It is funny how sometimes things you think are bad turn out to be good in retrospect. Like many of us, when I was a kid, I was fascinated by science of all kinds. As I got older, I focused a bit more, but that would come later. Living in a small town, there weren’t many recent science and technology books, so you tended to read through the same ones over and over. One day, my library got a copy of the relatively recent book “The Amateur Scientist,” which was a collection of [C. L. Stong’s] Scientific American columns of the same name. [Stong] was an electrical engineer with wide interests, and those columns were amazing. The book only had a snapshot of projects, but they were awesome. The magazine, of course, had even more projects, most of which were outside my budget and even more of them outside my skill set at the time.

If you clicked on the links, you probably went down a very deep rabbit hole, so… welcome back. The book was published in 1960, but the projects were mostly from the 1950s. The 57 projects ranged from building a telescope — the original topic of the column before [Stong] took it over — to using a bathtub to study aerodynamics of model airplanes.

X-Rays

[Harry’s] first radiograph. Not bad!However, there were two projects that fascinated me and — lucky for me — I never got even close to completing. One was for building an X-ray machine. An amateur named [Harry Simmons] had described his setup complaining that in 23 years he’d never met anyone else who had X-rays as a hobby. Oddly, in those days, it wasn’t a problem that the magazine published his home address.

You needed a few items. An Oudin coil, sort of like a Tesla coil in an autotransformer configuration, generated the necessary high voltage. In fact, it was the Ouidn coil that started the whole thing. [Harry] was using it to power a UV light to test minerals for flourescence. Out of idle curiosity, he replaced the UV bulb with an 01 radio tube. These old tubes had a magnesium coating — a getter — that absorbs stray gas left inside the tube.

The tube glowed in [Harry’s] hand and it reminded him of how an old gas-filled X-ray tube looked. He grabbed some film and was able to image screws embedded in a block of wood.
With 01 tubes hard to find, why not blow your own X-ray tubes?
However, 01 tubes were hard to get even then. So [Harry], being what we would now call a hacker, took the obvious step of having a local glass blower create custom tubes to his specifications.

Given that I lived where the library barely had any books published after 1959, it is no surprise that I had no access to 01 tubes or glass blowers. It wasn’t clear, either, if he was evacuating the tubs or if the glass blower was doing it for him, but the tube was down to 0.0001 millimeters of mercury.

Why did this interest me as a kid? I don’t know. For that matter, why does it interest me now? I’d build one today if I had the time. We have seen more than one homemade X-ray tube projects, so it is doable. But today I am probably able to safely operate high voltages, high vaccums, and shield myself from the X-rays. Probably. Then again, maybe I still shouldn’t build this. But at age 10, I definitely would have done something bad to myself or my parent’s house, if not both.

Then It Gets Worse

The other project I just couldn’t stop reading about was a “homemade atom smasher” developed by [F. B. Lee]. I don’t know about “atom smasher,” but it was a linear particle accelerators, so I guess that’s an accurate description.
The business part of the “atom smasher” (does not show all the vacuum equipment).
I doubt I have the chops to pull this off today, much less back then. Old refigerator compressors were run backwards to pull a rough vaccuum. A homemade mercury diffusion pump got you the rest of the way there. I would work with some of this stuff later in life with scanning electron microscopes and similar instruments, but I was buying them, not cobbling them together from light bulbs, refigerators, and home-made blown glass!

You needed a good way to measure low pressure, too, so you needed to build a McLeod gauge full of mercury. The accelerator itself is three foot long, borosilicate glass tube, two inches in diameter. At the top is a metal globe with a peephole in it to allow you to see a neon bulb to judge the current in the electron beam. At the bottom is a filament.

The globe at the top matches one on top of a Van de Graf generator that creates about 500,000 volts at a relatively low current. The particle accelerator is decidedly linear but, of course, all the cool particle accelerators these days form a loop.

