Birds have long been our inspiration for flight, and researchers at Princeton University have found a new trick in their arsenal: covert feathers. These small feathers on top of birds’ wings lay flat during normal flight but flare up in turbulence during landing. By attaching flexible plastic strips – “covert flaps” – to the top of a wing, the team has demonstrated impressive gains in aircraft performance at low speeds.

Wind tunnel tests and RC aircraft trials revealed a fascinating two-part mechanism. The front flaps interact with the turbulent shear layer, keeping it close to the wing surface, while the rear flap create a “pressure dam” that prevents high-pressure air from moving forward. The result? Up to 15% increase in lift and 13% reduction in drag at low speeds. Unfortunately the main body of the paper is behind a paywall, but video and abstract is still fascinating.

This innovation could be particularly valuable during takeoff and landing – phases where even a brief stall could spell disaster. The concept shares similarities with leading-edge slats found on STOL aircraft and fighter jets, which help maintain control at high angles of attack. Imitating feathers on aircraft wings can have some interesting applications, like improving control redundancy and efficiency.

youtube.com/embed/dLlJRujBWos?…

hackaday.com/2024/12/02/small-…

Gli analisti di McAfee hanno trovato 15 applicazioni dannose appartenenti alla famiglia SpyLoan nel Google Play Store. In totale, queste applicazioni hanno più di 8 milioni di installazioni e erano rivolte agli utenti del Sud America, del Sud-Est asiatico e dell’Africa. I più popolari sono elencati di seguito.

• Préstamo Seguro-Rápido, Seguro – 1.000.000 di download, principalmente rivolti agli utenti del Messico;
• Préstamo Rápido-Credit Easy – 1.000.000 di download, principalmente destinati alla Colombia;
• ได้บาทง่ายๆ-สินเชื่อด่วน – 1.000.000 di download, destinati agli utenti del Senegal;
• RupiahKilat-Dana cair – 1.000.000 di download, rivolti anche al Senegal;
• ยืมอย่างมีความสุข – เงินกู้ – 1.000.000 di download, destinati agli utenti della Tailandia;
• เงินมีความสุข – สินเชื่อด่วน – 1.000.000 di download, destinati anche alla Thailandia;
• KreditKu-Uang Online – 500.000 download, attacca principalmente utenti in Indonesia;
• Dana Kilat-Pinjaman kecil – 500.000 download, un’altra app destinata principalmente all’Indonesia.

È stato riferito che tutte le applicazioni sono state rimosse da Google Play, ma i ricercatori notano che la loro presenza nello store indica la persistenza dei criminali informatici. Il fatto è che non è la prima volta che tale malware viene scoperto e rimosso dallo store ufficiale.

Ad esempio, alla fine del 2023, gli specialisti di ESET hanno notato su Google Play 18 applicazioni che distribuivano SpyLoan e sono state scaricate più di 12 milioni di volte.

Le app SpyLoan sono apparse nel 2020 e sono solitamente pubblicizzate come strumenti finanziari che offrono agli utenti prestiti con rapida approvazione, ma i termini di tali prestiti sono spesso molto ingannevoli o semplicemente falsi.

Una volta che la vittima installa l’app SpyLoan, gli viene chiesto di completare la verifica utilizzando una password monouso (OTP). In questo modo gli aggressori si assicurano che la vittima si trovi nella regione giusta. All’utente viene quindi chiesto di fornire documenti di identificazione sensibili, informazioni sul datore di lavoro e informazioni bancarie.

Inoltre, le applicazioni SpyLoan richiedono sempre privilegi eccessivi sul dispositivo, tra cui: autorizzazione per utilizzare la fotocamera (apparentemente per caricare foto KYC), accesso al calendario, contatti, SMS, posizione, dati del sensore e così via. Di conseguenza, gli operatori delle app possono rubare dati sensibili dal dispositivo e utilizzarli per ricattare la vittima affinché paghi.

Pertanto, i truffatori possono inaspettatamente ridurre il periodo di rimborso del prestito a diversi giorni (o qualsiasi periodo di tempo arbitrario), minacciare l’utente e chiedere denaro, promettendo altrimenti di divulgare i suoi dati o rivelare segreti.

Cioè, avendo ricevuto un prestito tramite tale applicazione, l’utente non solo deve pagare tassi di interesse elevati, ma è anche soggetto a continue molestie da parte degli operatori SpyLoan che lo ricattano utilizzando informazioni rubate. Inoltre, in alcuni casi, i truffatori contattano anche i familiari e gli amici del mutuatario, minacciando anche loro.

L'articolo Google Play Store: il Cassonetto del Software! 15 App Malevole Rubano i Dati a 8 Milioni di Utenti proviene da il blog della sicurezza informatica.

The 20th century saw humankind’s first careful steps outside of the biosphere in which our species has evolved. Whereas before humans had experienced the bitter cold of high altitudes, the crushing pressures in Earth’s oceans, as well as the various soundscapes and vistas offered in Earth’s biosphere, beyond Earth’s atmosphere we encountered something completely new. Departing Earth’s gravitational embrace, the first humans who ventured into space could see the glowing biosphere superimposed against the seemingly black void of space, in which stars, planets and more would only appear when blending out the intense light from the Earth and its life-giving Sun.

Years later, the first humans to set foot on the Moon experienced again something unlike anything anyone has experienced since. Walking around on the lunar regolith in almost complete vacuum and with very low gravity compared to Earth, it was both strangely familiar and hauntingly alien. Although humans haven’t set foot on Mars yet, we have done the next best thing, with a range of robotic explorers with cameras and microphones to record the experience for us here back on Earth.

Unlike the Moon, Mars has a thin but very real atmosphere which permits the travel of soundwaves, so what does the planet sound like? Despite what fictional stories like Weir’s The Martian like to claim, reality is in fact stranger than fiction, with for example a 2024 research article by Martin Gillier et al. as published in JGR Planets finding highly variable acoustics during Mars’ seasons. How much of what we consider to be ‘normal’ is just Earth’s normal?

Spherical Astronauts On Mars

Curiosity rover’s robotic arm showing drill in place, February 2013 (Credit: NASA/JPL-Caltech)
A major limitation with experiencing extraterrestrial worlds is of course that even if we could easily zip over to the more distant ones in a faster-than-light spacecraft, our bodies have evolved within the confines of the Earth’s biosphere and explicitly just the biosphere as it has existed only relatively recently, geologically speaking. Even the atmospheric conditions of the Earth’s Cambrian period would be lethal to humans, with virtually no oxygen to breathe. It’s highly unlikely that we will find any planets out there that are at least as friendly to human life as the Cambrian period would be to our astronauts, so our experience of alien worlds will most assuredly not match those of the average Star Trek episode.

But assume, if you will, that our perfectly spherical, friction-less astronauts are as impervious to cold, heat and radiation as the intrepid robotic explorers which currently peruse the surface of Mars or which have in the past prodded the Venusian atmosphere and its surface. If stepping outside the lander in this ideal scenario, what can our robotic friends tell us about what walking on Mars would be like?

With Mars much further away from the Sun, its light is dimmer, though still bright enough to make out the rocky reddish, brown, greenish and tan coloring. Most steps that you take will leave behind a footprint, albeit not as deep as on Earth due to Mars gravity of only about 0.38 g, or roughly a third of Earth’s. This does preclude the option of bunny hopping across the surface as on the Moon with its 0.165 g.

