaboration between the two states in terms of digital crime arrests. Probably the actions of ContiLeaks have contributed to broke the thin collaboration between the eagle and the bear.

• Conti leaks (originale & tradotto)
• Codice Sorgente di Conti

Ace of Pentacles – 406, Not Accettable

Il leak di Conti può essere descritto come i Panama Papers del Ransomware-as-a-Service, si sono definiti e hanno agito come patrioti. Mostrare cosa c’è dietro le tende è stato sensazionale, la sostanza dietro la forma era altamente organizzata con un fitto flusso di lavoro e scadenze. La “società” ha anche aiutato Alla Witte con le spese processuali donandole 10.000 dollari.

Avevano risorse umane, campagne di reclutamento e tutto ciò che è analogo a un’azienda reale. Semplicemente sorprendente. D’ora in poi la comunità CTI sarà davvero consapevole della portata di ogni gruppo, un esempio perfetto è stato LockBit che ha fatto della professionalità l’attributo principale del primo e unico “marchio” ransomware mai esistito.

I legami con il governo russo non erano un problema, ma avere le prove di fronte a voi vi può comunque fare un certo effetto. Non solo prendevano il loro nazionalismo molto seriamente, ma agivano per dimostrarlo ogni volta che ne avevano l’opportunità.

I primi arresti e il fuoco amico hanno messo Conti, in questa parte della storia, in una situazione pericolosa. L’uso di un proprio ransomware nello stesso territorio che sostenevano di proteggere è stato un duro colpo per la reputazione del gruppo.

Ai lettori: Non si deve confondere ciò che si legge in questo articolo con la norma di ogni RaaS o minaccia digitale in circolazione. Lo stereotipo del “malvagio hacker russo”, come tutti gli stereotipi, ha una base reale ma non è sufficiente per generalizzare l’intero panorama. La maggior parte dei gruppi non parla (almeno esplicitamente) di politica e nazionalismo come ha fatto Conti. Ovviamente, hanno solo vantaggi finché rispettano la regola “No CIS”, ma questo non significa automaticamente che le loro azioni siano sponsorizzate dallo Stato o motivate dal nazionalismo. Per favore, prendete con attenzione dei titoli di testate non tecniche e fate una distinzione tra attori sponsorizzati dallo Stato e gruppi RaaS.

La storia di Conti è ancora lontana dalla sua conclusione, ci sono molte sorprese che vale la pena raccontare. Nel prossimo episodio scopriremo cosa succede quando il RaaS più malato della scena viene umiliato. Ricordate l’utente chiamato “Target”? Sarà lui uno dei nuovi protagonisti del prossimo episodio, godetevi l’immagine qui sotto come trailer per la prossima parte.

To be CONTInued…

• Link al primo episodio

L'articolo La Storia Di Conti Ransomware – La guerra all’epoca del Ransomware (Episodio 2) proviene da il blog della sicurezza informatica.

Oggi più che mai, le aziende si trovano a dover affrontare rischi e minacce di ogni tipo: dagli attacchi informatici ai disastri naturali, fino a interruzioni operative impreviste. Per rispondere in modo efficace a queste sfide e garantire continuità operativa, esistono diverse metodologie e strumenti che, lavorando insieme, formano un sistema integrato di protezione.

Parliamo di Risk Assessment (RA), Business Impact Analysis (BIA), Business Continuity Plan (BCP), Disaster Recovery Plan (DRP) e Incident Response Plan (IRP).

Questi termini, apparentemente tecnici, sono in realtà facili da comprendere quando vengono collocati in un flusso logico. Vediamo cosa sono e, soprattutto, come si inseriscono nella giusta sequenza temporale per costruire una strategia efficace.

Partire dall’inizio: Risk Assessment (RA)

Il punto di partenza è sempre il Risk Assessment, ossia la valutazione dei rischi. Questo processo serve a identificare cosa potrebbe andare storto all’interno dell’organizzazione, quali sono le vulnerabilità più rilevanti e quali rischi potrebbero avere un impatto significativo. Ad esempio, si valutano le probabilità di attacchi informatici, blackout elettrici, terremoti o altri eventi critici.