[Andres Seltzman] built something similar, although not quite the same, some years back and you can watch it work in the video below:

youtube.com/embed/pNLlD3QT3yA?…

What could go wrong? High vacuum, mercury, high voltage, an electron beam and plenty of unintentional X-rays. [Lee] mentions the danger of “water hammers” in the mercury tubes. In addition, [Stong] apparently felt nervous enough to get a second opinion from [James Bly] who worked for a company called High Voltage Engineering. He said, in part:

…we are somewhat concerned over the hazards involved. We agree wholeheartedly with his comments concerning the hazards of glass breakage and the use of mercury. We feel strongly, however, that there is inadequate discussion of the potential hazards due to X-rays and electrons. Even though the experimenter restricts himself to targets of low atomic number, there will inevitably be some generation of high-energy X-rays when using electrons of 200 to .300 kilovolt energy. If currents as high as 20 microamperes are achieved, we are sure that the resultant hazard is far from negligible. In addition, there will be substantial quantities of scattered electrons, some of which will inevitably pass through the observation peephole.

I Survived

Clearly, I didn’t build either of these, because I’m still here today. I did manage to make an arc furnace from a long-forgotten book. Curtain rods held carbon rods from some D-cells. The rods were in a flower pot packed with sand. An old power cord hooked to the curtain rods, although one conductor went through a jar of salt water, making a resistor so you didn’t blow the fuses.

Somehow, I survived without dying from fumes, blinding myself, or burning myself, but my parent’s house had a burn mark on the floor for many years after that experiement.

If you want to build an arc furnace, we’d start with a more modern concept. If you want a safer old book to read, try the one by [Edmund Berkeley], the developer of the Geniac.

I ricercatori del team di sicurezza XLab hanno recentemente scoperto una nuova botnet nel cyberspazio, Zergeca, che si distingue per le sue capacità avanzate e rappresenta una seria minaccia per milioni di dispositivi digitali. Zergeca è in grado non solo di sferrare attacchi DDoS, ma anche di svolgere molte altre funzioni dannose.

Il 20 maggio 2024, XLab ha rilevato un file ELF sospetto nella directory “/usr/bin/geomi” sulla piattaforma Linux di uno dei suoi clienti. Questo file, compresso utilizzando un UPX modificato, è rimasto a lungo inosservato dai programmi antivirus.

Dopo l’analisi i ricercatori hanno scoperto che si tratta di una botnet implementata a Golang. E dato che la sua infrastruttura C2 utilizzava la stringa “ootheca“, che ricorda gli zerg di StarCraft, gli specialisti di XLab hanno chiamato la botnet Zergeca, sottolineandone la diffusione aggressiva e rapida.

Zergeca supporta sei metodi di attacco DDoS, oltre a funzioni di proxying, scansione, aggiornamento automatico, persistenza, trasferimento di file, shell inversa e raccolta di informazioni sensibili.

Zergeca utilizza diversi metodi di risoluzione DNS, incluso DNS su HTTPS (DOH). Viene utilizzata anche la libreria Smux per il protocollo C2, che fornisce la crittografia utilizzando XOR. Ciò consente alla botnet di nascondere efficacemente le proprie attività e di renderle difficili da rilevare.

Dall’analisi è emerso che l’indirizzo IP 84.54.51.82, utilizzato per C2, serve due botnet Mirai da settembre 2023, il che testimonia l’esperienza accumulata dai suoi creatori. I principali metodi di distribuzione di Zergeca includono lo sfruttamento di password Telnet deboli e vulnerabilità CVE-2022-35733 e CVE-2018-10562.

Dall’inizio di giugno 2024 Zergeca ha preso di mira Canada, Usa e Germania. Il tipo principale di attacco è stato ackFlood (atk_4) e le vittime sono stati diversi sistemi autonomi (ASN). Zergeca funziona su architettura x86-64 e prende di mira la piattaforma Linux, ma i ricercatori hanno trovato anche riferimenti ad Android e Windows nel codice della botnet, il che suggerisce futuri scenari di sviluppo del malware.

Zergeca ottiene la persistenza sui dispositivi compromessi aggiungendo un servizio di sistema “geomi.service”, che garantisce che il processo si avvii automaticamente al riavvio del dispositivo. La crittografia delle stringhe utilizza XOR con una chiave codificata.

La botnet include il modulo Silivaccine, che elimina le minacce della concorrenza come miner e trojan, garantendo il monopolio sul dispositivo infetto e sfruttando le massime prestazioni.

La scoperta di Zergeca dimostra la continua evoluzione e sofisticazione delle botnet. Con le sue funzionalità avanzate, coerenza e flessibilità, Zergeca rappresenta una seria minaccia. I professionisti della sicurezza informatica devono rimanere vigili e adottare misure proattive per identificare e mitigare tali minacce.

