Il Rafel RAT, un malware Android, inizialmente utilizzato per spionaggio, ha evoluto le sue funzionalità fino a diventare uno strumento di ransomware.

Questo malware sfrutta tecniche avanzate per infettare dispositivi e criptare dati, richiedendo un riscatto per la loro decrittazione. La sua diffusione avviene principalmente tramite applicazioni infette scaricate al di fuori degli store ufficiali, rendendo cruciale per gli utenti Android scaricare solo da fonti sicure​ (Check Point Research)​.

Msedge.exe: Processo Legittimo o Minaccia Malware?

Il file msedge.exe è il processo eseguibile del browser Microsoft Edge. Tuttavia, alcuni malware possono camuffarsi con nomi simili per nascondersi nel sistema. Per verificare se msedge.exe è legittimo, bisogna controllare la sua posizione nel sistema (deve trovarsi in C:\Program Files (x86)\Microsoft\Edge\Application\) e la sua dimensione (2.964.368 byte). Eventuali discrepanze potrebbero indicare la presenza di malware, richiedendo una scansione del sistema con un software anti-malware​ (SpyHunter)​.

Aggiornamento Android: Nuovi Avvertimenti per gli Utenti Samsung, Pixel e Xiaomi

Un recente articolo di Forbes ha evidenziato un avvertimento di Google riguardo nuove vulnerabilità nelle versioni di Android utilizzate dai dispositivi Samsung, Pixel e Xiaomi. Queste vulnerabilità potrebbero essere sfruttate da attaccanti per eseguire codice arbitrario o ottenere privilegi elevati, compromettendo la sicurezza dei dati degli utenti. È essenziale mantenere aggiornato il proprio dispositivo e installare patch di sicurezza non appena disponibili​ (Check Point Research)​.

DoNot Team: Un Nuovo Quadro di Malware Modulare

APT-C-35, noto anche come Donot Team è un gruppo APT (Advanced Persistent Threat) noto per le sue operazioni in Asia meridionale, utilizzando un malware modulare per compiere spionaggio e altre attività malevole. I loro attacchi sono altamente mirati e sfruttano vulnerabilità specifiche nei sistemi delle vittime. Documenti pubblicati su VX-Underground illustrano le tecniche avanzate utilizzate dal DoNot Team, tra cui l’uso di moduli personalizzati per raccogliere informazioni sensibili e mantenere la persistenza nel sistema compromesso​ (Check Point Research)​.

APT-C-35: Tecniche e Tattiche

APT-C-35 adotta tecniche avanzate per infiltrarsi nei sistemi delle vittime e mantenere l’accesso a lungo termine. Le principali tattiche includono:

1. Exploitation: APT-C-35 utilizza exploit per sfruttare vulnerabilità nei sistemi delle vittime, permettendo l’esecuzione di codice arbitrario. Ad esempio, sfruttano vulnerabilità nei software di terze parti per ottenere l’accesso iniziale.
2. Raccolta di Informazioni: Utilizzano strumenti per la raccolta di informazioni sui sistemi compromessi, inclusi dettagli di configurazione e credenziali di accesso. Queste informazioni vengono poi utilizzate per espandere ulteriormente la loro presenza all’interno della rete.
3. Manipolazione dei Dati: Oltre alla raccolta, possono manipolare i dati delle vittime, alterando file e registri per coprire le loro tracce o causare ulteriori danni​ (Morphisec Cybersecurity Blog)​​ (Security Affairs)​.

Tecniche Avanzate di APT-C-35

1. Shellcode Multi-stadio: Utilizzano shellcode multi-stadio che consente l’esecuzione di codice malevolo in modo stealthy e persistente. Questo approccio consente di evitare rilevamenti e analisi statiche del malware.
2. Cifratura con XOR: Gli attaccanti utilizzano chiavi XOR per cifrare i payload malevoli, complicando l’analisi e il reverse engineering del malware.
3. Verifica di Soluzioni di Sicurezza: Prima di eseguire il payload, il malware verifica la presenza di software di sicurezza come McAfee, Norton e Bitdefender. Se questi software sono presenti, il malware adotta misure di evasione​ (Morphisec Cybersecurity Blog)​​ (Security Affairs)​.