Mars’ atmosphere is quite thin, also on account of the planet having lost its magnetosphere a long time ago, exposing the atmosphere to the solar winds as they rip and tear away at it. With an atmospheric density of at most 1,150 Pa (on the Hellas Planitia plain) it’s akin to being on Earth at an altitude of 35 km, or well above the average commercial jetliner’s cruising altitude of below 12 km. Even so, sounds are audible, albeit attenuated courtesy of the 96% CO₂ content of the Martian atmosphere. This makes everything sound muted and quite different from what we are used to on Earth.

Whether you stand still and take in the vista surrounding you, or move around, you can hear something like what the Perseverance rover recorded using its twin microphones:

youtube.com/embed/GHenFGnixzU?…

Perseverance also captured the noise of the Ingenuity helicopter as it flew near the rover at a distance of 80 meters, all of which provided researchers with invaluable data on how sound propagates on Mars. In the earlier referenced paper by Martin Gillier et al. the attenuation is calculated to be 500 times higher for low frequencies and 10 times higher at high frequencies as in Earth’s atmosphere at sea level.

Meanwhile the speed of sound on Mars on its surface varies as the CO₂ in the atmosphere increases or decreases with the seasons, especially near the poles where carbon dioxide ice is known to exist. Compared to the speed of sound in Earth’s atmosphere of 343 m/s, on Mars you can expect around 252 m/s, although this will differ wildly per season and at which altitude you are.

As glorified in The Martian and other works of fiction Mars may be, the experience of walking around on its surface would be mostly one of eerie disconnect due to the lower gravity and the muffled sounds including those made by one’s own boots. Assuming that the radiation blasting the Martian surface and intense temperature swings are no concern, this might yet be the perfect vacation spot for some astronauts.

From Venus With Love

The Venus surface, as photographed by the USSR Venera 13 in 1982 (recolorized).
The Soviet Venera 13 and 14 missions featured the first landers to Venus that were equipped with microphones. These were active during their final descent, as well as the workings of the pyrotechnics and surface drill, prior to the quiet observation of the lander with its scientific instruments. Below is embedded part of the audio from the Venera 14 mission (also on Archive.org).
hackaday.com/wp-content/upload…
Based on these audio recordings, the wind speed on Venus’ surface was calculated to be on average 0.3 and 0.5 m/s, which doesn’t seem much until you realize that this is with a pressure of around 9.5 MPa (94 times Earth’s atmosphere) and a temperature of 465 ℃. These findings were covered in a 1982 paper by L. V. Ksanfomaliti et al. (PDF) as submitted to Soviet Astronomy Letters.

The effect for our theoretical astronaut would be akin to being crushed and burned at the same time, while the thick, mostly CO₂-based atmosphere slowly churns past.

It is for this reason that our less-invincible astronauts would remain in the Venusian atmosphere at a more agreeable pressure and temperature level. In such a floating colony the experience would be much more akin to being on Earth at ground level, if you excuse the sulfuric rain droplets, of course.

Welcome To Europa

So far our photographic and auditory collection of extraterrestrial planets is still rather limited, with Mars and Venus being the two primary examples where we have collected both types of recordings on their respective surfaces. However, depending on how things work out, we may soon be adding Jupiter’s moon Europa to this list. This is perhaps the most intriguing target in our solar system which we have not visited yet in any significant detail, despite it being assumed to be a water ice-covered moon that is slightly smaller than Earth’s Moon, with potentially liquid water below the ice.
Europa’s interior and thin, mostly oxygen and water vapor atmosphere. (Credit: NASA/JPL-Caltech)
Recently the Europa Clipper spacecraft was launched on its multi-year mission for a rendezvous with Europa by April 2030. One of its mission goals at Europa is to determine a suitable landing site for the proposed Europa Lander, which – if funded – would land on Europa in the 2030s where it would be able to examine and image the surface. Sadly Europa does not have much of at atmosphere, much like Earth’s Moon, but it might make for a fascinating place to do some ice skating for our radiation-proof astronauts. If there is a liquid ocean underneath the ice as suspected, then deep-sea diving on Europa is definitely also on the menu, barring any scary oceanic lifeforms in said oceans.

Beyond these places in our solar system the sounds and sights become sadly a bit murky. Mercury is a Sun-blasted rock, while Pluto is a darkness-shrouded rock, and all of Jupiter, Saturn, Neptune and Uranus are gas giants. Beyond perhaps a couple of the more interesting moons surrounding these gas giants we will have to look beyond this solar system to find more interesting extraterrestrial sights and sounds. Fortunately for this we will only have to send out our faster-than-light spacecraft into deep space, as there are still billions upon billions of star systems to examine and places to experience. Makes you realize how good we’ve got it here on earth.

hackaday.com/2024/12/02/explor…

Energy is expensive these days. There’s no getting around it. If, like [Giovanni], you want to keep better track of your usage, you might find value in his DIY energy meter build.

[Giovanni] built his energy meter to monitor energy usage in his whole home. An ESP32 serves as the heart of this build. It’s hooked up with a JSY-MK-194G energy metering module, which uses a current clamp and transformer in order to accurately monitor the amount of energy passing through the mains connection to his home. With this setup, it’s possible to track voltage, current, frequency, and power factor, so you can really nerd out over the electrical specifics of what’s going on. Results are then shared with Home Assistant via the ESPHome plugin and the ESP32’s WiFi connection. This allows [Giovanni] to see plots of live and historical data from the power meter via his smartphone.

A project like this one is a great way to explore saving energy, particularly if you live somewhere without a smart meter or any other sort of accessible usage tracking. We’ve featured some of [Giovanni]’s neat projects before, too.

youtube.com/embed/hP4fDkFyy3w?…

hackaday.com/2024/12/02/esp32-…

Secondo gli esperti di sicurezza, il crash del sito web del Vaticano della scorsa settimana presenta i tratti distintivi di un attacco informatico, evidenziando l’esposizione online del Vaticano alla possibilità di interferenze da parte di malintenzionati.

La maggior parte del sito web del Vaticano è andato in crash il 19 novembre ed è rimasto irraggiungibile per diversi giorni in alcune parti del mondo. Sebbene il Vaticano non abbia confermato l’origine del problema, il portavoce vaticano Matteo Bruni ha lasciato intendere che gli stessi funzionari vaticani sospettano un attacco ai loro server web.

Bruni ha affermato che sui server si è verificato un “numero anomalo di interazioni” che, in combinazione con le contromisure utilizzate, ha portato ad una serie di effetti a cascata sull’infrastruttura IT della Chiesa.

Gli esperti ritengono che il numero anomalo di interazioni sia coerente con un attacco DDoS, sebbene la fonte di tale attacco non sia chiara. In Vaticano, alcuni hanno sospettato che un attacco informatico potrebbe essere stato programmato per coincidere con la visita in Vaticano del 20 novembre della First Lady ucraina Olena Zelenska.

Se il crash del sito fosse dovuto a un attacco informatico, si tratterebbe dell’ultimo di una lunga serie di attacchi informatici motivati politicamente contro il Vaticano. Nel 2015, i dati personali dei giornalisti della Radio Vaticana e il sito web del Vaticano sono stati hackerati due volte dal gruppo di hacker Anonymous.

Nel 2018, sia il Vaticano che la diocesi di Hong Kong sono stati colpiti dagli hacker RedDelta, presumibilmente sostenuti dal regime cinese, in vista dei colloqui per il rinnovo di un accordo provvisorio sulle nomine episcopali. Nel 2022, invece, il sito web del Vaticano è stato oscurato il giorno dopo che il Papa aveva criticato l’invasione russa dell’Ucraina.

