Il gruppo ransomware RansomHub ha recentemente rivendicato un attacco informatico contro il gruppo ERMA Srl (ex ERMA-RTMO Spa).

ERMA RTMO. Si tratta di una azienda italiana specializzata nella lavorazione meccanica di precisione e nella produzione,. Offre una vasta gamma di servizi, tra cui la lavorazione CNC, la prototipazione e la realizzazione di componenti meccanici per diversi settori industriali.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Chi è RansomHub?

Il gruppo di hacker RansomHub, ha rivendicato l’attacco sul proprio sito di Data Leak Site (DLS). Secondo quanto riportato nella pagina “Informazioni” del gruppo, RansomHub è costituito da hacker provenienti da diverse località globali, uniti dall’obiettivo comune del guadagno finanziario. Il gruppo specifica esplicitamente il divieto di attacchi a determinati paesi e organizzazioni senza scopo di lucro.

RansomHub, una nuova piattaforma di ransomware-as-a-service (RaaS), è emersa nel febbraio 2024, prendendo di mira sistemi Windows, Linux ed ESXi con malware scritto in Go e C++. L’elevato tasso di commissione del 90% attira affiliati esperti, causando un aumento delle infezioni.

Gli affiliati di RansomHub hanno colpito diverse vittime in diciotto paesi, concentrandosi principalmente sul settore IT. Il ransomware sfrutta backup di cloud storage e istanze Amazon S3 mal configurate per estorcere le vittime. Insikt Group ha identificato sovrapposizioni di codice con ALPHV e Knight Ransomware, suggerendo potenziali collegamenti.

Il sito web della banda dichiara di non prendere di mira la Comunità degli Stati Indipendenti (CIS), Cuba, Corea del Nord e Cina. Sebbene possa sembrare una comunità globale di hacker, le loro operazioni ricordano notevolmente una tradizionale configurazione ransomware russa. È inoltre degno di nota il loro atteggiamento nei confronti delle nazioni affiliate alla Russia e la sovrapposizione delle aziende prese di mira con altri gruppi ransomware russi.

Il segmento “Right Protection” della sezione “About” delinea le linee guida per gli affiliati, sottolineando l’importanza della “coscienziosità”. Questa sezione rivela che RansomHub opera come un gruppo ransomware in collaborazione con i suoi affiliati, qualificandosi quindi come un gruppo Ransomware-as-a-Service (RaaS). Nel caso in cui un affiliato si rifiuti di inviare il decrittore dopo il pagamento, è possibile contattare RansomHub, che fornirà il decrittore gratuitamente. Ciò implica che il ransomware utilizzato dal gruppo è in grado di criptare i dati prima dell’esfiltrazione.

Il gruppo recluta i suoi affiliati principalmente dal forum RAMP (Russian Anonymous Market Place), frequentato prevalentemente da russi. Gli affiliati ricevono il 90% dei proventi, mentre il restante 10% va al gruppo principale. A differenza delle pratiche comuni, il denaro viene inizialmente inviato all’affiliato, una caratteristica molto apprezzata nella comunità dei ransomware.

Questo approccio risolve la sfiducia causata dalla truffa da 22 milioni di dollari di ALPHV, in cui gli affiliati non sono stati compensati, provocando una notevole sfiducia nell’ambiente Ransomware-as-a-Service (RaaS).

Il grafico seguente rappresenta l’attività di RansomHub per mese nel 2024, con il numero di incidenti indicato per ogni mese.

Come ben visibile dal grafico appena illustrato, nei primi mesi del 2024, l’attività di RansomHub è aumentata rapidamente. Da nessun incidente a Gennaio, si passa a 4 incidenti a Febbraio e poi a 18 incidenti a Marzo, 23 ad Aprile, raggiungendo un picco a Maggio 2024 con 27 esfiltrazioni mostrando una crescita esponenziale.

Come visibile nell’immagine di seguito, il messaggio di riscatto di RansomHub è molto simile ai tipici messaggi di ransomware, includendo l’avviso di criptazione dei dati, le procedure dettagliate necessarie per negoziare il pagamento del riscatto.

L’attacco a Erma-Group

L’attacco a Erma Group è stato annunciato da RansomHub il 18 Luglio 2024 sul loro Data Leak Site, dove hanno pubblicato alcuni dettagli relativi alla violazione.

Come visibile dall’immagine seguente, il team di hacker di RansomHub ha informato l’azienda Erma di aver avuto accesso alla sua rete per un lungo periodo, scaricando centinaia di gigabyte di dati aziendali (350 GB). Gli hacker minacciano di notificare ai clienti la violazione dei dati e di rendere pubblici i dettagli se non si raggiunge un accordo. RansomHub avverte che la divulgazione causerà danni significativi alla reputazione dell’azienda e che l’unico modo per evitare ciò è negoziare. Viene richiesto di nominare una persona responsabile per le trattative.