Rafel RAT

Rafel RAT (Remote Access Trojan) è uno degli strumenti principali utilizzati da APT-C-35. Originariamente progettato per operazioni di spionaggio, è stato recentemente aggiornato per includere funzionalità di ransomware, ampliando così il suo spettro di minacce.

Tecniche di Attack-Pattern di Rafel RAT:

[T1592] Gather Victim Host Information: Rafel RAT utilizza scanner di Internet per cercare pattern associati a contenuti malevoli progettati per raccogliere informazioni sull’host dai visitatori. Questo gli consente di identificare potenziali bersagli e di personalizzare le sue campagne di phishing o di exploit.

[T1211] Exploitation for Defense Evasion: Rafel RAT sfrutta le vulnerabilità dei software installati sui sistemi infetti per eludere le misure di sicurezza e ottenere privilegi elevati. Questo gli permette di eseguire il payload del ransomware, disabilitare i processi di sicurezza o iniettare codice maligno in processi legittimi. Per rilevare l’exploitation del software, si possono monitorare le anomalie nei processi, come il crash, la scrittura di file sospetti sul disco o le evidenze di Process Injection.

[T1036] Masquerading: Rafel RAT può usare tecniche di mascheramento per nascondere la sua presenza o la sua origine sui sistemi compromessi. Può ad esempio modificare il nome, il percorso o l’hash dei file eseguibili, o usare nomi simili a quelli di processi o applicazioni legittime. Per rilevare il mascheramento, si possono raccogliere e confrontare gli hash dei file, i nomi dei file sul disco e nelle risorse dei binari, e gli argomenti della riga di comando. Si possono anche cercare indicazioni di caratteri comuni che possono indicare un tentativo di ingannare gli utenti sul tipo di file, come uno spazio come ultimo carattere del nome del file o i caratteri di override da destra a sinistra “\u202E”, “[U+202E]”, e “%E2%80%AEâ€157;.

[T1486] Data Encrypted for Impact: Rafel RAT può usare tecniche di cifratura dei dati per impedire l’accesso o il recupero delle informazioni sui sistemi infetti. Può ad esempio criptare i file, le partizioni o i dischi, o alterare le impostazioni di avvio per rendere il sistema inutilizzabile. Per rilevare la cifratura dei dati, si possono usare il monitoraggio dei processi per controllare l’esecuzione e i parametri della riga di comando dei binari coinvolti nell’attività di distruzione dei dati, come vssadmin, wbadmin e bcdedit. Si può anche monitorare la creazione di file sospetti e l’attività di modifica dei file insolita. In particolare, si può cercare una grande quantità di modifiche di file nelle directory degli utenti. In alcuni casi, il monitoraggio dell’attività di installazione di driver del kernel insolita può aiutare nella rilevazione. Negli ambienti cloud, si può monitorare gli eventi che indicano che gli oggetti di archiviazione sono stati sostituiti in modo anomalo da copie.

[T1565] Data Manipulation: Rafel RAT può usare tecniche di manipolazione dei dati per alterare o falsificare le informazioni sui sistemi infetti o durante la loro trasmissione. Può ad esempio modificare i file, i database, le configurazioni, i log o i dati in transito per danneggiare, ingannare o compromettere le operazioni o le decisioni degli utenti. Per rilevare la manipolazione dei dati, si possono ispezionare, dove applicabile, gli hash, le posizioni e le modifiche dei file importanti per cercare valori sospetti o inaspettati. Con alcuni processi critici che coinvolgono la trasmissione dei dati, il controllo manuale o fuori banda dell’integrità dei dati può essere utile per identificare i dati manipolati.