Gli attacchi DDoS sono solitamente condotti tramite bot che portano un server a bloccarsi a causa del volume di richieste. Il loro obiettivo non è accedere a informazioni private, ma semplicemente bloccare un sito Web per impedire agli utenti di utilizzarlo.

Charles Brooks, ex funzionario del DHS e professore di sicurezza informatica alla Georgetown University, ha guidato un gruppo di esperti cattolici in sicurezza informatica che hanno sollecitato la Santa Sede a creare un'”Autorità per la sicurezza informatica del Vaticano” nel maggio 2023, poiché erano preoccupati per le debolezze dell’infrastruttura digitale del Vaticano.

Sebbene gli attacchi DDoS derivino solitamente da attacchi informatici su larga scala, molti esperti ritengono che nel caso del Vaticano sia difficile individuare la fonte degli attacchi a causa della vulnerabilità dei server web. Andrew Jenkinson, CEO dell’azienda britannica di sicurezza informatica CIP, ha dichiarato a The Pillar di aver cercato di mettere in guardia la Santa Sede dalle vulnerabilità della sua sicurezza informatica almeno dal 2020.

Jenkinson ha mostrato a The Pillar un’analisi dei server critici del Vaticano che erano stati segnalati come non sicuri e ha affermato che il DNS (Domain Name System) era esposto. “Quando abbiamo provato ad assisterli nel 2020 e nel 2021, oltre il 90% dei loro siti web risultava Non sicuro. Non ci sono scuse per fallimenti di sicurezza così basilari”, ha detto Jenkinson a The Pillar .

L'articolo Il Lungo Down dei server del Vaticano, il misterioso crash e i sospetti DDoS proviene da il blog della sicurezza informatica.

La cyber security è, innanzitutto, una sfida culturale. Le aziende italiane non possono più permettersi di considerarla come una questione esclusivamente tecnica. È importante adottare un approccio integrato in cui tecnologia, normative e formazione, unite, creino un ambiente più sicuro e resiliente

L'articolo Cyber attacchi, quando l’efficacia è data anche dall’incoscienza di chi li riceve proviene da Cyber Security 360.

La presentazione della piattaforma di registrazione NIS2 per l’avvio degli adeguamenti richiesti dalla direttiva europea ha rappresentato un momento di formazione e informazione per tutti gli stakeholder nazionali. Si inizia a fare sul serio e l’obiettivo è alzare il livello cyber del sistema Paese

L'articolo Direttiva NIS2: ha inizio la fase operativa e che nessuno resti indietro proviene da Cyber Security 360.

Gli attacchi informatici condotti dalle cyber gang nordcoreane rappresentano una minaccia senza precedenti per il settore delle criptovalute e per la sicurezza finanziaria globale. Ecco perché è urgente rafforzare le difese cibernetiche e sviluppare strategie internazionali coordinate per prevenire futuri attacchi

L'articolo Hacker nordcoreani rubano miliardi in criptovalute: tattiche sofisticate per finanziare il regime proviene da Cyber Security 360.

Recent months have seen a surge in mailings with lookalike email attachments in the form of a ZIP archive containing JScript scripts. The script files – disguised as requests and bids from potential customers or partners – bear names such as “Запрос цены и предложения от Индивидуального предпринимателя <ФИО> на август 2024. АРТ-КП0005272381.js” (Request for price and proposal from sole trader <name> for August 2024. ART-KP0005272381.js), “Запрос предложений и цен от общества с ограниченной ответственностью <предприятие> на сентябрь 2024. отэк-мн0008522309.js” (Request for proposals and prices from LLC <company> for September 2024. Otek-mn0008522309.js), and the like.

Examples of malicious emails

According to our telemetry, the campaign began around March 2023 and hit more than a thousand private users, retailers and service businesses located primarily in Russia. We dubbed this campaign Horns&Hooves, after a fictitious organization set up by swindlers in the Soviet comedy novel The Golden Calf.

Statistics

Number of users who encountered the malicious script, by month, March 2023 — September 2024 (download)

Malicious scripts

During the campaign, the threat actors made some major changes to the script, while keeping the same distribution method. In almost all cases, a JS script named “Заявка на закупку…” (“Purchase request…”), “Запрос цен…” (“Request for quote…”), or similar was sent in a ZIP archive. Far more rarely, the scripts were called “Акт сверки…” (“Reconciliation statement…”), “Заявление на возврат…” (“Request for refund…”), “Досудебная претензия…” (“Letter of claim…”) or just “Претензия…” (“Claim…”). The earliest versions that we encountered in April and May used scripts with the HTA extension instead of JS scripts.

For believability, besides the script, the attackers sometimes added to the archive various documents related to the organization or individual being impersonated. For example, an archive attached to a booking cancellation email contained a PDF file with a copy of a passport; while price request emails had extracts from the Russian Unified State Register of Legal Entities, certificates of tax registration and company cards in attachment. Below, we examine several versions of the scripts used in this campaign.

Typical archive contents

Version A (HTA)

Some of the first sample scripts we saw in April and early May 2023 were relatively small in size. As an example, we analyzed a sample with the MD5 hash sum 327a1f32572b4606ae19085769042e51.

First version of the malicious script in attachment

When run, the script downloads a decoy document from linkpicture[.]com/q/1_1657.png in the form of a PNG image, which it then shows to the user. In this case, the image looks like a screenshot of a table listing items for purchase. It may have been taken from a previously infected machine.

Decoy document in PNG format

Note that PNG decoy documents are rather unconventional. Usually, bids and requests that are used to distract user attention from malware are distributed in office formats such as DOCX, XSLX, PDF and others. The most likely reason for using PNG is that in the very first versions the attackers hid the payload at the end of the bait file. PNG images make convenient containers because they continue to display correctly even after the payload is added.

To download the decoy document, the attackers use the curl utility, which comes preinstalled on devices with Windows 10 (build 17063 and higher). Together with the document, using another built-in Windows utility, bitsadmin, the script downloads and runs the BAT file bat_install.bat to install the main payload. The script also makes use of bitsadmin for managing file transfer tasks.

Snippet of the BAT script that installs the payload

Using bitsadmin, the BAT script first downloads from the attackers’ address hxxps://golden-scalen[.]com/files/, and then installs, the following files:

To download the required file, bat_install.bat appends its name to the end of the URL. The script saves the downloaded files to the user directory %APPDATA%\VCRuntineSync.

The payload is the legitimate NetSupport Manager (NSM) tool for remote PC management. This software is often used in corporate environments for technical support, employee training and workstation management. However, due to its capabilities, it is regularly exploited by all kinds of cybergangs. The versions and modifications of this software seen in cyberattacks and providing a stealth run mode have been dubbed NetSupport RAT.

Most often, NetSupport RAT infiltrates the system through scam websites and fake browser updates. In December 2023, we posted a report on one such campaign that installed NetSupport RAT under the guise of a browser update after the user visited a compromised website.

After the file download, the bat_install.bat script runs the client32.exe file and adds it to the startup list.
start /B cmd /C "start client32.exe & exit"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v
"VCRuntineSync" /t REG_SZ /d '%APPDATA%\VCRuntineSync\client32.exe' /f
And, in case the HTA script failed, the BAT script attempts to download and run the bait file.

When NetSupport RAT is run, it establishes a connection to one of the attackers’ servers set in the client32.ini configuration file: the main one, xoomep1[.]com:1935, or the backup one, xoomep2[.]com:1935.