RansomHub ha fornito delle immagini di esempio di dati esfiltrati. Le immagini sembrano raffigurare FATTURE, E-MAIL, DOCUMENTI DI IDENTITÀ, suggerendo una vasta gamma di dati potenzialmente compromessi. Tuttavia, al momento, non possiamo confermare con certezza la veridicità della violazione, poiché il gruppo ERMA non ha ancora rilasciato alcun comunicato ufficiale sul proprio sito web o canali di riferimento riguardo l’incidente.

Ad oggi, Erma-group non ha rilasciato dichiarazioni ufficiali riguardo all’attacco. Questa assenza di risposta lascia molte questioni in sospeso riguardo alla portata della violazione e alle misure adottate per mitigare i danni. Senza un comunicato stampa o una conferma ufficiale, le informazioni disponibili devono essere considerate come “fonti di intelligence” piuttosto che come conferme definitive della fuga di dati.

Conclusioni

Senza dettagli concreti, è difficile valutare l’ampiezza e la gravità dell’attacco subito. In assenza di conferme ufficiali, le informazioni attualmente disponibili devono essere trattate con cautela e considerate come ipotesi piuttosto che fatti accertati. Le fonti di intelligence possono fornire indizi utili, ma non sostituiscono conferme ufficiali.

È probabile che Erma-group rilasci ulteriori comunicazioni in futuro per chiarire la situazione. La trasparenza e la chiarezza nella gestione della crisi saranno fondamentali per comprendere appieno le implicazioni dell’attacco e le strategie di risposta adottate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo RansomHub rivendica un attacco informatico all’italiana Erma-group proviene da il blog della sicurezza informatica.

Unless you hold a First Degree RF Wizard rating, chances are good that coax stubs seem a bit baffling to you. They look for all the world like short circuits or open circuits, and yet work their magic and act to match feedline impedances or even as bandpass filters. Pretty interesting behavior from a little piece of coaxial cable.

If you’ve ever wondered how stub filters do their thing, [Fesz] has you covered. His latest video concentrates on practical filters made from quarter-wavelength and half-wavelength stubs. Starting with LTspice simulations, he walks through the different behaviors of open-circuit and short-circuit stubs, as well as what happens when multiple stubs are added to the same feedline. He also covers a nifty online calculator that makes it easy to come up with stub lengths based on things like the velocity factor and characteristic impedance of the coax.

It’s never just about simulations with [Fesz], though, so he presents a real-world stub filter for FM broadcast signals on the 2-meter amateur radio band. The final design required multiple stubs to get 30 dB of attenuation from 88 MHz to 108 MHz, and the filter seemed fairly sensitive to the physical position of the stubs relative to each other. Also, the filter needed a little LC matching circuit to move the passband frequency to the center of the 2-meter band. All the details are in the video below.

It’s pretty cool to see what can be accomplished with just a couple of offcuts of coax. Plus, getting some of the theory behind those funny little features on PCBs that handle microwave frequencies is a nice bonus. This microwave frequency doubler is a nice example of what stubs can do.

youtube.com/embed/tQnCpV4L_6s?…

3D printing metal has been somewhat of a holy grail for the last decade in the hobby 3DP scene. We’ve seen a number of solutions, including using expensive filaments that incorporate metal into the usual plastic. In parallel, we’ve seen ceramic printers, and paste printers in general, coming into their own. What if you combined the two?

You’d get [Leah Buechly] et al’s CeraMetal process, which is the cheapest and most straightforward metal printing method we’ve seen to date. It all starts off with a custom bronze metal clay, made up of 100 g bronze powder, 0.17 g methyl cellulose, 0.33 g xanthan gum, and 9 g water. The water is fine-tuned to get the right consistency, and then it’s extruded and sintered.

The printer in question is an off-the-shelf ceramic printer that appears to use a pressurized clay feed into an augur, and prints on a linen bed. [Leah] had to write a custom slicer firmware that essentially runs in vase mode but incorporates infill as well, because the stop-start of normal slicers wreaked havoc with clay printing.

The part is then buried in activated carbon for support, and fired in a kiln. The result is a 3D printed bronze part on the cheap; the material cost is essentially just the cost of the metal powder and your effort.

We had never heard of metal clay before, but apparently jewelers have been using it for metals other than just bronze. The Metal Clay Academy, from the references section of the paper, is an amazing resource if you want to recreate this at home.

Paste printers are sounding more and more interesting. Obvious applications include printing chocolate and printing pancakes, but now that we’re talking metal parts with reasonably consistent shrinkage, they’ve got our attention.