[T1078] Valid Accounts: Rafel RAT può usare account validi per accedere ai sistemi o ai servizi compromessi. Può ad esempio usare credenziali rubate, create o modificate, o sfruttare le configurazioni di default o le chiavi SSH. Per rilevare l’uso di account validi, si possono configurare politiche di audit robuste e consistenti sull’attività degli account in tutta l’impresa e con i servizi accessibili esternamente. Si può cercare un comportamento sospetto degli account tra i sistemi che condividono gli account, sia utente, amministratore o di servizio. Esempi: un account collegato a più sistemi simultaneamente; più account collegati alla stessa macchina simultaneamente; account collegati a orari insoliti o al di fuori degli orari di lavoro. L’attività può essere da sessioni di login interattive o da proprietà di processi da account usati per eseguire binari su un sistema remoto come un determinato account. Si possono correlare altri sistemi di sicurezza con le informazioni di login (ad esempio, un utente ha una sessione di login attiva ma non è entrato nell’edificio o non ha accesso VPN). Si possono eseguire audit regolari degli account di dominio e di sistema locale per rilevare gli account che possono essere stati creati da un avversario per la persistenza. I controlli su questi account potrebbero anche includere se gli account predefiniti come Guest sono stati attivati. Questi audit dovrebbero anche includere controlli su eventuali dispositivi e applicazioni per le credenziali di default o le chiavi SSH, e se ne vengono scoperte, dovrebbero essere aggiornate immediatamente.

Capacità di Rafel RAT

1. Infostealer: Rafel RAT è altamente efficiente nel raccogliere informazioni sensibili dai sistemi infetti. Utilizza tecniche di keylogging e cattura schermate per ottenere dati sensibili dagli utenti.
2. Persistenza: Implementa tecniche di persistenza come la creazione di attività pianificate e la modifica delle chiavi di registro per eseguire il malware all’avvio del sistema​ (ThreatMon)​.
3. Cifratura e Anti-Analisi: Utilizza chiavi XOR per cifrare i suoi payload e verifica la presenza di software di sicurezza prima di eseguire ulteriori azioni malevole​ (Morphisec Cybersecurity Blog)​.
4. Ransomware: L’ultima evoluzione di Rafel RAT include capacità di ransomware, permettendo agli attaccanti di cifrare i dati delle vittime e richiedere un riscatto per la decrittazione​ (Morphisec Cybersecurity Blog)​​ (ThreatMon)​.

Struttura del Malware e Operazioni

Rafel RAT è spesso distribuito tramite spear-phishing e altre tecniche di social engineering. Una volta installato, il malware stabilisce una connessione con il server C2 (Command and Control), attraverso il quale gli attaccanti possono inviare comandi e ricevere dati esfiltrati. La modularità di Rafel RAT permette di scaricare ed eseguire ulteriori moduli malevoli secondo le necessità dell’attaccante.

Implicazioni e Misure di Sicurezza

L’attività di APT-C-35 e l’evoluzione di Rafel RAT evidenziano la crescente sofisticazione delle minacce informatiche moderne. Le organizzazioni devono adottare misure di sicurezza robuste per proteggere i loro sistemi, tra cui:

1. Aggiornamenti e Patch: Mantenere i sistemi aggiornati con le ultime patch di sicurezza è fondamentale per prevenire l’exploit di vulnerabilità conosciute.
2. Monitoraggio Continuo: Implementare soluzioni di monitoraggio continuo per rilevare attività sospette e rispondere rapidamente a potenziali minacce.
3. Educazione e Consapevolezza: Formare il personale sulla sicurezza informatica e sulle tecniche di social engineering per ridurre il rischio di attacchi tramite phishing e altre metodologie di ingegneria sociale​ (Morphisec Cybersecurity Blog)​​ (ThreatMon)​​ (Security Affairs)​.

Conclusione

APT-C-35, con il suo strumento avanzato Rafel RAT, rappresenta una minaccia significativa nel panorama della cybersecurity. La capacità del malware di adattarsi e includere nuove funzionalità, come il ransomware, evidenzia l’evoluzione continua delle tattiche di questi gruppi di cyber spionaggio. È essenziale per le organizzazioni adottare misure di sicurezza robuste, includendo soluzioni di rilevamento e risposta avanzate, per mitigare i rischi associati a tali minacce.

L'articolo Rafel RAT: Dallo Spionaggio al Ransomware, Una Minaccia in Evoluzione proviene da il blog della sicurezza informatica.