The client32.ini configuration file

Version A infection chain

Version B (JS + NSM)

A bit later, in mid-May 2023, there appeared versions of the script mimicking legitimate JS files.

JS version of the malicious script in attachment

The code of this script contains a comment from the publicly available JavaScript library Next.js with license and copyright information. This way, the attackers try to make the code appear legitimate. We also see how they added malicious code to the middle of the file that a cursory inspection would miss, but still got executed at runtime.

In terms of functionality, the JS versions of the script are virtually the same as the HTA ones. They too show a decoy document and install NetSupport RAT. But there are some differences. For example, the script with the hash sum b3bde532cfbb95c567c069ca5f90652c, which we found under the filename ” досудебная претензия от 18.05.2023 №5 от компании ооо <НАЗВАНИЕ_КОМПАНИИ>.js ” (“Letter of claim No. 5, dated May 18, 2023, from LLC <company>.js”), first downloads an intermediate JS script from the address hxxp://188[.]227[.]58[.]243/pretencia/www.php.

Second script contents

This second script downloads two more files: the decoy document zayavka.txt and the NetSupport RAT installer installer_bat_vbs.bat. Like PNG images, decoy documents in TXT format are not standard practice. And with this version, the files contain generated text in Russian that is meaningless and repeated several times, using different characters that look vaguely Cyrillic. They would appear to be the first tests of the new bait file format.

Decoy document with meaningless text

After downloading the files, the www.php script opens the text document and runs the NetSupport RAT installer, which it saves with the name BLD.bat. To download the NetSupport components, the script uses the same path as version A: hxxps://golden-scalen[.]com/files/. Unlike the previous version, this script downloads the files to the %APPDATA%\EdgeCriticalUpdateService directory. Correspondingly, the autorun registry key used by this version is named EdgeCriticalUpdateService. Also, the BLD.bat file contains no redundant code for re-downloading the bait file.

Version B infection chain

Version C (JS + BurnsRAT)

Another interesting sample we found in mid-May had the name ” заявка на закупки №113 от компании <НАЗВАНИЕ_КОМПАНИИ> на май 2023 года.js ” (“procurement request No. 113 from <company> for May 2023.js”) and the MD5 hash sum 5f4284115ab9641f1532bb64b650aad6.

Fully obfuscated version of the malicious script

Here, we also see a comment with license and copyright information about the Next.js library, but there is nothing left of the library source code. The malicious code itself is more heavily obfuscated, and the link to the intermediate script hxxp://188[.]227[.]106[.]124/test/js/www.php is invisible to the naked eye.

Second script contents

In this version, the intermediate script downloads three more files: the decoy document zayavka.txt, the payload BLD.exe, and the auxiliary script 1.js. The decoy document in this instance looks more meaningful, and is likely the result of a screenshot-to-text conversion.

Decoy document

Having loaded the files, the www.php script opens the decoy document and runs the 1.js file, which in turn launches the BLD.exe file.

What’s most striking about this instance is the payload.

BLD.exe (MD5: 20014b80a139ed256621b9c0ac4d7076) is an NSIS installer that creates a Silverlight.7z archive in the %PROGRAMDATA%\Usoris\LastVersion folder and extracts several files from it:

The next step is to run the legitimate Silverlight.Configuration.exe file. When launched, it loads the dynamic libraries (DLLs) that the program needs, using a relative path. This opens the door to a DLL side-loading attack: the malicious msimg32.dll library and the utility are placed in the same directory, which results in the malicious program being loaded and gaining control instead of the system library. Although the backdoor supports commands for remotely downloading and running files, as well as various methods of executing commands via the Windows command line, the main task of this component is to start the Remote Manipulator System (RMS) as a service and send the RMS session ID to the attackers’ server.
svchost.exe -k "WUDFHostController" -svcr "WUDFHost.exe"
On top of that, msimg32.dll sends information about the computer to the server hxxp://193[.]42[.]32[.]138/api/.

Outgoing request to the server

The sent data is encrypted using the RC4 algorithm with the Host value as the key, which in this case is the IP address of the server, 193.42.32[.]138.

System information sent by the library

RMS is an application that allows users to interact with remote systems over a network. It provides the ability to manage the desktop, execute commands, transfer files and exchange data between devices located in different geographic locations. Typically, RMS uses encryption technologies to protect data and can run on a variety of operating systems. The RMS build distributed by the attackers is also called BurnsRAT.

RMS has support for connecting to a remote computer via Remote Desktop Protocol (RDP), so besides the application itself and files for running it, the NSIS installer saves to the device the w32.dat and w64.dat archives, which contain a set of libraries created using RDP Wrapper to activate additional RDP features.

RDP Wrapper is a program for activating remote desktop features in Windows versions that do not support them by default, such as Windows Home; it also allows multiple users to connect to one system simultaneously.

At its core, RMS is a close analog of NetSupport, but the RMS payload did not gain traction.

BurnsRAT infection chain

Version D (JS + Hosted NSM ZIP)

A few more characteristic changes in the scripts caught our eye in late May 2023. Let’s examine them using a file named “purchase request from LLC <company> No. 3.js” with hash sum 63647520b36144e31fb8ad7dd10e3d21 as an example. The initial script itself is very similar to version B and differs only in the link to the second script, hxxp://45[.]133[.]16[.]135/zayavka/www.php. But unlike version B, the BAT file for installing NetSupport RAT has been completely rewritten.

BAT script contents

In this version, it is located at hxxp://45[.]133[.]16[.]135/zayavka/666.bat, and to install NetSupport it downloads an intermediate PowerShell script hxxp://45[.]133[.]16[.]135/zayavka/1.yay, which in turn downloads and unpacks the NetSupport RAT archive from hxxp://golden-scalen[.]com/ngg_cl.zip. The contents of the archive are identical in every way to the NetSupport version installed by the version B script.

PowerShell script contents

Version D infection chain

Version E (JS + Embedded NSM ZIP)

The next notable, but less fundamental changes appeared in June 2023. Instead of downloading the encoded ZIP archive with NetSupport RAT, the attackers began placing it inside the script. This caused the script to increase in size. In addition, the comment in the file header was replaced with one from the Backbone.js library.

Snippet of the third version of the script

Starting around September 2023, the NetSupport RAT files were split into two archives; and since February 2024, instead of text bait files, the attackers have been striving for greater plausibility by using PDF documents which were also contained in the script code.

Version E decoy document

Version E infection chain

Attribution

All NetSupport RAT builds detected in the campaign contained one of three license files with the following parameters:

License files

These license files were also used in various other unrelated campaigns. For instance, they’ve been seen in mailings targeting users from other countries, such as Germany. And they’ve cropped up in NetSupport RAT builds linked to the TA569 group (also known as Mustard Tempest or Gold Prelude). Note that licenses belonging to HANEYMANEY and DCVTTTUUEEW23 featured in the Horns&Hooves campaign for a short span before being completely dislodged by a license issued in the name of DERTERT three months later.

The fact that Horns&Hooves uses the same licenses as TA569 led us to suspect a possible connection between the two. That said, because license files alone are insufficient to attribute malicious activity to TA569, we decided to look for other similarities. And so we compared the various configuration files that featured in the Horns&Hooves campaign and those used by TA569 – and found them to be near identical. As an example, let’s consider the Horns&Hooves configuration file (edfb8d26fa34436f2e92d5be1cb5901b) and the known configuration file of the TA569 group (67677c815070ca2e3ebd57a6adb58d2e).

