If you’re reading Hackaday, we’re willing to bet that if somebody asked you about a serial terminal, you’d immediately think about a piece of software — a tool you run on the computer to communicate with some hardware gadget over UART. You might even have a favorite one, perhaps minicom or tio. You’d be technically correct (which we all know is the best kind of correct), but if you wind back the clock a bit, there’s a little more to the story.

You see, the programs we use these days to talk to microcontrollers and routers are more accurately referred to as serial terminal emulators, because they are doing in software what used to be the job of hardware. What kind of hardware? Why beauties like this DEC VT220 for example.

The [Vintage Apparatus] channel recently got their hands on a couple of these dedicated serial terminals, and thought it would be interesting to take modern audiences through a brief tour of how they worked and what they were capable of. Despite being built sometime around 1984, the simplistic nature of these devices make them highly reliable — so long as the power supply is good, there’s not a whole lot else that can go wrong.

That being said, using one wasn’t quite as bare bones an experience as you might think. As [Vintage Apparatus] demonstrates, you can press a key on the VT220’s keyboard to bring up a series of configuration menus that don’t look too far removed from what you might be used to from your modern software terminal. Familiar options like baud rate, parity, and local echo are accounted for, but then there’s also settings for connecting a printer up to the serial terminal should you need to bang out some hard copy.

Getting your hands on one of these decades old serial terminals isn’t always easy, but if you’re more interested in the retro looks than technical accuracy, you can always 3D print yourself a replica.

youtube.com/embed/Nl8wUOBno74?…

mobilizon.it/events/48570642-3…

Hello, Burt!

2024-07-11 15:20:30

Tributo a Burt Bacharach

Tributo a Burt Bacharach

Inizia: Venerdì Luglio 19, 2024 @ 9:00 PM GMT+02:00 (Europe/Rome)

Finisce: Venerdì Luglio 19, 2024 @ 11:00 PM GMT+02:00 (Europe/Rome)

Cena nella terrazza sul lago del ristorante Rivafiorita con accompagnamento musicale degli "Hello, Burt!".

I migliori brani di Burt Bacharach cantati e suonati con tromba, basso e tastiere.

@rivafiorita | Linktree

Linktree. Make your link do more.

^Linktree

Dark Lab, il rinomato gruppo di cyber threat intelligence di Red Hot Cyber, guidato da Pietro Melillo, ha pubblicato il suo primo report sul ransomware relativo ai primi sei mesi del 2024. Questo documento rappresenta un’analisi approfondita di uno dei fenomeni più inquietanti e diffusi nel panorama della sicurezza informatica globale.

Il Ransomware: Una Minaccia Globale

Secondo Massimiliano Brolli, fondatore di Red Hot Cyber, “Il ransomware rappresenta una delle minacce più pervasive nel panorama della sicurezza informatica globale. Si tratta di un tipo di malware che, una volta infiltrato nei sistemi informatici, cifra i dati dell’utente o dell’organizzazione, rendendoli inaccessibili. Gli attaccanti richiedono quindi un riscatto per fornire la chiave di decrittazione, con la promessa di restituire l’accesso ai dati. Questo tipo di attacco non solo paralizza il business, ma può anche causare gravi perdite finanziarie e danni alla reputazione.”

Brolli ha riportato inoltre che “Gli obiettivi di questo report sono molteplici, ma il principale è sensibilizzare anche i non addetti ai lavori sul fenomeno del ransomware, evidenziando l’importanza di investire nella sicurezza informatica all’interno delle organizzazioni per ridurne l’incidenza. Il report non solo fornirà contenuti divulgativi, ma presenterà anche una panoramica dettagliata degli attacchi ransomware avvenuti in Italia, analizzando tendenze, settori più colpiti ed evoluzione delle metodologie di attacco. Inoltre, il report offrirà raccomandazioni pratiche per la prevenzione e la gestione del ransomware, proponendo strategie di difesa efficaci e politiche di sicurezza informatica. Attraverso l’esame di dati e casi di studio reali, questo report offre una guida completa per comprendere a fondo il fenomeno del ransomware e le sue implicazioni.”