TikTok ha accidentalmente pubblicato un collegamento a una versione interna del suo nuovo strumento di creazione di avatar digitali basato sull’intelligenza artificiale senza restrizioni, consentendo agli utenti di creare video con qualsiasi contenuto.

La prima ad accorgersene è stata la CNN , che è riuscita a creare un video con citazioni di Hitler e messaggi che incoraggiavano le persone a bere candeggina, tra le altre frasi. Da allora TikTok ha rimosso questa versione dello strumento, mentre la versione pianificata rimane disponibile.

Lanciati all’inizio di questa settimana, gli avatar digitali Symphony di TikTok consentono alle aziende di creare annunci utilizzando le sembianze di attori pagati. Lo strumento utilizza anche la tecnologia voiceover AI, consentendo agli inserzionisti di inserire uno script per fare in modo che gli avatar dicano quello che vogliono, secondo le linee guida di TikTok.

Sebbene solo gli utenti con un account TikTok Ads Manager possano accedere allo strumento, la versione scoperta dalla CNN ha consentito a chiunque abbia un account personale di provarlo.

In una dichiarazione, la portavoce di TikTok Laura Perez ha affermato che TikTok ha risolto un “problema tecnico” che “ha consentito a un numero molto limitato di utenti di creare contenuti utilizzando una versione di test interna dello strumento per diversi giorni”.

Quando la CNN ha scoperto lo strumento interno, è stata in grado di creare un video con il testo “Lettera all’America” ​​di Osama bin Laden, slogan della supremazia bianca e un video che incoraggiava le persone a votare nel giorno sbagliato. Nessuno dei video creati dalla CNN aveva una filigrana che indicasse che il video era stato creato dall’intelligenza artificiale, che è presente nella versione corretta degli avatar digitali Symphony di TikTok.

La CNN non ha pubblicato i video creati su TikTok, ma Perez ha osservato che se lo avesse fatto, il contenuto sarebbe stato rifiutato per aver violato le politiche della piattaforma. Sebbene TikTok abbia già rimosso questa versione del suo strumento, resta la domanda se le persone troveranno altri modi per abusare del creatore di avatar digitali e se TikTok sia pronto per questo.

L'articolo TikTok: gli avatar AI generano video con slogan di Hitler e inviti a bere candeggina proviene da il blog della sicurezza informatica.

Recentemente, Handala, un attore malevolo ha pubblicato un post su un noto forum del dark web, rivendicando un attacco informatico ai danni di Zerto, una sussidiaria di Hewlett Packard Enterprise (HPE). Zerto è rinomata per le sue soluzioni avanzate di disaster recovery, resilienza ai ransomware e mobilità dei carichi di lavoro, progettate specificamente per infrastrutture virtualizzate e ambienti cloud.

Traduzione del Post

Handala (threat actor) ha attaccato Zerto (una delle più grandi aziende di sicurezza informatica sioniste al mondo).

Zerto, una società di Hewlett Packard Enterprise, consente ai clienti di gestire un business sempre attivo semplificando la protezione, il recupero e la mobilità delle applicazioni on-premises e cloud. La piattaforma di gestione e protezione dei dati cloud di Zerto elimina i rischi e la complessità della modernizzazione e dell’adozione del cloud attraverso implementazioni private, pubbliche e ibride. La piattaforma software-only utilizza una protezione continua dei dati su vasta scala per convergere il disaster recovery, il backup e la mobilità dei dati. Zerto è fidata da oltre 9.500 clienti a livello globale e alimenta le offerte per Microsoft Azure, IBM Cloud, AWS, Google Cloud, Oracle Cloud e più di 350 fornitori di servizi gestiti. Zerto fornisce backup e recupero per applicazioni SaaS come Microsoft 365, Dynamics 365, Azure Active Directory, Salesforce, Google Workspace e altro ancora. Questa azienda ha più di 300 milioni di dollari di entrate!

Questi sciocchi sionisti non possono nemmeno fornire la propria sicurezza informatica, pensate davvero che possano fornirla a voi? È ridicolo!