Comparing the Horns&Hooves and TA569 configuration files

As we can see, everything matches except the domains and ports. The Gateway Security Key (GSK) field warrants special attention. The fact that the values match indicates that the attackers use the same security key to access the NetSupport client. And this means that the C2 operators in both cases most likely belong to TA569.

We checked if the key GSK=GF<MABEF9G?ABBEDHG:H had been seen in other campaigns that could not be attributed to either Horns&Hooves or TA569, and found none. Besides this key, we encountered another value in the Horns&Hooves campaign, GSK=FM:N?JDC9A=DAEFG9H<L>M; and in later versions there appeared one more version of the key, which was set with the parameter SecurityKey2=dgAAAI4dtZzXVyBIGlsJn859nBYA.

What happens after RMS or NetSupport RAT is installed

The installation of BurnsRAT or NetSupport RAT is only an intermediate link in the attack chain, giving remote access to the computer. In a number of cases, we observed attempts to use NetSupport RAT to install stealers such as Rhadamanthys and Meduza. However, TA569 generally sells access to infected computers to other groups, for example, to install ransomware Trojans.

But it’s possible that the attackers may collect various documents and email addresses to further develop the campaign, since the earliest scripts distributed Rhadamanthys instead of NetSupport RAT.

Takeaways

This post has looked in detail at several ways of delivering and using legitimate software for malicious purposes as part of a sustained campaign. Over the course of the campaign, the attackers changed some of their tactics and experimented with new tools. For instance, they gradually moved away from using additional servers to deliver the payload, leaving only two as a result, which the remote administration software itself uses. Also, the attackers initially weaponized BurnsRAT, but then abandoned it and placed all the program code for installing and running NetSupport RAT in a single script. They probably found this approach more efficient in terms of both development and difficulty of detection.

We were able to determine with a high degree of certainty that the campaign is linked to the TA569 group, which gains access to organizations and then sells it to other cybercriminals on the dark web. Depending on whose hands this access falls into, the consequences for victim companies can range from data theft to encryption and damage to systems. We also observed attempts to install stealers on some infected machines.

Indicators of compromise

Malicious file hashes

Version A
327a1f32572b4606ae19085769042e51 — HTA
34eb579dc89e1dc0507ad646a8dce8be — bat_install.bat

Version B
b3bde532cfbb95c567c069ca5f90652c — JS
29362dcdb6c57dde0c112e25c9706dcf — www.php
882f2de65605dd90ee17fb65a01fe2c7 — installet_bat_vbs.bat

Version C
5f4284115ab9641f1532bb64b650aad6 — JS
0fea857a35b972899e8f1f60ee58e450 — www.php
20014b80a139ed256621b9c0ac4d7076 — BLD.exe
7f0ee078c8902f12d6d9e300dabf6aed — 1.js

Version D
63647520b36144e31fb8ad7dd10e3d21 — JS
8096e00aa7877b863ef5a437f55c8277 — www.php
12ab1bc0989b32c55743df9b8c46af5a — 666.bat
50dc5faa02227c0aefa8b54c8e5b2b0d — 1.yay
e760a5ce807c756451072376f88760d7 — ngg_cl.zip

Version E
b03c67239e1e774077995bac331a8950 — 2023.07
ba69cc9f087411995c64ca0d96da7b69 — 2023.09
051552b4da740a3af5bd5643b1dc239a — 2024.02

BurnsRAT C&C
hxxp://193[.]42[.]32[.]138/api/
hxxp://87[.]251[.]67[.]51/api/

Links, version A
hxxp://31[.]44[.]4[.]40/test/bat_install.bat
hxxps://golden-scalen[.]com/files/*

Links, version B
hxxp://188[.]227[.]58[.]243/pretencia/www.php
hxxp://188[.]227[.]58[.]243/zayavka/www.php
hxxp://188[.]227[.]58[.]243/pretencia/installet_bat_vbs.bat
hxxps://golden-scalen[.]com/files/*

Links, version C
hxxp://188[.]227[.]106[.]124/test/js/www.php
hxxp://188[.]227[.]106[.]124/test/js/BLD.exe
hxxp://188[.]227[.]106[.]124/test/js/1.js

Links, version D
hxxp://45[.]133[.]16[.]135/zayavka/www.php
hxxp://45[.]133[.]16[.]135/zayavka/666.bat
hxxp://45[.]133[.]16[.]135/zayavka/1.yay
hxxp://golden-scalen[.]com/ngg_cl.zip

Client32.ini for Horns&Hooves
edfb8d26fa34436f2e92d5be1cb5901b
3e86f6fc7ed037f3c9560cc59aa7aacc
ae4d6812f5638d95a82b3fa3d4f92861

Client32.ini known to belong to TA569
67677c815070ca2e3ebd57a6adb58d2e

Nsm.lic
17a78f50e32679f228c43823faabedfd — DERTERT
b9956282a0fed076ed083892e498ac69 — DCVTTTUUEEW23
1b41e64c60ca9dfadeb063cd822ab089 — HANEYMANEY

NetSupport RAT C2 centers for Horns&Hooves
xoomep1[.]com
xoomep2[.]com
labudanka1[.]com
labudanka2[.]com
gribidi1[.]com
gribidi2[.]com

C2 centers known to be linked to TA569
shetrn1[.]com
shetrn2[.]com

securelist.com/horns-n-hooves-…

For the cautious, a good piece of advice is to always wait to buy a new product until after the first model year, whether its cars or consumer electronics or any other major purchase. This gives the manufacturer a year to iron out the kinks and get everything ship shape the second time around. But not everyone is willing to wait on new tech. [Berto] has been interested in lithium capacitors, a fairly new type of super capacitor, and being unwilling to wait on support circuitry schematics to magically show up on the Internet he set about making his own.

The circuit he’s building here is a solar charger for the super capacitor. Being a fairly small device there’s not a lot of current, voltage, or energy, but these are different enough from other types of energy storage devices that it was worth taking a close look and designing something custom. An HT7533 is used for voltage regulation with a Schottky diode preventing return current to the solar cell, and a DW01 circuit is used to make sure that the capacitor doesn’t overcharge.

While the DW01 is made specifically for lithium ion batteries, [Berto] found that it was fairly suitable for this new type of capacitor as well. The capacitor itself is suited for many low-power, embedded applications where a battery might add complexity. Capacitors like this can charge much more rapidly and behave generally more linearly than their chemical cousins, and they aren’t limited to small applications either. For example, this RC plane was converted to run with super capacitors.

hackaday.com/2024/12/02/buildi…

Un membro di Red Hot Cyber, Agostino pellegrino, ci porta all’attenzione un comportamento molto strano di Chat-GPT, il modello linguistico di OpenAI. Il modello va costantemente in crash quando viene inserito un nome di una persona all’interno del prompt.

Tale crash si verifica ogni volta che viene digitato il nome di “David Mayer”, indipendentemente dal tipo di prompt utilizzato. Questo problema potrebbe far pensare a dei segnali di compromissione del LLM portando a sospetti che qualcosa stia alterando il normale processo di risposta.

Il comportamento anomalo riscontrato

Agostino ha segnalato che una volta inserito il nome di una persona in una richiesta a ChatGPT, il sistema si blocca o va in crash. Questo malfunzionamento non sembra essere limitato a singoli utenti, ma si presenta a chiunque tenti di utilizzare il modello. Questo avviene indipendentemente dal contesto o dalla natura della domanda.

I test condotti su più prompt e su diversi dispositivi confermano che il problema è replicabile, suggerendo che non si tratti di un errore casuale. Potrebbe trattarsi di un difetto intrinseco nel sistema ed avviene anche con particolari “escape”.