La Situazione in Italia

Nel corso dei primi sei mesi del 2024, l’Italia ha registrato un totale di 72 attacchi ransomware documentati, posizionandosi al quinto posto tra i paesi più colpiti, dopo Stati Uniti, Regno Unito, Canada e Germania.

Tra i settori più colpiti dal ransomware si annoverano l’industria, i servizi, le tecnologie e la sanità. Red Hot Cyber ha spesso sottolineato come il settore sanitario, in particolare, debba essere considerato alla pari delle infrastrutture critiche nazionali, data la sua essenzialità. Tuttavia, anno dopo anno, questo settore continua a soccombere ai continui attacchi informatici. Questi dati evidenziano la necessità di comprendere e contrastare il fenomeno del ransomware per proteggere meglio le organizzazioni e le infrastrutture critiche del paese.

Obiettivi del Report

Il report di Dark Lab mira a:

1. Diffondere la Conoscenza: Far conoscere il fenomeno del ransomware al grande pubblico.
2. Fornire una Panoramica Dettagliata: Analizzare gli attacchi ransomware avvenuti in Italia, identificando le tendenze, i settori più colpiti e l’evoluzione delle metodologie di attacco.
3. Valutare l’Impatto Economico e Sociale: Esaminare le conseguenze per le aziende e i cittadini.
4. Proporre Raccomandazioni Pratiche: Offrire strategie di difesa efficaci e politiche di sicurezza informatica.

Il report è strutturato nei seguenti capitoli:

1. Introduzione
2. Metodologia
3. Ransomware Inside
   
   • Tassonomia
   • Vettori di infezione
   • Le tecniche di estorsione
   • Il Modello Ransomware As a Service (RaaS)

   
   

4. Analisi e Tendenze
   
   • Analisi globali
   • Analisi comparto Italia
   • Tendenze

   
   

5. Threat Actors
   
   • Principali gruppi ransomware
   • Nuovi Threat Actors
   • Interviste con i Threat Actors
   • Nuove Tecniche Tattiche e Procedure (TTPs)

   
   

6. Strategie di Difesa
   
   • Misure preventive contro il ransomware
   • L’importanza della Consapevolezza del rischio
   • La trasparenza sopra a tutto
   • La Cyber Threat Intelligence
   • Dark Lab Community

   
   

Conclusioni

Questo report, ideato e curato da Pietro Melillo e il suo team di Dark Lab, rappresenta un’importante risorsa per tutte le organizzazioni che desiderano proteggersi dal ransomware. Il lavoro quotidiano del team, che esplora le “underground” del cyber spazio, raccoglie informazioni di prima mano e redige articoli di valore, contribuisce significativamente alla protezione delle infrastrutture del nostro paese.

Un ringraziamento speciale va a Pietro Melillo, Olivia Terragni, Sandro Sana, Alessio Stefan e Raffaela Crisci per il loro contributo al report e per il costante impegno di Dark Lab nell’informazione e nella divulgazione di notizie e anteprime, rendendo l’Italia sempre più consapevole riguardo agli attacchi informatici. Il loro lavoro è essenziale per garantire la sicurezza delle nostre organizzazioni e delle infrastrutture critiche.

Scarica Dark Mirror H1 – 2024

Questo report di Dark Lab non solo offre una guida completa per comprendere il fenomeno del ransomware, ma rappresenta anche un invito a prendere misure preventive e a rafforzare la consapevolezza del rischio a livello nazionale. La trasparenza e la condivisione delle informazioni sono fondamentali per combattere efficacemente questa minaccia.

L'articolo Esce Dark Mirror. Il Primo Report di Dark Lab sul Fenomeno Ransomware relativo ad H1 2024 proviene da il blog della sicurezza informatica.