L'articolo Zergeca: La Botnet Che Minaccia Linux e Altri Sistemi Operativi con Attacchi DDoS e Funzionalità Avanzate proviene da il blog della sicurezza informatica.

Beyond bothering large language models (LLMs) with funny questions, there’s the general idea that they can act as supporting tools. Theoretically they should be able to assist with parsing and summarizing documents, while answering questions about e.g. electronic design. To test this assumption, [Duncan Haldane] employed three of the more highly praised LLMs to assist with circuit board design. These LLMs were GPT-4o (OpenAI), Claude 3 Opus (Anthropic) and Gemini 1.5 (Google).

The tasks ranged from ‘stupid questions’, like asking the delay per unit length of a trace on a PCB, to finding parts for a design, to designing an entire circuit. Of these tasks, only the ‘parsing datasheets’ task could be considered to be successful. This involved uploading the datasheet for a component (nRF5340) and asking the LLM to make a symbol and footprint, in this case for the text-centric JITX format but KiCad/Altium should be possible too. This did require a few passes, as there were glitches and omissions in the generated footprint.

When it came to picking components for a design, it’s clear that you’re out of luck here unless you’re trying to create a design that a million others have made before you in exactly the same way. This problem got worse when trying to design a circuit and ultimately spit out a netlist, with the best LLM (Claude 3 Opus) giving nonsensical suggestions for filter designs and mucking up even basic amplifier designs, including by sticking decoupling capacitors and random resistors just about everywhere.

Effectively, as a text searching tool it would seem that LLMs can have some use for engineers who are tired of digging through yet another few hundred pages of poorly formatted and non-indexed PDF datasheets, but you still need to be on your toes with every step of the way, as the output from the LLM will all too often be slightly to hilariously wrong.

Part 1: XZ backdoor story – Initial analysis
Part 2: Assessing the Y, and How, of the XZ Utils incident (social engineering)

In our first article on the XZ backdoor, we analyzed its code from initial infection to the function hooking it performs. As we mentioned then, its initial goal was to successfully hook one of the functions related to RSA key manipulation. In this article, we will focus on the backdoor’s behavior inside OpenSSH, specifically OpenSSH portable version 9.7p1 – the most recent version at this time.

To better understand what’s going on, we recommend you to read Baeldung’s article about SSH authentication methods and JFrog’s article about privilege separation in SSH.

Key findings

Our analysis revealed the following interesting details about the backdoor’s functionality:

• The attacker set an anti-replay feature to avoid possible capture or hijacking of the backdoor communication.
• The backdoor author used a custom steganography technique in the x86 code to hide the public key, a very clever technique to hide the public key.
• The backdoor hides its logs of unauthorized connections to the SSH server by hooking the logging function.
• The backdoor hooks the password authentication function to allow the attacker to use any username/password to log into the infected server without any further checks. It also does the same for public key authentication.
• It has remote code execution capabilities that allow the attacker to execute any system command on the infected server.

Detailed analysis

There are three functions that the backdoor attempts to hook, of which RSA_public_decrypt is the primary target and RSA_get0_key is the secondary. The third function, EVP_PKEY_set1_RSA, doesn’t exist in the SSH server version in question. It may be an artifact left over from the tool used for malicious public key generation (this function is used by an independent ssh-keygen tool included in the OpenSSH packet), or it may have been used in a rare or outdated version of the SSH server.

The two target functions in the latest SSH server version are called when the RSA certificate is configured as an SSH authentication method. They first check if an incoming RSA connection uses authentication data (RSA key) as an argument. If so, the backdoor passes it to a common function (called by all hooks) that parses this RSA key and extracts information that is embedded in its modulus part. The backdoor’s main payload function works only once during a client preauth session, when the RSA-based authentication checks are performed.

RSA_public_decrypt hook function

An attacker must generate a specific RSA key to interact with the backdoored server; the key is used as a container for the attacker’s commands in SSH connections using CA certificates.

The RSA key is represented by a structure in the OpenSSL library that contains the E (exponent) and N (modulus). The backdoor extracts and processes the RSA modulus, which means that the malicious payload is packed inside the N value from the RSA cryptosystem.