When monitors around the world display a “Blue Screen of Death” and you know it’s probably your fault, it’s got to be a terrible, horrible, no good, very bad day at work. That’s likely the situation inside CrowdStrike this weekend, as engineers at the cybersecurity provider struggle to recover from an update rollout that went very, very badly indeed. The rollout, which affected enterprise-level Windows 10 and 11 hosts running their flagship Falcon Sensor product, resulted in machines going into a boot loop or just dropping into restore mode, leaving hapless millions to stare at the dreaded BSOD screen on everything from POS terminals to transit ticketing systems.

Tales of woe from the fallout from what’s being called “the largest IT outage in history” are pouring in, including this very bewildered game developer who while stranded at an airport had plenty of ponder about why CrowdStrike broke the cardinal rule of software development by rolling a change to production on a Friday. The good news is that there’s a workaround, but the bad news is that someone has to access each borked machine and manually delete a file to fix it. Current estimates place the number of affected machines at 8.5 million, so that’s a lot of legwork. There’s plenty of time after the fix is rolled out for a full accounting of the impact, including the search for the guilty and persecution of the innocent, but for now, let’s spare a moment’s pity for the devs who must be sweating things out this weekend.

Back in 2011, Craig Fugate of the Federal Emergency Management Agency said of disaster response in the southern US, “If you get there and the Waffle House is closed? That’s really bad.” Thus was born the “Waffle House Index,” an informal measure of a natural disaster’s impact based on where individual restaurants in the chain that prides itself on always being open are actually up and running. With over 1,900 locations in 25 states, you’d think it would cover just about any emergency, but desperate Texans eschewed the index during the recent extensive power outages in the Houston area caused by Hurricane Beryl by inventing the “Whattaburger Index.” We haven’t had the pleasure of this particular delicacy, but it seems Texans can’t get enough of the hamburger chain, enough so that their online app’s location map provides a pretty granular view of a wide swathe of Texas. Plus, the chain thoughtfully color-codes each location’s marker by whether it’s currently open or closed, making it a quick and easy way to check where the power is on or off — at least during regular business hours. Hat’s off to the enterprising Texans who figured this out, and here’s hoping that life has returned to normal for everyone by now.

While we’re generally not fans of Apple products, which seem overpriced and far too tightly controlled for our liking, we’ve been pretty impressed by some of the results people have reported using their Apple AirTags to recover lost or stolen items — this recent discovery of a cache of stolen tools (fourth item) comes to mind. Results such as that require a “me too” response from the Android side of the market, resulting in the Find My Device network that, perhaps unsurprisingly, doesn’t appear to work very well. The test was pretty much what you’d expect — drop an Android-compatible tag in the mail along with an AirTag and track their journey. The Android tag only reported in a couple of times, while the AirTag provided a comprehensive track of the parcel’s journey through the USPS. Our first thought is that this speaks mostly to the power of being first to market, allowing Apple to have a more completely built-out infrastructure. But this may say more about the previously mentioned flexibility of Android compared to Apple; we know we noped the hell out of participating in Find My Device as soon as it rolled out on our Android phone. Seems like a lot of Android users feel the same way.

And finally, while we haven’t checked out comments on this week’s podcast, we’re pretty sure we’re getting raked over the coals for betraying our ignorance of and lack of appreciation for the finer points of soccer, or football. Whatever you call it, we just don’t get it, but we do understand and agree with our own Lewin Day’s argument that instrument-enhanced officiating isn’t making the game any better. Our argument is that in any sport, the officials are like a third team, one that’s adversarial to both of the competing teams, hopefully equally so, and that giving them super-human abilities isn’t fair to the un-enhanced players on the field/pitch/court/ice. So it was with considerable dismay that we learned that Major League Baseball is experimenting with automatic umpires to call balls and strikes behind the plate. While you may not care about baseball, you have to appreciate the ability of an umpire to stand directly in the line of fire of someone who can hurl a ball fast enough to hit a strike zone about the size of a pizza box the ball in less than 500 milliseconds. Being able to determine if the ball ended up in or out of that box is pretty amazing, not to mention all the other things an umpire has to do to make sure the game is played by the rules. They’re not perfect, of course, and neither are the players, and half the fun of watching sports for us is witnessing the very human contest of wills and skills of everyone involved. It seems like a bad idea to take the humans out of that particular loop.

An annoying fridge that beeps incessantly when the door is open too long should be an easy enough thing to fix by disconnecting the speaker, but when as with [kennedn]’s model it’s plumbed in and the speaker is inaccessible, what’s to be done? The answer: create a mod chip for a fridge.

While the fridge electronics themselves couldn’t be reached, there was full access to a daughterboard with the fridge controls. It should be easy enough to use them to turn off the alarm, but first a little reverse engineering was required. It used a serial communication with an old-school set of shift registers rather than a microcontroller, but it soon became apparent that the job could be done by simply pulling the buttons down. In a move that should gladden the heart of all Hackaday readers then, the modchip in question didn’t even have to be a processor, instead it could be the venerable 555 timer. Our lives are complete, and the fridge is no longer annoying.