Costruire un SOC con Wazuh, The Hive, Shuffle e Cortex su un MiniPC da 100€: Guida Pratica al Pentesting in Ottica Purple Team è un’opportunità unica per migliorare le operazioni di sicurezza senza rompere il budget. Usando hardware economico come un MiniPC, questa guida mostra come configurare un Sistema di Controllo di Sicurezza (SOC) efficiente e potente. La creazione di un SOC completo e funzionale con un investimento minimo è ora possibile.

Questa è la seconda parte dell`articolo dedicato al tema, potete trovare la prima parte [qui] e la seconda [qui].

I lettori scopriranno come integrare strumenti chiave come Wazuh per la rilevazione delle minacce, The Hive per l’analisi degli incidenti, e Cortex per l’arricchimento delle analisi. La guida inoltre copre l’utilizzo di Shuffle per orchestrare la sicurezza e automatizzare processi chiave, migliorando l’efficienza operativa del SOC.

Il focus sul pentesting in ottica Purple Team permette di affinare le tecniche di difesa e attacco, rendendo il SOC non solo una struttura difensiva ma anche un mezzo proattivo per testare e migliorare le capacità di risposta. Segui la guida pratica per trasformare un MiniPC da 100€ in un strumento potente per la sicurezza informatica.

Key Takeaways

• Configurazione di un SOC su MiniPC da 100€
• Integrazione di Wazuh, The Hive, Cortex e Shuffle
• Focus sul pentesting in ottica Purple Team

Fondamenti di Sicurezza e SOCs

Un Security Operations Center (SOC) è una struttura centrale che monitora, rileva, risponde e mitiga le minacce alla sicurezza. Il SOC è fondamentale per mantenere la sicurezza delle informazioni dell’organizzazione.

Le operazioni di sicurezza in un SOC includono:

• Monitoraggio: Supervisione costante dei sistemi e delle reti per rilevare attività sospette.
• Rilevamento: Identificazione di minacce e vulnerabilità attraverso strumenti e tecniche avanzate.
• Risposta: Azioni per neutralizzare le minacce e mitigare i danni.
• Ripristino: Riportare i sistemi alla normalità dopo un incidente di sicurezza.

Un buon SOC utilizza diverse tecnologie come Wazuh e TheHive. Wazuh è una piattaforma SIEM e XDR open source che offre funzionalità di sicurezza unificate. È possibile integrarli per una migliore gestione degli incidenti e una risposta coordinata.

Le tecniche di cybersecurity evolvono costantemente per affrontare nuove minacce. I SOC devono quindi aggiornare continuamente le loro strategie e strumenti per mantenere un elevato livello di sicurezza.

In breve, la sicurezza e i SOC sono critici per proteggere le risorse informatiche e garantire che le organizzazioni possano operare senza interruzioni a causa di attacchi informatici.

Analisi del Budget e Requisiti Hardware

Considerare il budget è fondamentale quando si seleziona un MiniPC per un SOC. Un esempio pratico è l’uso di un MiniPC con circa 16 GB di RAM e un SSD esterno ad alta velocità, come descritto in questa guida.

La RAM da 16 GB garantisce una gestione fluida delle applicazioni come Wazuh, TheHive, Shuffle e Cortex. Un SSD ad alta velocità assicura tempi di lettura e scrittura rapidi, indispensabili per attività di analisi dei dati in tempo reale.

Installazione del Sistema Operativo e Configurazione di Rete

Installazione di Wazuh per la Rilevazione delle Minacce

L’installazione di Wazuh consente il monitoraggio e la rilevazione delle minacce all’interno dell’infrastruttura IT. In questa parte, si tratterà la configurazione del Wazuh Manager, la distribuzione degli agenti Wazuh sui vari host e la personalizzazione delle regole e degli alert per una gestione ottimale della sicurezza.

