Il mondo della cybersecurity è costantemente sotto assedio da parte di attori malintenzionati che cercano di sfruttare vulnerabilità per ottenere accessi non autorizzati a sistemi sensibili.

Recentemente, un Initial Access Broker (IAB) ha pubblicato un annuncio preoccupante su un forum noto per la vendita di dati e accessi compromessi. Sta vendendo l’accesso alla rete interna di una società di cybersecurity europea.

Dettagli dell’annuncio

L’annuncio, comparso su BreachForum, è stato postato da un utente con il nome “Biatch” il 13 luglio 2024. Nel messaggio, l’utente dichiara di possedere l’accesso alla rete interna di una società di cybersecurity non identificata con sede in Europa. Secondo quanto riportato, la rete compromessa comprende più di 100 computer collegati e il valore dell’accesso è stimato in 15,6 milioni di dollari.

Accesso mantenuto per mesi

Una delle affermazioni più preoccupanti dell’annuncio è che l’accesso alla rete è stato mantenuto per mesi senza alcun problema o interruzione. Questo implica una potenziale falla di sicurezza di lunga durata all’interno della società colpita, che potrebbe aver esposto dati sensibili e compromesso la sicurezza delle operazioni aziendali.

Richiesta di contatto

Per ulteriori informazioni, l’utente ha invitato gli interessati a contattarlo tramite un canale di comunicazione crittografato (qtox), indicando un lungo codice di contatto. Questo tipo di comunicazione è tipica negli ambienti underground per mantenere l’anonimato e la sicurezza delle interazioni tra venditori e acquirenti.

Reazioni e Implicazioni

Le implicazioni di un accesso non autorizzato così esteso sono molteplici. In primo luogo, la fiducia dei clienti della società di cybersecurity potrebbe essere gravemente compromessa. Inoltre, se l’accesso viene venduto a gruppi criminali o a stati-nazione, potrebbe essere utilizzato per attacchi ulteriormente sofisticati o per lo spionaggio industriale.

Un utente del forum, “theprophet”, ha chiesto ulteriori dettagli riguardo il paese di origine della società di cybersecurity, dimostrando un interesse significativo nella specifica geo-localizzazione dell’azienda colpita.

L'articolo Darkweb: In Vendita l’Accesso alla Rete Interna di una Azienda di Cybersecurity proviene da il blog della sicurezza informatica.

Ne avevamo parlato qualche settimana fa con un articolo “Il mondo ha bisogno di nuovi muri“, di Massimiliano Brolli, il quale portava all’attenzione questo fenomeno di “isolamento tecnologico” del mondo che comporterà gravissime conseguenze a lungo termine.

Il fornitore russo di antivirus e società di sicurezza informatica Kaspersky Lab ha annunciato ufficialmente il suo ritiro dal mercato americano. L’azienda ha confermato ai media che la sede principale negli Stati Uniti chiuderà nel prossimo futuro e tutti i dipendenti che vi lavoravano verranno licenziati.

Kaspersky Lab non dice esattamente quante persone verranno licenziate. I rappresentanti hanno spiegato che la chiusura riguarderà “meno di 50 dipendenti negli Stati Uniti”. I dipendenti licenziati hanno dichiarato ai media di aver già ricevuto l’indennità di fine rapporto. Le sue dimensioni e i dettagli dei pagamenti sono tenuti segreti.

A partire dal 20 luglio 2024, Kaspersky Lab ridurrà gradualmente le proprie operazioni negli Stati Uniti ed eliminerà le posizioni negli Stati Uniti. La decisione e il processo sono coerenti con la decisione finale del Dipartimento del Commercio degli Stati Uniti che vieta la vendita e la distribuzione dei prodotti Kaspersky Lab negli Stati Uniti. La Società ha esaminato e valutato attentamente l’impatto dei requisiti legali statunitensi e ha preso questa triste e difficile decisione poiché le opportunità commerciali nel Paese non sono più praticabili.

L’azienda sta lasciando il mercato americano dopo che la vendita dei suoi antivirus e altri software è stata vietata negli Stati Uniti. Sul sito americano di Kaspersky Lab sono già state bloccate le vendite di tutti i prodotti. Kaspersky Lab non potrà continuare a supportare e distribuire aggiornamenti per il software già acquistato negli Stati Uniti.

Per riferimento, il 20 giugno 2024, il Dipartimento del Commercio degli Stati Uniti ha introdotto restrizioni all’esportazione di Kaspersky Lab al fine di vietare completamente alle aziende private negli Stati Uniti di utilizzare software russo.

Il 29 settembre 2024 entrerà in vigore il divieto totale di utilizzo di software all’interno del Paese. Il giorno successivo, 21 giugno 2024, il Dipartimento del Commercio degli Stati Uniti ha introdotto sanzioni di blocco totali contro 12 top manager di Kaspersky Lab. Le restrizioni includono il congelamento dei beni di individui, aziende e loro affiliate e l’introduzione del divieto totale per i cittadini e le aziende statunitensi di fare affari con loro.

L'articolo Muri Digitali: Kaspersy Lab Chiude gli Uffici negli Stati Uniti D’America! proviene da il blog della sicurezza informatica.

Lunedì l’FBI ha annunciato di aver avuto accesso al telefono di Thomas Matthew Crooks, sospettato dell’attentato all’ex presidente Donald Trump. Nell’ambito delle indagini in corso, l’agenzia sta cercando di determinare il movente del crimine.

All’inizio del 14 luglio, il New York Times ha riferito che gli agenti in Pennsylvania, dove è avvenuto l’incidente, non sono stati in grado di aggirare la password del cellulare di Crooks. Il dispositivo fu inviato al laboratorio dell’FBI a Quantico, dove i lavori continuarono.