The custom RSA modulus must conform to the following format to be processed correctly by the backdoor:

RSA modulus data structure

There are three fields in the payload header (PartialCommand1, 2 and 3 in the scheme above) that are used to calculate the command type and also act as a form of magic number check. The command type is calculated using the following formula: PartialCommand3 + (PartialCommand2 * PartialCommand1), where the result of the calculation must be a value between 0 and 3:

Command type calculation

If the calculated check passes, the code proceeds to the payload decryption and payload signature check.

ED448-encrypted public key extraction – x86-based steganography

To decrypt and verify the payload data, the backdoor uses an ED448 public key extracted from the binary.

When we first encountered the key extraction procedure, it looked like the backdoor authors had managed to create code that generated a correct public key before the private key, which should be impossible. Normally, for the Elliptic Curve Algorithm, the private key must be generated first, and then the public key is calculated from it. To solve the mystery of generating the public key from the binary, we analyzed the source code of various cryptographic libraries and came up with nothing. We then analyzed the backdoor code more closely, and found that the keys were generated using a regular procedure. However, the attackers used a custom steganography technique in the x86 code to hide an arbitrary message (in this case, the public key).

The public key information was scattered inside the binary code within specific valid instructions. The method of recovering the key is somewhat similar to the gadget scanning technique in a return-oriented programming (ROP) binary exploitation scenario. But here the “gadgets” are actually register-register instructions (e.g., mov rdi, rbx), each of which holds one bit of information, whose value is either 1 or 0.

To achieve key recovery, some functions, usually at the beginning of the function, call the “key rebuild” algorithm with specific arguments.

Partial key rebuild function call

The arguments used by this algorithm are:

• BitIndex: the starting value that holds the current key index to be decoded and also holds which bit should be set initially in the encrypted key bitmap.
• Total Instructions: the number of register-register instructions to scan in the current function.
• Key Index: the specific key index this function will work to reconstruct. This value exists to avoid rescanning the same function if it is called a second time.

Register-register instruction decoding

The key rebuild algorithm scans certain functions of the backdoor from beginning to end looking for register-register instructions. When it finds an instruction, it decodes the ‘BitIndex’ value to extract the correct byte index and bit to be set.

Encrypted key rebuild code snippet

The BitIndex value is unpacked to determine the target index in the buffer. It then adds (bitwise or) the bit to the current value at that index. As the encrypted public key buffer is initialized with zeros, the rebuilder algorithm will only activate specific bits inside it. It sets the key bit value to 1 if the register-register instruction matches the opcode criteria (image above), or skips it, indicating that this bit value should remain zero. After that, the BitIndex value increases.

The algorithm determines whether the bit should be set or not for each instruction individually, even if the instructions have the same disassembly representation. This is because some instructions can have the same assembly code but different opcodes.

Public key rebuild algorithm

In general, for each instruction found, the BitIndex is used to reconstruct a specific part of the encrypted key. In total, 456 instructions are hunted through the binary execution, and the encrypted public key is rebuilt by the end of this process.

Key rebuild automation

In our research, we recreated the entire key rebuilding process that results in the encrypted public key that is later decrypted.

Payload decryption and signature check

The ED448 public key is encrypted using the ChaCha20 algorithm, where the key and nonce are the result of ChaCha20 encryption of a buffer consisting of zeros, with zeros used as the key and nonce.

After decryption, the backdoor takes the first 32 bytes of the public key and uses them as the key to decrypt the payload body, which is also ChaCha20 encrypted.

Backdoor payload decryption and check diagram

Payload signature check

The decrypted payload contains the signature of the remaining data in its header. To verify the signature, one must have a private key to sign the payload. In the expected attack scenario, only the backdoor author would have access to sign and send payloads to the infected server.

To verify the integrity and authenticity of the payload, the backdoor again uses the decrypted ED448 public key to confirm that the incoming payload was signed with the attacker’s private key.

Payload integrity and authenticity checks

It also takes the SHA-256 hash of the server’s public key (taken from the initial SSH connection when the server sends the public key) into the payload signed data and verifies that it matches the currently running server. This is done to prevent replay attacks, where a researcher could capture the backdoor communication and replay the same backdoor command to another server.