Sul nostro MiniPC abbiamo installato Proxmox come descritto nell`articolo precedente. Sui vari server Ubuntu e containers abbiamo installato come da immagine qui sotto:

Wazuh, Shuffle, TheHive. Abbiamo poi installato un ambiente AD con un server Windows 2000 ed una macchina Windows 10 all` interno. Abbiamo inoltre aggiunto due containers : una macchina Kali ed una Ubuntu con installato Atomic Red Canary per esercizi di emulazione attacchi.

Girano tutte contemporaneamente in maniera decorosa , anche se come si puo immaginare mettono a dura prova il mini pc come vediamo nella schermata che segue:

Sysmon é stato installato sulle macchine windows :

Sysmon (System Monitor) è uno strumento di monitoraggio del sistema per Windows che fa parte del Sysinternals Suite di Microsoft. Sysmon raccoglie informazioni dettagliate sugli eventi di sistema e li registra nei log di Windows, fornendo una visione approfondita di varie attività, come creazione di processi, connessioni di rete, e modifiche ai file.

Quando utilizzato in concomitanza con Wazuh Server, Sysmon serve i seguenti scopi principali:

1. Raccolta di Log Dettagliati: Sysmon registra eventi dettagliati che possono essere raccolti e analizzati da Wazuh. Questo include informazioni dettagliate sui processi, eventi di rete, modifiche ai file e altro ancora.
2. Monitoraggio delle Attività di Sistema: Sysmon fornisce una visione granulare delle attività di sistema che può aiutare a rilevare comportamenti anomali e potenziali minacce. Wazuh può raccogliere questi dati e analizzarli per individuare eventi sospetti.
3. Analisi e Correlazione degli Eventi: I dati raccolti da Sysmon possono essere inviati a Wazuh, che li utilizza per eseguire analisi di sicurezza e correlare eventi. Questo aiuta a identificare pattern di attacco e a rispondere rapidamente alle minacce.
4. Rilevamento delle Minacce: Combinando le capacità di logging di Sysmon con le funzionalità di analisi e rilevamento di Wazuh, è possibile implementare un sistema di rilevamento delle minacce più robusto. Wazuh può generare alert basati sugli eventi di Sysmon per segnalare attività sospette.
5. Comprehensive Forensic Analysis: In caso di incidenti di sicurezza, i log dettagliati forniti da Sysmon possono essere utilizzati per un’analisi forense approfondita, aiutando a comprendere come si è verificata una violazione e quali sono state le azioni intraprese dagli attaccanti.

Configurazione del Wazuh Manager

Il Wazuh Manager è il cuore del sistema di rilevazione delle minacce. Si occupa di raccogliere e analizzare i dati. Per iniziare, si deve scaricare il pacchetto di installazione dal sito ufficiale di Wazuh.

Dopo il download, eseguire lo script di installazione. Una volta completata l’installazione, configurare il file ossec.conf per definire le impostazioni del manager. In questo file, è possibile specificare i parametri di logging e le regole di sicurezza correttamente.

Infine, avviare il manager e verificare che sia operativo. Utilizzare il comando systemctl status wazuh-manager per assicurarsi che il servizio sia attivo e funzionante.

Distribuzione di Wazuh Agents sugli Hosts

Per monitorare efficacemente l’intera infrastruttura, è necessario installare Wazuh Agent su ogni host. Gli agenti raccolgono i dati di sicurezza e li inviano al Wazuh Manager per l’analisi.

Installare l’agente Wazuh su ogni host seguendo le istruzioni fornite nella guida ufficiale. Configurare ogni agente modificando il file ossec.conf per includere l’indirizzo IP del Wazuh Manager.

Avviare gli agenti utilizzando il comando systemctl start wazuh-agent e verificare che gli agenti comunichino correttamente con il manager. Controllare i log per eventuali errori di connessione o configurazione.

Personalizzazione delle Regole e degli Alerts con Wazuh

Personalizzare le regole e gli alert è fondamentale per adattare Wazuh alle esigenze specifiche dell’infrastruttura. Modificare il file ossec.conf per includere regole di logging avanzato e criteri di rilevazione delle minacce.