L’indagine sulla sparatoria di sabato, classificata come tentato omicidio e potenziale atto di terrorismo interno, è nelle fasi iniziali. I tecnici sono riusciti ad avere accesso al telefono di Crooks e stanno continuando ad analizzare i suoi dispositivi elettronici. Sono state inoltre concluse le perquisizioni dell’abitazione e dell’autoveicolo.

L’FBI ha riferito di aver condotto quasi 100 interviste con funzionari delle forze dell’ordine, partecipanti ad eventi e testimoni. Domenica, durante una conferenza stampa, i rappresentanti dell’ufficio di presidenza hanno sottolineato di non essere ancora riusciti a determinare le motivazioni ideologiche o a trovare prove per spiegare l’azione dell’assassino.

Secondo quanto riferito, il fucile AR-556 utilizzato è stato acquistato legalmente dal padre del sospettato. I funzionari hanno notato che non c’erano segni di malattia mentale in Crooks. Un’analisi preliminare delle sue ultime chiamate e dei suoi SMS non ha risposto alle domande sul suo movente e non ha rivelato se il colpevole abbia agito da solo o se qualcuno potesse essere a conoscenza in anticipo dei suoi piani.

Ricordiamo che durante una manifestazione a Butler, in Pennsylvania, uno dei proiettili ha sfiorato l’orecchio destro di Trump. A seguito della sparatoria, uno dei sostenitori dell’ex presidente è stato ucciso e altri due sono rimasti feriti.

L'articolo L’FBI Sblocca il Telefono del Sospettato dell’Attentato a Trump. Cosa Hanno Scoperto? proviene da il blog della sicurezza informatica.

In a forum post has come the announcement that mBed, ARM’s accessible microcontroller development platform, is to reach end-of-life in July 2026. This means that the online platform and OS will no longer be supported by ARM, though the latter will remain an open source project. The website will be shuttered, and no new projects can be created after that date using ARM infrastructure.

mBed was originally launched back in 2009, as a competitor to the Arduino IDE for ARM’s chips. Its easy development made it attractive and there were soon an array of boards from different manufacturers supporting it, but perhaps due to its support for only the one architecture, it failed to find success. It’s certainly not the first time a single-architecture microcontroller development platform has been discontinued, we need only look to the Intel Edison for that, but given the success of ARM platforms in general it’s still something of a surprise. Perhaps it’s time to take the press release explanation that other platforms such as Arduino have simply been much more popular.

Will a community form around an open source mBed? Given that it’s been a definite minority among Hackaday projects over the years, while we hope it does, we’re not so sure.

mBed board image: Viswesr, CC BY-SA 3.0.

Cloudflare ha preparato il suo rapporto sulla sicurezza delle applicazioni 2024 (che copre il periodo da maggio 2023 a marzo 2024). Secondo i ricercatori, gli aggressori iniziano quasi immediatamente a utilizzare gli exploit proof-of-concept disponibili in attacchi reali. A volte gli attacchi iniziano appena 22 minuti dopo che gli exploit sono stati resi pubblici.

Cloudflare, che attualmente elabora una media di 57 milioni di richieste HTTP al secondo, continua a vedere una maggiore attività di scansione per i CVE esposti. In genere, la scansione è seguita dall’inserimento di comandi e dai tentativi di sfruttare i PoC disponibili.

Nel periodo in esame sono state attaccate più spesso le seguenti vulnerabilità: CVE-2023-50164 e CVE-2022-33891 nei prodotti Apache, CVE-2023-29298, CVE-2023-38203 e CVE-2023-26360 in Coldfusion, così come nonché CVE-2023 -35082 su MobileIron.

Un ottimo esempio del crescente tasso di exploit è CVE-2024-27198, un problema di bypass dell’autenticazione in JetBrains TeamCity. Cloudflare riferisce di aver osservato un utente malintenzionato utilizzare un exploit PoC appena 22 minuti dopo la sua pubblicazione, lasciando ai difensori poche possibilità di installare patch.

Secondo gli esperti, l’unico modo per combattere questo tasso di attacchi è utilizzare l’intelligenza artificiale per sviluppare rapidamente regole di rilevamento efficaci.

“La velocità con cui vengono sfruttati i CVE esposti spesso supera la velocità con cui le persone possono creare regole WAF o creare e distribuire patch per mitigare gli attacchi”, spiega Cloudflare. “Ciò vale anche per il nostro team interno di analisi della sicurezza, che mantiene una serie di regole WAF gestite. Alla fine, abbiamo combinato le firme scritte dall’uomo con un approccio di apprendimento automatico per raggiungere l’equilibrio ottimale tra bassi tassi di falsi positivi e reattività”.

Un altro dato interessante tratto dal rapporto Cloudflare: il 6,8% del traffico Internet totale giornaliero è costituito da attacchi DDoS mirati a bloccare applicazioni e servizi online. Poiché nel periodo precedente (nel 2022-2023) questa cifra era del 6%, ciò indica un aumento del volume totale del traffico DDoS.

Allo stesso tempo, Cloudflare rileva che durante attacchi di grandi dimensioni, il traffico dannoso può rappresentare fino al 12% di tutto il traffico HTTP.

“Guardando solo alle richieste HTTP, Cloudflare ha bloccato una media di 209 miliardi di minacce informatiche ogni giorno nel primo trimestre del 2024 (+86,6% su base annua), un aumento significativo su base annua – afferma il rapporto”.

L'articolo 22 Minuti è il tempo tra l’uscita dell’Exploit PoC ad un Attacco informatico. Quindi Patchate Subito! proviene da il blog della sicurezza informatica.