Cosa Potrebbe Essere Accaduto?

Ci potrebbero essere svariate motivazioni relativamente a questo comportamento anomalo che possono essere:

1. Hacking del modello: Attività malevola che ha fornito input al modello per evitare di elaborare richieste per specifiche di testo. Potrebbe trattarsi di un attacco di avvelenamento dei dati e dei dataset.
2. Filtro o Censura: Un’altra possibilità è che il nome in questione venga erroneamente trattato come un termine sensibile o inappropriato. Questi filtri sono progettati per prevenire l’uso improprio del sistema, ma talvolta possono generare risultati indesiderati.
3. Problemi Legati al Training del Modello: Un’altra ipotesi è che il modello sia stato addestrato su dati che includono problematiche relative a quel nome specifico. In tal caso, il modello potrebbe incorrere in conflitti durante la generazione di risposte, causando crash o interruzioni. Potrebbe trattarsi di un risultato di un training impreciso, dove la presenza di certe informazioni porta a un comportamento anomalo.
4. Problema con le Risorse di Sistema: In alcuni casi, l’inserimento di determinati input può comportare un utilizzo eccessivo delle risorse di calcolo, come la memoria o la CPU. Se il nome richiama una serie complessa di calcoli o riferimenti, potrebbe essere la causa del crash. Questo potrebbe essere dovuto a un problema di ottimizzazione del codice che non gestisce correttamente grandi quantità di dati associati a determinati input.
5. Infiltrazione di Malicious Input: Sebbene meno probabile, c’è anche la possibilità che il nome inserito sia stato utilizzato per testare vulnerabilità nel sistema da parte di attaccanti. Un nome specifico potrebbe essere parte di un tentativo di exploit che mira a far fallire il sistema, anche se al momento non ci sono prove concrete a supporto di questa teoria.

Conclusioni

Il malfunzionamento rilevato con ChatGPT, legato all’inserimento di un nome specifico, solleva diverse ipotesi riguardo le cause di questo comportamento. Sebbene non sia chiaro se si tratti di un bug tecnico, un filtro mal configurato o un problema legato al training del modello, è evidente che il problema merita attenzione. OpenAI dovrà approfondire l’indagine su questo caso per garantire che il modello funzioni correttamente senza compromettere l’affidabilità e la sicurezza del sistema. Finché la causa non sarà chiarita, gli utenti potrebbero trovarsi di fronte a comportamenti imprevisti, e l’esperienza con ChatGPT potrebbe risentirne.

Chi è David Mayer?

Andando a ricercare su Wikipedia, David Mayer è un membro della famiglia Rothschild , il più giovane dei tre figli di Victoria Lou Schott (1949 – 18 gennaio 2021) e Sir Evelyn de Rothschild (1931–2022) della famiglia di banchieri Rothschild d’Inghilterra .

Il suo secondo nome “Mayer” deriva dal nome del fondatore dell’impero bancario della famiglia Rothschild , Mayer Amschel Rothschild . Il più giovane erede della fortuna bancaria della sua famiglia, Rothschild è nato nel 1978 a Londra, Inghilterra. Sua madre era americana, figlia di Marcia Lou (nata Whitney) e dello sviluppatore immobiliare Lewis M. Schott. È il fratello minore di Anthony de Rothschild e Jessica de Rothschild.

Da adolescente, Rothschild era un saltatore di cavalli di alto livello nella squadra juniores britannica. In seguito abbandonò lo sport per proseguire gli studi, affermando in un’intervista al The New Yorker “Ho capito che nella vita c’era di più che passare ore e ore e ore su un cavallo”. Dopo aver lasciato la Harrow School nel 1996, frequentò l’Oxford Brookes, dove ottenne una laurea triennale (con lode) in Scienze politiche e Sistemi informativi . Nel 2002, Rothschild studiò al College of Naturopathic Medicine di Londra, dove ricevette un diploma avanzato in Medicina naturale, ND.

L'articolo ChatGPT è stato Hackerato? Va In Crash All’inserimento Della Parola David Mayer! proviene da il blog della sicurezza informatica.

Un attore di minacce, noto come “n4pster“, ha recentemente pubblicato un annuncio sul forum Underground Exploit per la vendita di exploit zero-day, prendendo di mira Control-WebPanel (CWP), il sistema operativo Uniview DVR e il sistema operativo Raisecom Router.

Questi exploit offrono capacità di esecuzione di codice remoto (RCE) in pre-autenticazione, consentendo agli attaccanti di ottenere l’accesso root ai sistemi vulnerabili. I prezzi richiesti per questi exploit variano da $45,000 a $150,000, a seconda del sistema di destinazione.

Motivazioni dell’Attore di Minacce

L’attore di minacce è motivato dal guadagno finanziario attraverso la vendita di exploit zero-day e la potenziale collaborazione su altre vulnerabilità non divulgate. Questo approccio strategico indica una sofisticata comprensione del mercato cybercriminale e un intento chiaro di monetizzare le vulnerabilità scoperte.

Tecnologie e Settori Mirati

Sebbene il post non specifichi settori particolari, le tecnologie prese di mira suggeriscono potenziali impatti su infrastrutture IT, sorveglianza e telecomunicazioni. Le organizzazioni che utilizzano Control-WebPanel, Uniview DVR OS e Raisecom Router OS sono particolarmente a rischio, con milioni di istanze vulnerabili esposte online.

Dettagli degli Exploit

• Control-WebPanel (CWP): RCE (senza autenticazione) per root – Prezzo richiesto: $150,000
• Uniview DVR OS: RCE (senza autenticazione) per root – Prezzo richiesto: $80,000
• Raisecom Router OS: RCE (senza autenticazione) per root – Prezzo richiesto: $45,000

N4pster afferma che queste vulnerabilità sono state sviluppate di recente, testate e non vendute, suggerendo che sono sconosciute alle aziende interessate e alla comunità di cybersecurity più ampia. Inoltre, n4pster è aperto a collaborazioni su altre vulnerabilità zero-day non divulgate, indicando un approccio strategico alla collaborazione e alla monetizzazione nell’ecosistema cybercriminale.

Conclusione

Le organizzazioni che utilizzano Control-WebPanel, Uniview DVR o Raisecom Router OS dovrebbero dare priorità alla gestione delle patch e scansionare regolarmente le vulnerabilità. Mantenere i sistemi aggiornati con le ultime patch di sicurezza può mitigare il rischio posto dagli exploit zero-day. La vendita di exploit zero-day da parte di attori di minacce come n4pster rappresenta un rischio significativo per le organizzazioni che utilizzano le tecnologie prese di mira. È essenziale che i team di sicurezza implementino misure proattive per proteggere le loro infrastrutture e ridurre il rischio di compromissioni. La collaborazione tra le aziende e la comunità di cybersecurity è fondamentale per affrontare queste minacce emergenti e proteggere le risorse critiche.

L'articolo Zero-Day For Sale! n4pster mette in vendita una RCE su Control-WebPanel (CWP) proviene da il blog della sicurezza informatica.

Energy is expensive these days. There’s no getting around it. If, like [Giovanni], you want to keep better track of your usage, you might find value in his DIY energy meter build.

[Giovanni] built his energy meter to monitor energy usage in his whole home. An ESP32 serves as the heart of this build. It’s hooked up with a JSY-MK-194G energy metering module, which uses a current clamp and transformer in order to accurately monitor the amount of energy passing through the mains connection to his home. With this setup, it’s possible to track voltage, current, frequency, and power factor, so you can really nerd out over the electrical specifics of what’s going on. Results are then shared with Home Assistant via the ESPHome plugin and the ESP32’s WiFi connection. This allows [Giovanni] to see plots of live and historical data from the power meter via his smartphone.