Aggiungere regole personalizzate o modificare quelle esistenti per rilevare specifici tipi di minacce. Configurare alert per notificare immediatamente qualsiasi attività sospetta, inviando notifiche via email o integrandosi con altri sistemi di allarme.

Usare l’interfaccia grafica di Wazuh per gestire e monitorare le regole e gli alert. Assicurarsi di testare tutte le regole e le notifiche per garantire che funzionino come previsto e migliorare la capacità di risposta alle minacce.

Integrazione con The Hive per l’Analisi Incidenti

L’integrazione con The Hive permette un’analisi efficiente degli incidenti di sicurezza tramite la gestione centralizzata degli alert e workflow ottimizzati. Configurare e utilizzare The Hive è fondamentale per un SOC, creando un processo di risposta agli incidenti organizzato e veloce.

Configurazione di The Hive

Configurare The Hive richiede l’installazione del software su un server dedicato. Il MiniPC da 100€ può ospitare The Hive se configurato correttamente. È necessario scaricare il pacchetto dal repository GitHub e seguire le istruzioni di installazione.

sudo apt-get update
sudo apt-get install thehive

Configurare il file application.conf per impostare i parametri di connessione e sicurezza. È importante usare un database come Cassandra o ElasticSearch per immagazzinare gli alert.

sudo systemctl start thehive

Gestione degli Alerts e Workflow

Gli alert sono gestiti tramite l’API REST di The Hive, che consente l’integrazione con altri strumenti di sicurezza come Wazuh. Gli incidenti vengono creati automaticamente quando un nuovo alert viene ricevuto.

Gli alert vengono categorizzati e assegnati a team specifici. Il workflow include la creazione di ticket, l’assegnazione delle priorità e il monitoraggio del progresso.

Esempio di workflow:

1. Ricezione dell’alert: L’informazione arriva tramite l’API.
2. Creazione di un caso: L’alert viene convertito in un caso.
3. Assegnazione: Il caso viene assegnato a un analista.
4. Indagine: L’analista raccoglie e analizza i dati.
5. Risoluzione: Il problema viene risolto e il caso chiuso.

Utilizzare The Hive aiuta a mantenere ordine e a rispondere rapidamente agli incidenti, migliorando l’efficienza del SOC.

Uso di Cortex per l’Arricchimento delle Analisi

Cortex è uno strumento fondamentale per arricchire le analisi in un SOC. Permette di integrare dati di sicurezza automatici e semplificare le risposte agli incidenti.

Integrazione delle Funzionalità di Cortex

Cortex supporta l’integrazione di numerosi strumenti di sicurezza per migliorare l’analisi. Ad esempio, con l’integrazione di VirusTotal, acquisisce informazioni dettagliate su minacce conosciute, fornendo un contesto prezioso per gli analisti.

Cortex utilizza anche dati provenienti da molte fonti per creare un quadro completo degli eventi di sicurezza. Questi dati includono log di sistema, notifiche di antivirus e allarmi di DLP (Data Loss Prevention).

Gli analisti possono configurare Cortex per raccogliere specifici artefatti, come file sospetti o record di rete, automatizzando il processo di raccolta e analisi dei dati. Questa funzionalità permette al SOC di identificare rapidamente le minacce e determinare le azioni da intraprendere.

Prima di continuare facciamo delle prove tramite Atomic Red Canary ed il container dedicato , qui sotto Wazuh prima del test:

Invochiamo un test che corrisponde alla tecnica del MITRE T1003.008 : Credential Dumping . Proveremo quindi a dumpare /etc/shadow che contiene informazioni sulle password degli utenti del sistema. Ogni riga nel file rappresenta un account utente e ogni riga contiene nove campi separati da virgole.

Come si puó notare, sull interfaccia di Wazuh si sono manifestati gli eventi appena invocati cosi come su TheHive:

Fin qui tutto ok dunque, aggiungiamo uno strato di complessità ora al nostro laboratorio estendendone molto le capacità fino ad arrivare alla struttura base di una vero e proprio SOC.