Ma perché è importante iniziare da qui? Perché senza una mappa chiara dei rischi, sarebbe impossibile pianificare come mitigarli o gestirli. Il Risk Assessment diventa così la base per tutte le fasi successive: identifica le minacce, valuta i loro impatti e aiuta a stabilire le priorità.

Capire l’impatto: Business Impact Analysis (BIA)

Una volta che abbiamo capito quali rischi corriamo, dobbiamo chiederci: “Che impatto avrebbe questo rischio sulle operazioni aziendali?”. Ecco dove entra in gioco la Business Impact Analysis. Questa analisi ci permette di identificare quali processi aziendali sono davvero critici e quanto tempo possiamo sopportare un’interruzione prima che ci siano danni significativi.

Facciamo un esempio pratico: immagina un’azienda di e-commerce. La BIA ci dirà che il sito web e il sistema di pagamento sono processi critici e che un’interruzione di più di qualche ora potrebbe comportare perdite economiche importanti, oltre che danni alla reputazione. Con queste informazioni, possiamo stabilire su cosa concentrarci in caso di emergenza.

Pianificare la continuità: Business Continuity Plan (BCP)

Ora che conosciamo i rischi e i processi critici, è il momento di sviluppare un piano per mantenere l’azienda operativa anche durante una crisi: il Business Continuity Plan. Questo documento descrive cosa fare per garantire che l’azienda continui a funzionare, o riprenda il prima possibile, in caso di interruzioni.

Ad esempio, il BCP può includere strategie come spostare i dipendenti in sedi alternative, attivare backup dei dati o stabilire comunicazioni di emergenza con i clienti. È importante che il BCP sia pratico e ben testato: non basta scriverlo, bisogna assicurarsi che funzioni davvero.

Ripristinare i sistemi: Disaster Recovery Plan (DRP)

Tra le parti fondamentali del BCP c’è il Disaster Recovery Plan, che si concentra esclusivamente sui sistemi tecnologici. Se un attacco informatico manda offline i server o se un disastro naturale danneggia i data center, il DRP descrive come ripristinare i sistemi IT nel minor tempo possibile.

Perché è importante distinguere il DRP dal BCP? Perché il DRP si concentra solo sull’aspetto tecnologico, come il recupero di dati da backup o la riconfigurazione di infrastrutture IT. Senza un DRP efficace, molte aziende non riuscirebbero a riprendere le loro attività operative.

Gestire gli incidenti: Incident Response Plan (IRP)

Infine, c’è il Incident Response Plan, che si occupa di gestire gli incidenti specifici, come attacchi hacker o violazioni di dati. L’IRP descrive come rilevare e rispondere rapidamente a questi eventi, limitando i danni e minimizzando i tempi di interruzione.

Ad esempio, se un ransomware colpisce l’azienda, l’IRP stabilisce chi deve intervenire, quali azioni intraprendere immediatamente (come isolare i sistemi infetti) e come comunicare con le parti coinvolte. L’obiettivo è contenere il problema prima che si espanda.

La giusta sequenza temporale

Questi strumenti non lavorano in isolamento, ma si inseriscono in una sequenza logica che permette di costruire una strategia completa:

1. Risk Assessment (RA): Individua i rischi e le vulnerabilità.
2. Business Impact Analysis (BIA): Determina quali processi aziendali sono più critici e quali impatti avrebbe un’interruzione.
3. Business Continuity Plan (BCP): Pianifica come mantenere o ripristinare le operazioni aziendali.
4. Disaster Recovery Plan (DRP): Dettaglia come ripristinare i sistemi IT e le infrastrutture tecnologiche.
5. Incident Response Plan (IRP): Definisce come gestire incidenti specifici e contenere le emergenze.

Un sistema integrato per la resilienza aziendale

Questi strumenti non sono “a sé stanti”, ma lavorano insieme per garantire che un’organizzazione possa prevenire, affrontare e riprendersi da eventi avversi. Il Risk Assessment e la Business Impact Analysis forniscono le basi; il Business Continuity Plan rappresenta la visione strategica, mentre il Disaster Recovery Plan e l’Incident Response Plan si concentrano sulle azioni operative.