A project like this one is a great way to explore saving energy, particularly if you live somewhere without a smart meter or any other sort of accessible usage tracking. We’ve featured some of [Giovanni’s] neat projects before, too. Video after the break.

youtube.com/embed/hP4fDkFyy3w?…

hackaday.com/2024/12/02/balanc…

Elon Musk, noto per le sue ambiziose iniziative nei veicoli elettrici, nell’esplorazione spaziale e persino nei
social media, sta ora rivolgendo la sua attenzione alla robotica in grande stile. Tesla, sotto la guida di Musk, sta lavorando attivamente allo sviluppo di robot umanoidi, in particolare del robot “Optimus“, e questo nuovo annuncio di lavoro fa parte di tale sforzo.

La posizione in sé è un po’ fuori dall’ordinario. Comporta l’indossare una tuta di motion capture e un visore VR per simulare il movimento umano per i robot Tesla. L’obiettivo? Insegnare a questi robot come muoversi ed eseguire compiti nel mondo reale. Da azioni semplici come sedersi, stare in piedi e girarsi a movimenti più complessi, i dipendenti aiuteranno a costruire la prossima generazione di robot umanoidi che potrebbero potenzialmente rivoluzionare settori che vanno dalla produzione alle faccende domestiche quotidiane.

Sebbene l’idea di lavorare con tecnologie all’avanguardia possa sembrare entusiasmante, le esigenze fisiche di questo ruolo non sono per i deboli di cuore. I dipendenti devono camminare fino a otto ore al giorno, indossando una tuta con sensore di movimento e un visore VR. La tuta, che traccia i movimenti e i gesti, e il visore VR, che immerge chi lo indossa in un ambiente digitale, presentano entrambi una serie di sfide.

Tesla fa notare che questo tipo di lavoro può essere fisicamente impegnativo, con alcuni dipendenti che sperimentano disorientamento o addirittura nausea a causa dell’uso di apparecchiature VR. L’azienda è sincera riguardo al potenziale disagio, avvisando i candidati che le esperienze di realtà virtuale possono talvolta causare sintomi di cinetosi, qualcosa da tenere a mente prima di iscriversi.

Ma le potenziali ricompense sono significative. Il ruolo è accompagnato da uno stipendio competitivo, con alcune posizioni che offrono fino a 6.000 € al mese. Considerati gli orari impegnativi e la natura fisica del lavoro, quello stipendio è più di una semplice compensazione per il tuo tempo: è un riconoscimento dell’energia e dello sforzo necessari per aiutare a insegnare ai robot come replicare i movimenti umani.

L’ambiziosa mossa di Tesla nella robotica non riguarda solo la creazione di un robot per il bene dell’innovazione; Musk ha affermato da tempo che i robot umanoidi rivoluzioneranno il mercato del lavoro e la sua visione sta iniziando a prendere forma. Il robot Optimus, presentato per la prima volta alla fine del 2023, è progettato per svolgere compiti che vanno dallo spostamento di oggetti allo svolgimento delle faccende domestiche.

L'articolo Cammina per 8 ore al giorno in una tuta spaziale per 6000 dollari. No, non è uno scherzo! proviene da il blog della sicurezza informatica.

Dopo l’attacco al Bologna calcio da noi anticipato e successivamente confermato dalla Bologna Calcio con un comunicato stampa apposito, alle 12:00 del 30 novembre la cyber gang BASHE rivendica un presunto attacco informatico ai danni dello Stadio Sansiro di Milano.

Il gruppo sostiene di avere avuto un accesso totale alle macchine delle postazioni principali, le anagrafiche dei calciatori, i contatti anagrafici UEFA, l’accesso ai maxischermi e macchine di controllo. Viene riportato che Sarebbero stati esfiltrati 1TB di dati. Al momento il countdown è fissato a 4 giorni, data dopo la quale i criminali informatici renderanno le informazioni esfiltrate dall’azienda pubbliche.

Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva.

La gang cybercriminale ha pubblicato una serie di samples nel post, includendo schermate provenienti da postazioni Windows e sistemi di controllo interni dell’azienda. Questa strategia mira a dimostrare l’autenticità dei dati rubati, esercitando una forte pressione sulla vittima.

I criminali minacciano di rendere pubbliche le informazioni, aumentando il rischio per l’azienda, a meno che non venga pagato il riscatto. Tale tattica sfrutta la paura delle conseguenze reputazionali e legali per forzare il pagamento.

All’interno del loro post è presente quanto segue:
*Se vedete che nel blocco della vostra azienda è in corso un timer, avete la possibilità di evitare una fuga di dati. Per farlo, dovete scriverci nel modulo “Contattaci” e indicare i vostri dati. Il nostro team di assistenza vi contatterà a breve per aiutarvi.

Dovete capire che non c'è tempo per pensare, dovete prendere una decisione in fretta, il timer è partito.

Se vedete un pulsante “DOWNLOAD” in fondo alla pubblicazione della vostra azienda, significa che tutti i dati sono disponibili pubblicamente.

Garanzie dopo la transazione:
- La vostra pubblicazione sarà cancellata da questo sito
- Tutte le informazioni scaricate, i dati riservati, i dati personali, i database saranno cancellati dai server.
- Se necessario, vi verranno forniti gli strumenti per decriptare il vostro sistema.
- Vi forniremo informazioni su come evitare attacchi simili in futuro.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
Data Leak Site (DLS) della cyber gang BASHE

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo Gli Hacker Criminali di BASHE rivendicano un Attacco Informatico allo Stadio San Siro proviene da il blog della sicurezza informatica.

L’Italia, nonostante le difficoltà strutturali e un panorama non sempre favorevole all’innovazione tecnologica, dimostra di poter eccellere nel campo dell’innovazione quando esistono visione e investimenti adeguati.

Un esempio concreto è l’accensione del supercomputer di Eni a Ferrara, un risultato che sottolinea come sia possibile raggiungere livelli di eccellenza anche nel nostro Paese. Il supercomputer, primo in Europa per potenza di calcolo, rappresenta una testimonianza tangibile che, con le giuste condizioni, l’Italia può competere e primeggiare a livello internazionale.

Il nuovo sistema di calcolo ad alte prestazioni (HPC) di Eni, HPC6 , completato e avviato a novembre 2024, potenzia significativamente la capacità di calcolo del Green Data Center Eni di Ferrera Erbognone , in provincia di Pavia, aumentandone le prestazioni da 70 a 606 milioni di miliardi di operazioni matematiche complesse al secondo, equivalenti a un picco di 606 PFlops .

Classificato al quinto posto a livello mondiale e al primo in Europa nella lista Top500, il sistema è progettato secondo standard di efficienza energetica all’avanguardia.

Una delle innovazioni chiave di HPC6 è il suo nuovo sistema di raffreddamento a liquido , che ottimizza l’assorbimento del calore dalla nuova macchina, rendendola più efficiente dal punto di vista energetico e sostenibile.

HPC6 rafforza i processi di digitalizzazione e innovazione di Eni, fungendo al contempo da risorsa cruciale per implementare la strategia di ENI relativa alla decarbonizzazione e affrontare le sfide della transizione energetica.