Shuffle per l’Orchestrazione della Sicurezza

Shuffle consente di automatizzare e centralizzare le operazioni di sicurezza. Con l’integrazione di diversi strumenti, rende i processi di risposta agli incidenti più efficienti.

Creazione di Workflows di Sicurezza con Shuffle

Shuffle permette di creare workflow di sicurezza personalizzati. Gli utenti possono configurare azioni automatizzate che si attivano quando si verificano determinati eventi.

Ad esempio, quando un evento di sicurezza viene rilevato, Shuffle può avviare automaticamente un’analisi attraverso gli strumenti integrati, come Wazuh.

Questo miglioramento riduce il tempo di risposta e permette di affrontare le minacce in modo più rapido e preciso.

Usando una interfaccia drag-and-drop, anche chi non ha competenze avanzate può configurare workflow complessi, migliorando la gestione delle minacce e garantendo una risposta uniforme agli incidenti.

Interazione con altri Strumenti di Sicurezza

Quando Wazuh rileva un incidente, Shuffle può inviare automaticamente una notifica a The Hive per avvisare l’analista.

Inoltre, Shuffle supporta la multi-tenancy, consentendo di gestire più ambienti di sicurezza contemporaneamente. Questo è utile per le aziende che devono supervisionare numerosi sistemi e network.

L’integrazione con API esterne permette a Shuffle di comunicare con vari strumenti e piattaforme, migliorando l’efficacia complessiva delle operazioni di sicurezza.

Pianificazione delle Risorse e degli Utenti

La pianificazione delle risorse è cruciale per mantenere efficiente il SOC. Assegnare le risorse adeguate ai giusti processi aiuta a bilanciare il carico di lavoro e garantisce che tutte le aree di sicurezza siano coperte.

Definire chi ha accesso a quali risorse è altrettanto importante. Gli utenti con differenti gradi di permessi garantiscono che solo personale autorizzato possa accedere a informazioni sensibili. Gestire un SOC richiede una chiara struttura organizzativa, e documentare le procedure operative aiuterà i nuovi membri del team a comprendere rapidamente il loro ruolo.

Formare regolarmente il personale su nuove minacce e tecnologie emergenti mantiene l’intero team al passo con gli ambienti di sicurezza in continua evoluzione.

Automazione e Scripting per Efficienza Operativa

Automazione e scripting sono essenziali per migliorare l’efficienza operativa di un SOC. Questi strumenti rendono possibile gestire attività ripetitive e complesse con facilità, aumentando la velocità di risposta e riducendo possibili errori umani.

Utilizzo di Bash e Python per Automazione

Bash e Python sono scelte popolari per l’automazione. Bash è spesso utilizzato per task di sistema come la gestione dei file, backup e esecuzione di comandi in scripting. È semplice da usare e integrato in molte distribuzioni Linux, rendendo facile l’accesso a risorse di sistema.

Python, d’altra parte, è più potente e flessibile. Dispone di una vasta gamma di moduli Python per il networking, l’analisi dei dati e l’API interaction. Questo linguaggio permette di realizzare script più complessi, integrando facilmente strumenti come Wazuh e TheHive.

Un esempio pratico potrebbe essere l’automazione del processo di monitoraggio, dove uno script Python raccoglie log da Wazuh e li invia a TheHive per la classificazione e l’assegnazione dei casi.

inoltre con il supporto di ChatGPT il tutto diventa molto più rapido.

Per un SOC efficiente, personalizzare e integrare diversi strumenti diventa cruciale. Gli script di integrazione permettono il collegamento tra Wazuh, TheHive e altre piattaforme come Shuffle e Cortex.

Un script Bash potrebbe essere utilizzato per sincronizzare le regole di sicurezza tra Wazuh e altri strumenti di sicurezza. Ad esempio, uno script potrebbe estrarre dati dai log di Wazuh e prepararli per l’analisi con Cortex, migliorando così la tempestività e la precisione delle rilevazioni.