51 TB di dati scaricati e cancellati! Alcune email inviate…

Il Collettivo Hacker Handala

Handala è un gruppo di hacker pro-palestinese noto per i suoi attacchi mirati contro entità israeliane e i loro alleati. Questo gruppo ha acquisito notorietà per diverse operazioni di alto profilo, tra cui l’invio di messaggi minacciosi a cittadini israeliani e l’affermazione di aver compromesso sistemi radar e la difesa missilistica Iron Dome di Israele. Gli attacchi di Handala sono spesso motivati politicamente, mirati a diffondere messaggi politici e a destabilizzare le infrastrutture critiche​​​​.

Recentemente, Handala ha rivendicato un attacco contro l’app di messaggistica Viber, dichiarando di aver sottratto 740 GB di dati, inclusi il codice sorgente e altre informazioni sensibili. Questo gruppo ha anche richiesto un riscatto di 8 Bitcoin, equivalente a circa 583.000 dollari, per il rilascio dei dati rubati​​.

Handala utilizza diverse tecniche di attacco avanzate, tra cui phishing e SQL injection, per compromettere le loro vittime. La loro attività è principalmente motivata dal sostegno alla causa palestinese, e continuano a colpire vari settori, inclusi infrastrutture, aziende tecnologiche e sistemi di difesa israeliani​​​​.

Motivazioni dell’Attacco

L’attore malevolo ha dichiarato che l’attacco non è stato perpetrato per motivi finanziari o di spionaggio industriale, ma per ragioni politiche.

“Questi sciocchi sionisti non possono nemmeno fornire la propria sicurezza informatica, pensate davvero che possano fornirla a voi? È ridicolo!”

Questa dichiarazione sottolinea una tendenza crescente di attacchi informatici motivati da cause ideologiche piuttosto che da interessi economici.

Impatto dell’Attacco

Il post dell’attore malevolo afferma che sono stati sottratti e successivamente cancellati 51 terabyte (TB) di dati. Questo volume di dati rappresenta una quantità significativa di informazioni, che potrebbero includere:

• Dati Sensibili dei Clienti: Informazioni di backup, configurazioni di disaster recovery, e piani di resilienza ai ransomware.
• Proprietà Intellettuale: Codici sorgente, algoritmi e altre proprietà intellettuali sviluppate da Zerto.
• Dati Operativi: Dettagli sulle operazioni interne e l’infrastruttura IT di Zerto.

L’attore malevolo ha condiviso un canale Telegram nel post, utilizzato probabilmente per diffondere ulteriori dettagli sull’attacco e forse per coordinare ulteriori azioni. L’inclusione di un’immagine relativa all’attacco aggiunge un ulteriore livello di credibilità alla rivendicazione.

Conclusione

L’attacco a Zerto rappresenta un grave avvertimento per tutte le aziende operanti nel settore della sicurezza informatica e del cloud computing. La motivazione politica dietro l’attacco aggiunge una dimensione complessa alla sicurezza informatica, richiedendo strategie di difesa più sofisticate e una maggiore consapevolezza delle minacce.

L'articolo Presunto attacco informatico a Zerto: non per scopi finanziari o di spionaggio, ma per ragioni politiche. proviene da il blog della sicurezza informatica.

Le vulnerabilità rappresentano costantemente un rischio significativo per le aziende e le istituzioni. Molti amministratori di sistema potrebbero ricordare il CVE-2023-34362 dello scorso anno, una vulnerabilità catastrofica in Progress MOVEit Transfer che ha scosso l’industria, colpendo vittime di alto profilo come la BBC e l’FBI.

Dati sensibili sono stati trapelati e distrutti, poiché la banda di ransomware cl0p ha sfruttato vulnerabilità 0day per rubare dati, lasciando infine una scia di caos. Oggi, una nuova minaccia emerge all’orizzonte: la vulnerabilità CVE-2024-5806.