Anti-replay attack diagram

If all the checks pass, the code proceeds to parse the arguments of the desired backdoor command. The backdoor can execute the commands in two modes, root and non-root, and the execution can vary depending on the privilege level. However, the non-root mode operations don’t appear to be the attacker’s goal, so we’ll describe what the root-mode code does.

Backdoor commands

The command chosen by the attacker depends on the result of the calculation on the header fields. The core backdoor commands essentially allow the attacker to log into the server as root or a regular user and execute some system commands. This section describes what each command does.

Bypass SSH authentication

Both commands 0 and 1 enable root login on the SSH server if it wasn’t previously enabled. Additionally, they can optionally disable the use of Pluggable Authentication Modules (PAM). Next, depending on the command, one of two OpenSSH functions can be hooked, the mm_answer_authpassword if the command is 1 or the mm_answer_keyallowed if the command is 0.

First command core code

The mm_answer_authpassword hook allows the attacker to use any username/password to log in to the infected server without any further checks. We’ll describe mm_answer_keyallowed in more detail later.

Remote command execution via ‘system’ call

If the command is 2, it extracts the command string from the payload data and executes it on the machine using the system function. The attacker can send specific flags in the payload body to specify the user and group ID under which the command should be executed.

Remote command execution code snippet

The last backdoor command (3) simply closes the pre-auth session by exiting the Monitor process.

After the main hook function completes, the backdoor replaces the incoming RSA public key with an empty one to avoid logging any malicious data from the attacker.

The mm_answer_keyallowed hook

If the backdoor command is 0 the mm_answer_keyallowed function will be hooked. This function is called by the privileged Monitor process when the unprivileged NetworkProcessing sshd process receives the publickey method of the ssh-userauth request, allowing the backdoor to process additional commands at that stage.

In this processing method, similar steps occur: the modulus of the attached to the ssh-userauth request RSA key is extracted, decrypted, and its signature is checked as explained earlier. The possible subcommands are:

• SubCommand 1:
  
  • Hook the mm_answer_authpassword function to allow user login requests with any password.

  
  

• SubCommand 2:
  
  • Hook the mm_answer_keyverify function to allow authentication with fake keys and store the received backdoor command inside an internal structure. The mm_answer_keyverify hook essentially allows the incoming key to pass through the authentication process without further checks, successfully completing authorization with a fake key.

  
  

• SubCommand 3:
  
  • Similar to the system execution method, this command allows the execution of commands using the system function, with the option to choose the group/user ID.

  
  

Log hiding capabilities

The backdoor can also hide logs that indicate unauthorized connections to the SSH server by hooking the logging function and optionally calling the libc setlogmask(0x80000000), which causes all Syslog messages to be ignored. 0x80000000 in the argument actually means setting the log mask to zero, because the zero-mask argument is a reserved value with special meaning.

The hook will also filter out log messages by searching them in the prefix tree, as described in our first post about XZ backdoor. Its further behavior depends on which of the targeted messages were found (if any):

Log filtering code snippet

The available log filters are:

Conclusion

After three posts on this backdoor, we can conclude that it is indeed a highly sophisticated threat with many peculiarities. Several highlights make this threat unique, such as the way the public key information is embedded in the binary code itself, complicating the recovery process, and the meticulous preparation of the operation, which involves a long-running social engineering campaign.

It is notable that the group or attacker behind this threat has extensive knowledge of the internals of open-source projects such as SSH and libc, as well as expertise in code/script obfuscation used to start the infection.

Kaspersky products detect malicious objects associated with the attack as HEUR:Trojan.Script.XZ and Trojan.Shell.XZ. In addition, Kaspersky Endpoint Security for Linux detects malicious code in sshd process memory as MEM:Trojan.Linux.XZ (as part of the Critical Areas Scan task).

securelist.com/xz-backdoor-par…

The European Commission said Apple's App Store is in breach of the bloc's digital competition rules in preliminary findings announced through a Monday (24 June) press release.

euractiv.com/section/platforms…

There’s no shortage of Geiger counter projects based on the old Soviet SBM-20 tube, it’s a classic circuit that’s easy enough even for a beginner to implement — so long as they don’t get bitten by the 400 volts going into the tube, that is. Toss in a microcontroller, and not only does that circuit get even easier to put together and tweak, but now the features and capabilities of the device are only limited by how much code you want to write.