Python invece può essere utilizzato per creare script di integrazione più avanzati. Questi possono agire come bridge tra le API di diversi strumenti, facilitando la comunicazione e l’azione coordinata. Per esempio, uno script Python potrebbe estrarre allarmi da Wazuh e generare automaticamente ticket su TheHive, migliorando la gestione degli incidenti.

Implementare queste tecniche di automazione e scripting non solo ottimizza il flusso di lavoro, ma assicura anche una migliore protezione e gestione delle risorse aziendali.

Metodologie Purple Team per il Test di Penetrazione

Il Purple Team unisce il meglio delle capacità offensive del Red Team e delle capacità difensive del Blue Team. Questi team collaborano per migliorare la rilevazione delle minacce e la risposta alle vulnerabilità.

Durante un test di penetrazione, il team rosso simula attacchi contro i sistemi informatici. I risultati aiutano a identificare vulnerabilità che potrebbero essere sfruttate da aggressori reali.

Il Purple Team utilizza tecniche avanzate per analizzare e comprendere le vulnerabilità rilevate. Questa analisi consente al Blue Team di implementare misure di sicurezza più efficaci.

Ecco alcuni passaggi chiave:

1. Pianificazione e Preparazione: Definiscono l’ambito del test e raccolgono informazioni sui sistemi da testare.
2. Scansione di Vulnerabilità: Utilizzano strumenti automatizzati per individuare punti deboli nel sistema.
3. Sfruttamento: Eseguono attacchi mirati per verificare se le vulnerabilità possono essere effettivamente sfruttate.
4. Segnalazione: Documentano i risultati e li presentano al Blue Team.

Gli strumenti utilizzati includono Wazuh, The Hive, Shuffle e Cortex. Questi strumenti sono integrati in un Security Operations Center (SOC) domestico, fornendo una piattaforma completa per il monitoraggio e la gestione delle minacce. Naturalmente sono appunto strumenti, che una volta compresi gettano le basi per l`utilizzo di altre soluzioni se si vuole.

L’uso di un approccio Purple Team migliora la sicurezza aziendale, assicurando che le vulnerabilità vengano non solo rilevate, ma anche mitigate in modo efficace. Per maggiori dettagli, visitare Blue Team, Red Team e Purple Team e Che cos’è un Purple Team?.

Una volta controllato che tutti i componenti comunicano tra di loro, possiamo iniziare a simulare un attacco vero e proprio osservandone gli effetti sul nostro SOC casalingo. Nel prossimo articolo useremo Mimikatz a tale scopo.

L'articolo Costruiamo un SOC domestico con 100 Euro. Accendiamo Wazuh, The Hive, Shuffle – Terza Parte proviene da il blog della sicurezza informatica.

Gli operatori di ransomware non si limitano a chiedere riscatti per restituire l’accesso ai dati. Il loro obiettivo principale è massimizzare il profitto e, quando hanno i tuoi dati in mano, li possono vendere ai migliori offerenti nelle underground del web.

Un esempio recente ha messo in luce che questi criminali possono pubblicare solo una parte dei dati rubati, mentre vendono quelli più sensibili.

Il crimine informatico è un’attività altamente redditizia e, per i cybercriminali, il bilancio non può mai andare in passivo. La vendita dei dati rubati è una delle strategie utilizzate per assicurare costanti flussi di cassa. Una volta che i dati sono stati sottratti, gli operatori di ransomware valutano il modo più redditizio di utilizzarli: possono pubblicarli totalmente o parzialmente per mettere pressione sulle vittime o venderli direttamente nel mercato nero digitale.

La Cybergang Meow

Un esempio emblematico di questa pratica è rappresentato dalla cybergang Meow, recentemente intercettata mentre vendeva dati all’interno del famigerato forum in lingua russa underground XSS. Questo gruppo criminale ha fatto parlare di sé per l’approccio sistematico e organizzato con cui gestisce il commercio di informazioni riservate.