Il passato: CVE-2023-34362

La CVE-2023-34362 (nvd.nist.gov/vuln/detail/CVE-2… ) rappresenta una delle vulnerabilità più critiche che ha colpito Progress MOVEit Transfer, un software ampiamente utilizzato per il trasferimento sicuro dei file. Scoperta e divulgata nel 2023, questa vulnerabilità ha avuto un impatto significativo su diverse organizzazioni di alto profilo, tra cui la BBC e l’FBI.

Descrizione della Vulnerabilità CVE-2023-34362

La CVE-2023-34362 è una vulnerabilità classificata come “Remote Code Execution” (RCE). Questa tipologia di vulnerabilità permette a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio senza necessità di autenticazione. Nel caso specifico della CVE-2023-34362, la falla risiedeva in una gestione inadeguata delle richieste HTTP da parte del software MOVEit Transfer.

Meccanismo di Sfruttamento CVE-2023-34362

La vulnerabilità poteva essere sfruttata inviando richieste HTTP appositamente create al server MOVEit Transfer. Queste richieste malevole erano in grado di bypassare i controlli di sicurezza e di eseguire comandi arbitrari con i privilegi del processo di esecuzione del server. Questo tipo di attacco poteva essere utilizzato per installare malware, rubare dati, o compromettere ulteriormente la rete interna dell’organizzazione.

Impatto e Danni Causati CVE-2023-34362

L’impatto della CVE-2023-34362 è stato devastante. La vulnerabilità è stata sfruttata dalla gang di ransomware cl0p, che ha utilizzato questa falla per condurre attacchi su vasta scala. Le conseguenze degli attacchi includevano:

1. Furto di Dati Sensibili: Dati altamente sensibili e riservati sono stati sottratti da numerose organizzazioni, tra cui la BBC e l’FBI.
2. Distruzione di Dati: Alcuni dati compromessi sono stati distrutti, causando perdite significative.
3. Interruzione dei Servizi: Le operazioni di molte organizzazioni sono state interrotte, causando disservizi e perdite economiche.

Un nuovo bug di sicurezza su Progress MOVEit Transfer

Recentemente, è stata identificata una nuova vulnerabilità in Progress MOVEit Transfer, classificata come CVE-2024-5806. Questa vulnerabilità è stata etichettata come una debolezza di ‘improper authentication’ (CWE-287).

Si tratta di un problema che consente agli attaccanti di aggirare i meccanismi di autenticazione e ottenere accesso non autorizzato ai dati sensibili. Questo tipo di vulnerabilità è particolarmente preoccupante poiché può essere sfruttata per compromettere gravemente la sicurezza dei dati.

Maggiori dettagli: nvd.nist.gov/vuln/detail/CVE-2…

La Disponibilità di un Proof of Concept (POC) per l’Exploit

Ad aggravare ulteriormente la situazione, è emerso un Exploit Proof of Concept (POC) per il CVE-2024-5806. La disponibilità di un POC significa che gli attaccanti hanno a disposizione un esempio funzionante di come sfruttare la vulnerabilità, aumentando il rischio di attacchi reali.

Il POC può essere utilizzato come base per sviluppare strumenti di attacco più sofisticati e mirati, rendendo la vulnerabilità una minaccia imminente.

Il Rischio di un Nuovo Attacco da Parte di cl0p

Considerando la storia recente, una domanda sorge spontanea: l’attore ransomware cl0p sfrutterà nuovamente questa vulnerabilità?

La gang cl0p, nota per aver utilizzato la vulnerabilità CVE-2023-34362 per attacchi devastanti, potrebbe vedere nella CVE-2024-5806 una nuova opportunità.

Con la loro comprovata esperienza e la disponibilità di un POC, c’è un rischio elevato che cl0p o gruppi simili possano tentare di sfruttare questa nuova falla di sicurezza.

La ransomware gang cl0p

Cl0p è una delle gang di ransomware più temute e sofisticate nel panorama della sicurezza informatica. Questo gruppo criminale è noto per aver condotto attacchi devastanti contro numerose organizzazioni di alto profilo utilizzando tecniche avanzate e vulnerabilità critiche, come la CVE-2023-34362 in Progress MOVEit Transfer.