The 555 is unashamedly a Hackaday cliche, but even after five decades it still bears some understanding.

Su basta!, un media indipendente francese, c’è un interessante articolo che presenta l’esperienza delle “banche del tempo libero“ (Fritidsbanken), in particolare la sede di Malmoe, nel sud della Svezia: basta.media/Suede-recycleries-…

La sede si trova in un centro commerciale eha l’aspetto di un normale negozio di articoli sportivi, ma lì sci, pattini in linea, racchette da tennis, palloni, tende e altri articoli sportivi sono di seconda mano e non si vendono, ma si prestano gratuitamente per due settimane, basta lasciare il proprio nome e il proprio numero di telefono.
Nella sede di Malmoe c’è spazio anche per accese partite ai due tavoli da ping pong e non mancano le attività per la riparazione delle attrezzature, secondo la responsabile al momento nel negozio si prestano circa 150 oggetti al giorno, d’inverno, il doppio.

L’associazione delle Fritidsbanken è nata nel 2013 ed ora è diffusa in molti centri del paese, ha come scopo dare nuova vita ad attrezzature sportive usate, prestandole gratuitamente per promuovere l'attività sportiva e all'aria aperta. Le “banche del tempo libero” vengono finanziate dalle amministrazioni locali da associazioni per la promozione dello sport, da fondazioni e da alcune regioni.

L’associazione ha un suo sito con una versione anche in inglese dove spiega che cosa sono e come funzionano le Fritidsbanken: fritidsbanken.se/en/how-it-wor…

Un grand merci, un grosso grazie a @Basta! per la segnalazione di questa bella iniziativa.
#EconomiaCircolare #biblioteche #Svezia #sport #ambiente #condivisione #BancheDelTempoLibero @macfranc

Investigatori di 25 paesi nella lotta contro i criminali che sfruttano il patrimonio culturale dell’umanità

@Notizie dall'Italia e dal mondo

L’ottava edizione dell’operazione contro il traffico internazionale di opere d’arte, nome in codice “Pandora”, ha visto il coinvolgimento delle autorità doganali e di polizia di 25 paesi. Guidata dalla Spagna (Guardia Civil), con il sostegno di Europol e INTERPOL, l'operazione ha portato complessivamente all'arresto di 85 persone e al recupero di oltre 6 400 beni culturali.
Durante Pandora VIII sono stati effettuati diverse migliaia di controlli in aeroporti, porti e valichi di frontiera, nonché in case d'asta, musei e residenze private. Le forze dell'ordine hanno inoltre “pattugliato” il web ed effettuato oltre 6mila controlli online, che hanno portato al recupero di 580 beni rubati. Nei paesi coinvolti sono ancora in corso circa 113 procedimenti penali e 137 amministrativi, con la previsione di ulteriori arresti e sequestri.

Punti salienti operativi
Con riguardo alla sola Italia, Pandora VIII ha portato al recupero dei seguenti manufatti rubati:
- Il Comando Carabinieri per la Tutela del Patrimonio Culturale (#TPC) è riuscito a identificare e successivamente sequestrare un dipinto contemporaneo venduto online. Se autenticato, il dipinto avrebbe un valore di circa 150.000 euro. Durante la perquisizione gli agenti hanno rinvenuto anche diversi oggetti contraffatti.
- In un'indagine separata, i Carabinieri hanno sequestrato oltre 2.000 frammenti di manufatti ceramici e litici come punte di freccia e punte di lancia. Gli oggetti antichi risalenti al Neolitico e all'età del bronzo erano stati messi in vendita online.

Cooperazione internazionale tra paesi e agenzie
In qualità di co-leader di questa operazione, #Europol ha svolto un ruolo chiave facilitando lo scambio di informazioni e fornendo supporto analitico e operativo alle singole indagini nazionali.
L' #INTERPOL ha sostenuto #PandoraVIII facilitando lo scambio di informazioni tra i paesi partecipanti, in particolare con i paesi dei Balcani. Un funzionario dedicato è stato inoltre disponibile durante tutta l’operazione al fine di verificare i sequestri in prima linea rispetto al database delle opere d’arte rubate dell’INTERPOL e supportare gli agenti sul campo nell’uso dell’app #ID-Art.
L’operazione Pandora, lanciata per la prima volta nel 2016, è un’operazione annuale delle forze dell’ordine.

Paesi partecipanti:
Albania, Austria, Bosnia ed Erzegovina, Bulgaria, Repubblica Ceca, Croazia, Cipro, Francia, Germania, Grecia, Irlanda, Italia, Lettonia, Malta, Montenegro, Paesi Bassi, Norvegia, Polonia, Portogallo, Romania, Spagna, Serbia, Svezia, Ucraina, Regno Unito

#Armadeicarabinieri