HPC6 è l’ultima generazione dei supercomputer moderni. Le sue prestazioni lo rendono il più potente in Europa e uno dei più potenti a livello mondiale, condividendo l’architettura dei sistemi più avanzati al mondo. Queste caratteristiche gli consentono di svolgere un ruolo fondamentale nell’intera filiera energetica. Sarà utilizzato in particolare per ottimizzare le operazioni degli impianti industriali , migliorare l’accuratezza degli studi geologici e fluidodinamici per lo stoccaggio di _CO2 e sviluppare batterie ad alte prestazioni.

Sarà inoltre utilizzato per ottimizzare la filiera dei biocarburanti , sviluppare materiali innovativi per applicazioni nei settori della biochimica e simulare il comportamento del plasma nella fusione a confinamento magnetico.

L’elevata potenza di calcolo di HPC6 rafforza il processo di trasformazione di ENI, accelerando lo sviluppo di nuovi business ad alto potenziale legati alla transizione energetica. Inoltre, rafforza la sinergia tra Eni e le sue società Satellite.

HPC6 utilizza la tecnologia Cray EX4000 e Cray ClusterStor E1000 di HPE, raggiungendo una potenza di calcolo di picco di 606 PFlops (Rpeak) e 477 PFlops sostenuti (Rmax), che lo colloca tra le infrastrutture più avanzate del suo genere. Inaugurato nel 2024, il supercomputer HPC6 è installato in un’area dedicata all’interno del Green Data Center di Eni, uno dei data center più efficienti dal punto di vista energetico in Europa, con uno dei più bassi carbon footprint. Qui, il nuovo sistema di raffreddamento a liquido utilizza un approccio liquido “diretto”, che dissipa il 96% del calore generato.

Per ridurre ulteriormente le emissioni di carbonio, il Green Data Center di Ferrera Erbognone , che ospita il supercomputer, è alimentato anche da un impianto fotovoltaico da 1 MW.

HPC6 è costituito da 3.472 nodi di elaborazione , che incorporano un totale di 13.888 GPU. Ogni nodo è dotato di una CPU AMD EPYC™ a 64 core, abbinata a quattro potenti GPU AMD Instinct™ MI250X. La rete HPE Slingshot che supporta il supercomputer garantisce un’interconnessione ad alte prestazioni, veloce e affidabile tra i nodi, consentendo un rapido trasferimento dei dati.

L'articolo Italia ed ENI primi nel Supercalcolo in Europa! Acceso il Supercomputer HPC6 a Ferrara proviene da il blog della sicurezza informatica.

The small size of action cameras has made them a great solution for getting high-quality experimental footage where other cameras don’t fit. GoPros are [Joe Barnard]’s camera of choice for his increasingly advanced rockets, but even the smallest models don’t quite fit where he needs them. They also overheat quickly, so in the video after the break, he demonstrates how he strips and customizes them to fit his required form factor.

[Joe] starts out with a GoPro HERO10 Bones, which is a minimalist version intended for FPV drones. He likes the quality of the 4K 120 FPS video and the fact that he can update the settings by simply holding up a QR code in front of the camera. The case appears to be ultrasonically welded, so careful work with a Dremel is required to get it open. The reveals the control board with an aluminum heat sink plate, and the sensor module on a short ribbon cable. For minimal drag[Joe] wants just the lens to poke out through the side of the rocket, so he uses slightly longer aftermarket ribbon cables to make this easier.

The camera’s original cooling design, optimized for drone airflow, meant the device would overheat within 5 minutes when stationary. To increase the run time without the need for an external heat sink, [Joe] opts to increase the thermal mass by adding thick aluminum to the existing cooling plate with a large amount of thermal paste. In an attempt to increase heat transfer from the PCB, he also covers the entire PCB with a thick layer of thermal paste. Many of the video’s commenters pointed out that this may hurt more than it helps because the thermal paste is really intended to be used as a thin layer to increase the contact surface to a heat sink. It’s possible that [Joe] might get better results with just a form-fitting thermal block and minimal thermal paste.

[Joe] is permanently epoxying three of these modified cameras into his latest rocket, which is intended to fly at Mach 3, and touch space. This may look like a waste of three relatively expensive cameras, but it’s just a drop in the bucket of a very expensive rocket build.

We’ve seen GoPros get (ab)used in plenty of creative ways, including getting shot from a giant slingshot, and reaching the edge of space on a rocket and a balloon.

youtube.com/embed/JOLnZ3mK8kQ?…

hackaday.com/2024/12/01/stripp…

You might have heard of electrets being used in microphones, but do you know what it is? Electrets produce a semi-permanent static electric field, similar to a magnet produces a magnetic field. The ones in microphones are very small, but in the video after the break [Jay] from the Plasma Channel makes a big electret and demonstrates it’s effects.

Electrets have been arounds since the 1800s, and are usually produced by melting an insulating material, and letting it solidify between two high-voltage electrodes. The original recipe used a mix of Carnauba wax, beeswax and rosin, which is what [Jay] tried first. He built a simple electric field detector, which is just a battery, LED and FET, with and open-ended resistor on the FET’s gate.

[Jay] 3D printed a simple cylindrical mold and stuck aluminum foil to the outer surfaces to act as the electrodes. He used his custom 6000:1 voltage transformer to hold the electrodes at ~40 kV. The first attempt did not produce a working electret because the electrodes were not in contact with the wax, and kept arcing across, which causes the electric charge to trop of repeatedly. Moving the aluminum electrodes the the inner surfaces of the molds top and larger distance between the plates eventually produced and electret detectable out to 10 inches.

This was with the original wax recipe, but there are now have much better materials available, like polyethylene. [Jay] heated a a block of it in the oven until it turned into a clear blob, and compressed it in a new mold with improved insulation. This produced significantly better results, with an electric field detectable out to 24 inches.

[Jay] also build an detector array, with 25 detectors in a 5×5 array, to help him visualize the size and shape of the field. One of the commenters had an interesting idea to use the detector with long exposure photography to visually map the shape of the electric field.

Besides microphones, static electricity is also useful for motors and speakers.

youtube.com/embed/oTNXXiMO3e8?…

hackaday.com/2024/12/01/electr…

Many Hackaday readers have an interest in retro technology, but we are not the only group who scour the flea markets. Alongside us are the collectors, whose interest is as much cultural as it is technological, and who seek to preserve and amass as many interesting specimens as they can. From this world comes [colectornet], with a video that crosses the bridge between our two communities, examining the so-called transistor wars of the late 1950s and through the ’60s. Just as digital camera makers would with megapixels four or five decades later, makers of transistor radios would cram as many transistors as they could into their products in a game of one-upmanship.

A simple AM transistor radio can be made with surprisingly few components, but for a circuit with a reasonable performance they suggest six transistors to be the optimal number. If we think about it we come up with five and a diode, that’s one for the self-oscillating mixer, one for IF, an audio preamplifier, and two for the audio power amplifier, but it’s possible we’re not factoring in the relatively low gain of a 1950s transistor and they’d need that extra part. In the cut-throat world of late ’50s budget consumer electronics though, any marketing ploy was worth a go. As the price of transistors tumbled but their novelty remained undimmed, manufacturers started creating radios with superfluous extra transistors, even sometimes going as far as to fit transistors which served no purpose. Our curious minds wonder if they bought super-cheap out-of-spec parts to fill those footprints.

The video charts the transistor wars in detail, showing us a feast of tiny radios, and culminating in models which claim a barely credible sixteen transistors. In a time when far more capable radios use a fraction of the board space, the video below the break makes for a fascinating watch.

youtube.com/embed/UJpggY_R5rs?…

hackaday.com/2024/12/01/when-t…