Cl0p ransomware è ampiamente ritenuto avere origini in Russia o nei paesi dell’ex Unione Sovietica. Le prove indicano che i membri del gruppo parlano russo e operano in fusi orari compatibili con questa regione. Tuttavia, come per molte attività cybercriminali, l’esatta localizzazione geografica dei membri del gruppo può essere difficile da determinare con certezza.

Tecniche, Tattiche e Procedure (TTPs)

Cl0p ransomware gang utilizza un insieme di tecniche, tattiche e procedure altamente sofisticate per condurre i propri attacchi.

Di seguito le principali TTPs associate al gruppo:

1. Exploiting Zero-Day Vulnerabilities: Cl0p è noto per sfruttare vulnerabilità non ancora pubblicamente divulgate (zero-day) per penetrare nei sistemi delle vittime. Un esempio rilevante è la CVE-2023-34362 in Progress MOVEit Transfer.
2. Phishing e Spear-Phishing: Utilizzano campagne di phishing mirate per ottenere accesso iniziale ai sistemi, spesso inviando email che appaiono legittime ma contengono link o allegati malevoli.
3. Lateral Movement: Una volta ottenuto l’accesso a una rete, Cl0p si sposta lateralmente per compromettere ulteriori sistemi, utilizzando strumenti come Mimikatz per estrarre credenziali e guadagnare accesso privilegiato.
4. Data Exfiltration: Prima di criptare i dati, il gruppo esfiltra informazioni sensibili, che utilizza come leva per estorcere ulteriori pagamenti minacciando di pubblicare i dati rubati.
5. Double Extortion: Cl0p pratica l’estorsione doppia, richiedendo un riscatto sia per decriptare i file sia per evitare la pubblicazione dei dati esfiltrati.
6. Ransomware Deployment: Infine, Cl0p distribuisce il ransomware attraverso la rete compromessa, cifrando i file e rendendoli inaccessibili fino al pagamento del riscatto.

Conclusione

La scoperta della vulnerabilità CVE-2024-5806 in Progress MOVEit Transfer rappresenta un serio rischio per la sicurezza delle informazioni aziendali. La presenza di un POC per l’exploit aumenta ulteriormente la minaccia, rendendo cruciale per le organizzazioni adottare misure preventive immediate. La possibilità che il gruppo ransomware cl0p sfrutti questa nuova vulnerabilità non può essere esclusa, rendendo ancora più importante la vigilanza e la preparazione. La sicurezza informatica è una battaglia continua, e solo attraverso la prevenzione e la risposta rapida le aziende possono proteggere i loro asset più preziosi: i dati.

L'articolo Catastrofe Cyber in vista? Il nuovo Bug di Progress MOVEit ha un Exploit PoC Online proviene da il blog della sicurezza informatica.

[Poking Technology] doesn’t think much of his new smartwatch. It is, by his admission, the cheapest possible smartwatch, coming in at about $3. It has very few useful features but he has figured out how to port MicroPython to it, so for a wrist-mounted development board with BLE, it might be useful. You can check it out in the video below.

The first step is a teardown, which reveals surprisingly little on the inside. There’s a tiny battery, a few connections, a display, and a tiny CPU board. There are, luckily, a few test pads that let you get into the CPU. What do you get? A 24 MHz Telink CPU with 512k of flash and 16k of RAM, along with all the other hardware.

Of course, even if you just want a display with some smarts, $3 might be in your price range. The whole thing wound up taped down to a PCB. But the usual debugger didn’t want to connect. Grabbing an oscilloscope revealed that the output from the board had some level problems. He eventually wrote his own debugger interface using a Pi Pico.

He was able to find the onboard CPU’s development tools. The CPU claims to be proprietary but looks suspiciously like a slightly modified ARM. A short investigation shows that the object code is extremely similar to the ARM Thumb instruction set but with a few extra bits set and different mnemonics. But once you put Python on board, who really cares?

The only downside is that it doesn’t appear that the BLE is practically usable because of memory limitations. But there are still places you might use the little watch in a project.