Implementare correttamente queste analisi e piani non solo riduce i rischi, ma aumenta la fiducia dei clienti, dei dipendenti e degli stakeholder, garantendo che l’azienda sia pronta ad affrontare qualsiasi sfida.

L'articolo Analisi e Pianificazione per la Resilienza Aziendale: Comprendere RA, BIA, BCP, DRP e IRP proviene da il blog della sicurezza informatica.

If you live near Central Park or some other local chess hub, you’re likely never short of opponents for a good game. If you find yourself looking for a computer opponent, or you just prefer playing online, you might like this LED chessboard from [DIY Machines] instead.

At heart, it’s basically a regular chessboard with addressable LEDs of the WS2812B variety under each square. The lights are under the command of an Arduino Nano, which is also tasked with reading button inputs from the board’s side panel. The Nano is interfaced with a Raspberry Pi, which is the true brains of the operation. The Pi handles chess tasks—checking the validity of moves, acting as a computer opponent, and connecting online for games against other humans if so desired. Everything is wrapped up with 3D printed parts, making this an easy project to build for the average DIY maker.

The video tutorial does a great job of covering the design. It’s a relatively simple project at heart, but the presentation is great and it looks awfully fun to play with. We’ve featured some other great builds from [DIY Machines] before, too. Video after the break.

youtube.com/embed/Z92TdhsAWD4?…

hackaday.com/2024/11/25/buildi…

There’s an old joke that they want to send an exploratory mission to the sun, but to save money, they are going at night. The European Space Agency’s Solar Orbiter has gotten as close as anything we’ve sent to study our star on purpose, and the pictures it took last year were from less than 46 million miles away. That sounds far away, but in space terms, that’s awfully close to the nuclear furnace. The pictures are amazing, and the video below is also worth watching.

Because the craft was so close, each picture it took was just a small part of the sun’s surface. ESA stitched together multiple images to form the final picture, which shows the entire sun as 8,000 pixels across. We’ll save you the math. We figure each pixel is worth about 174 kilometers or 108 miles, more or less.

The stunning images used the Polarimetric and Helioseismic Imager and the Extreme Ultraviolet Imager. The first instrument snapped the visible light and the magnetic field lines. It also provided a velocity map. The UV instrument took pictures of the corona.

Understanding the sun is important because it greatly impacts our life on Earth. Technology is especially sensitive, and, lest we forget, massive solar disruptions have happened before.

youtube.com/embed/SgTBMzjuqX0?…

hackaday.com/2024/11/25/solar-…

[Stephen] has a basement that depends on a sump pump. What that means is if the pump fails or the power goes out, the basement floods—which is rather undesirable. Not wanting to rely on a single point of failure, [Stephen] decided to build a monitor for the basement situation, which quickly spiralled to a greater degree of complexity than he initially expected.

The initial plan was just to have water level sensors reporting data over a modified CATS packet radio transmitter. On the other end, the plan was to capture the feed via a CATS receiver, pipe the data to the internet via FELINET, and then have the data displayed on a Grafana dashboard. Simple enough. From there, though, [Stephen] started musing on the possibilities. He thought about capturing humidity data to verify the dehumidifier was working. Plus, temperature would be handy to get early warning before any pipes were frozen in colder times. Achieving those aims would be easy enough with a BME280 sensor, though hacking it into the CATS rig was a little challenging.

The results are pretty neat, though. [Stephen] can now track all the vital signs of his basement remotely, with all the data displayed elegantly on a nice Grafana dashboard. If you’re looking to get started on a similar project, we’ve featured a great Grafana guide at a previous Supercon, just by the by. All in all, [Stephen’s] project may have a touch of the old overkill, but sometimes, the most rewarding projects are the ones you pour your heart and soul into!

hackaday.com/2024/11/25/an-ove…

GreenTrek.it si affaccia nel Poliverso di Friendica!

Pubblicheremo anche qui le nostre iniziative ed i nostri appuntamenti.

Rimani in contatto con noi per conoscere le date delle prossime escursioni!

Per tutte le altre info vieni su: www.greentrek.it

Buon cammino a tutti!

#escursioni #trekking #montagna #natura #lazio #abruzzo #guidaAIGAE

greentrek.it