Sul forum XSS, Meow ha pubblicato un messaggio che illustra chiaramente il loro modus operandi: “Benvenuti al mercato dei dati! Non facciamo cose a caso! Il nostro servizio è costantemente aggiornato e solo da noi puoi acquistare informazioni segrete da molte delle più grandi aziende del mondo, sui loro piani, progetti, clienti, conti bancari, previsioni, sviluppi, disegni e altre informazioni più recenti.”

Il Mercato dei Dati

Meow offre dati in forma anonima, esattamente come sono stati estratti dai server aziendali, senza alcuna modifica. Questo garantisce agli acquirenti informazioni autentiche e di prima mano. La loro offerta include una vasta gamma di dati: dai progetti aziendali riservati ai dettagli finanziari, fino alle previsioni di mercato e agli sviluppi tecnologici.

Per i partner, Meow vanta un database di clienti facoltosi con grandi portafogli, costruito in oltre un anno di attività. I loro server, dotati di oltre 500 TB di spazio di archiviazione, sono costantemente aggiornati con nuove informazioni e possono essere espansi ulteriormente entro 72 ore se necessario.

La Trasparenza del Crimine

Meow garantisce la massima trasparenza nelle operazioni, tutte condotte con la partecipazione diretta dei partner. Accettano qualsiasi formato di dati per la vendita, sia esso semplice data dalla rete aziendale o complessi database SQL. Pertanto si stanno organizzando per essere non solo una cybergang ransomware ma per essere anche un Hub di rivendita dati (come in passato abbiamo visto con Marketo).

In sintesi, gli operatori ransomware potrebbero ingaggiare specifici partner che curano la rivendita dei dati, per poter monetizzare le esfiltrazioni e quindi non pubblicare più in toto, all’interno dei loro DLS le informazioni delle aziende, ma sperare di guadagnarci qualcosa nel prossimo futuro.

Questi sviluppi evidenziano quanto sia cruciale per le organizzazioni non solo proteggere i propri dati, ma anche comprendere le dinamiche del mercato nero digitale. I dati sottratti possono essere utilizzati in modi che vanno ben oltre il semplice ricatto: la loro vendita può finanziare ulteriori attività criminali, aumentando il rischio per tutti.

L'articolo Cosa ci fanno con i dati gli operatori Ransomware dopo un riscatto non pagato? proviene da il blog della sicurezza informatica.

You might think of the smartwatch era as beginning with Apple, relatively recently. Or, you might think back to those fancy Timex models with the datalink thing going on in the 1990s. Seiko can beat them all, though, with its UC-2000 smartwatch that debuted all the way back in 1984.
The UC2200 was the bigger docking station of the two.
The UC-2000 very much looks cutting edge for its era, and absolutely ancient today. It featured a 4-bit CPU, 2 kilobytes of RAM, and 6 kilobytes of ROM. Display was via a simple 10×4 character LCD in a rectangular form factor, with four buttons along the bottom. Branded as a “personal information processor,” it was intended for use with the UC-2100 dock. This added a full physical QWERTY keyboard that interacted with the UC-2000 when the two were combined together. Alternatively, you could go for the UC-2200, which not only had a keyboard but also a thermal printer to boot. Oh, and ROM packs for Microsoft Basic, games, or an English-to-Japanese translator.

What could you do on this thing? Well, it had basic watch functions, so it told the time, acted as a stop watch, and an alarm, of course. But you could also use it to store two memos of up to 1000 characters each, schedule appointments, and do basic calculations.

The one thing this smartwatch was missing? Connectivity. It couldn’t get on the Internet, nor could it snatch data from the ether via radio or any other method. By today’s measures, it wouldn’t qualify as much of a smartwatch at all. Moreso a personal organizer that fit on the wrist. Still, for its day, this thing really was a whole computer that fit on your wrist.

Would you believe we’ve seen the UC-2000 before? In fact, we’ve even seen it hacked to play Tetris! Video of that wonderful feat after the break.

youtube.com/embed/BHnZNJsGcyE?…