If you want a smartwatch, maybe build your own. While many DIY watches are simple, you can get pretty complicated if you like.

youtube.com/embed/sv58aPvIonw?…

@Notizie dall'Italia e dal mondo

Unione Europea, una Agenzia delle Nazioni Unite ed un Programma ONU insieme per contrastare il traffico di rifiuti, in un progetto a medio termine denominato #UNWASTE.
Di cosa si tratta?
Il commercio illegale di rifiuti (o traffico di rifiuti) è un reato che colpisce l’ambiente ed è un problema crescente in tutto il mondo. Una volta raggiunti i paesi di destinazione, i rifiuti illegali spesso finiscono in discariche illegali e siti di stoccaggio illegali o vengono bruciati all’aperto, causando danni all’ambiente e alla salute umana, minando il raggiungimento degli Obiettivi di Sviluppo Sostenibile e la transizione verso un’economia circolare.

I flussi illegali di rifiuti sono spesso nascosti dietro movimenti transfrontalieri controllati o legali. I confini tra le attività lecite e quelle illecite nel traffico di rifiuti possono essere sottili e le attività, gli attori e il modus operandi coinvolti spesso si sovrappongono e si alimentano a vicenda.

La mappatura dei flussi di rifiuti, una migliore conoscenza del modus operandi delle reti di traffico di rifiuti nonché la cooperazione nazionale, regionale e interregionale sono essenziali per affrontare il traffico di rifiuti.

Paesi del Sud-Est asiatico
Dal 2018, i paesi del sud-est asiatico, tra cui Indonesia, Malesia, Tailandia e Vietnam, sono diventati le principali destinazioni regionali per l’afflusso di rifiuti legali e illegali. Nonostante i quadri giuridici nazionali e internazionali esistenti, l’esistenza di divieti sul commercio di rifiuti e le restrizioni messe in atto dai governi regionali negli ultimi anni, i rifiuti problematici continuano a raggiungere questi paesi.

Il progetto Unwaste
Mira a combattere il traffico di rifiuti tra l’ #UE e il Sud-Est asiatico promuovendo partenariati rafforzati tra gli Stati membri UE-ASEAN (organizzazione politica, economica e culturale di nazioni situate nel sud-est asiatico, a cui è collegata l'omonima area di libero scambio), a sostegno degli sforzi in corso verso una transizione all’economia circolare, in linea con i quadri politici pertinenti.

Gli obiettivi del progetto sono:

- Comprendere meglio i flussi di rifiuti tra l’Europa e il Sud-Est asiatico, con un’ulteriore attenzione all’impatto della pandemia di COVID-19 sui movimenti di rifiuti sanitari e pericolosi.
- Promuovere la cooperazione attraverso dialoghi nazionali per combattere i movimenti illeciti di rifiuti dall’UE verso il sud-est asiatico.
- Facilitare i dialoghi intra e interregionali a livello politico per promuovere il partenariato tra l’UE e i paesi del sud-est asiatico, a sostegno dell’approccio dell’economia circolare.

Questo progetto è realizzato in collaborazione con il Programma delle Nazioni Unite per l'ambiente (#UNEP) e finanziato dall'Unione Europea, impegnata sul campo anche con il proprio #OLAF, l'Ufficio Europeo per la lotta anti-frode. Per altro il 20 maggio scorso è entrata in vigore una nuova normativa europea sul trasporto transfrontaliero di rifiuti: prevede regole più severe sulle esportazioni di rifiuti al di fuori dell'Unione Europea e mira a favorire il riciclaggio all'interno degli Stati membri. Si stima che un terzo delle spedizioni internazionali di rifiuti sia illegale. Il filmato che segue dimostra l'attività svolta da OLAF congiuntamente all' Agenzia delle Dogane in Genova, ed reperibile a questo link:
it.euronews.com/video/2024/06/…
#trafficodirifiuti #UE

Video. Per contrastare il traffico di rifiuti serve una maggiore cooperazione

Video. Il 20 maggio è entrata in vigore una nuova normativa europea sul trasporto transfrontaliero di rifiuti: prevede regole più severe sulle esportazioni di rifiuti al di fuori dell'Ue e mira a favorire il riciclaggio all'interno degli Stati membri…

^Euronews.com