Luckily for us, [Omar Khorshid] isn’t afraid of wrangling some 0s and 1s, and the result is the OpenRad project. In terms of hardware, it’s the standard SBM-20 circuit augmented with a LILYGO ESP32 development board that includes a TFT display. But where this one really shines is the firmware.

With the addition of a few hardware buttons, [Omar] was able to put together a very capable interface that runs locally on the device itself. In addition, the ESP32 serves up a web page that provides some impressive real-time data visualizations. It will even publish its data via MQTT if you want to plug it into your home automation system or other platform.

Between the project’s Hackaday.io page and GitHub repository, [Omar] has done a fantastic job of documenting the project so that others can recreate it. That includes providing the schematics, KiCad files, and Gerbers necessary to not only get the boards produced and assembled, but modified should you want to adapt the base OpenRad design.

This project reminds us of the uRADMonitor, which [Radu Motisan] first introduced in 2014 to bring radiation measuring to the masses. This sort of hardware has become far more accessible over the last decade, bringing the dream of a globally distributed citizen-operated network of radiation and environmental monitors much closer to reality.

youtube.com/embed/kaBPnBUhCXA?…

La fine del ciclo di vita ufficiale di CentOS 7 è il 30 giugno 2024.

A dicembre 2020, Red Hat, la società madre di CentOS per Linux, aveva annunciato che stava “spostando l’attenzione da CentOS Linux“.

Gli utenti di CentOS erano sconvolti e molti non hanno mai smesso di utilizzare l’ultima versione supportata del “classico” CentOS: CentOS 7 .

Secondo LanSweeper, una società di gestione delle risorse IT, il 26% dei 200.000 dispositivi Linux scansionati utilizzano CentOS. Secondo i calcoli di Web Technology Servers, CentOS viene ancora utilizzato dal 2,4% di tutti i siti web.

Perché così tanti sono rimasti fedeli a un sistema operativo morente? Per anni CentOS è stata la scelta predefinita delle società di web hosting.

La distribuzione Linux era veloce, gratuita e affidabile. Certo, se avevi bisogno di un supporto tecnico di prim’ordine, RHEL era il sistema operativo preferito nella famiglia Red Hat Linux. Ma non tutti avevano bisogno di essere presi per mano.

Ora è tempo di cambiare. Operare su una versione obsoleta di CentOS comporta diversi rischi significativi. Inoltre, la conformità alle normative e agli standard di settore sarà messa a repentaglio, portando potenzialmente a gravi conseguenze legali e finanziarie. Anche le inefficienze operative sono motivo di preoccupazione, poiché i sistemi obsoleti potrebbero affrontare problemi di compatibilità con nuovi software e hardware, causando interruzioni e diminuzione della produttività.

È possibile passare a CentOS Stream, la distribuzione Linux di sviluppo RHEL di Red Hat. Stream è una distribuzione Linux a rilascio progressivo, il che significa che riceve continuamente aggiornamenti, incluse le funzionalità più recenti, correzioni di bug e patch di sicurezza.

Il lato positivo è che Stream è gratuito e offre gli aggiornamenti più recenti. D’altra parte, Stream non è progettato per l’uso in produzione. Essendo una distribuzione distribuita in modo continuo, non ha lo stesso livello di stabilità dei tradizionali CentOS o RHEL. Inoltre non dispone di un meccanismo di aggiornamento tra le versioni principali, né di supporto commerciale.

Addio quindi CentOS. Il tempo è scaduto. CentOS 7 è stato un fedele servitore per anni, ma è ora di lasciare che quel servitore vada in pensione e passi a qualcosa di nuovo e più sicuro. Sì, puoi continuare a utilizzarlo con il supporto di terze parti, ma è ora di andare avanti.

L'articolo Addio CentOS! Tanti Anni Passati Insieme, tra Server Web, Hosting e Laboratori proviene da il blog della sicurezza informatica.

In una significativa escalation nel campo della sicurezza informatica, il noto gruppo ransomware Lockbit 3.0 ha rivendicato la responsabilità di un attacco informatico ai danni della Federal Reserve degli Stati Uniti.

La dichiarazione è stata fatta attraverso un post sul sito di leak del Dark Web associato all’attore ransomware, suscitando allarmi nei settori finanziari e governativi.

La Presunta Violazione

Il 23 giugno 2024, alle 20:27 UTC, Lockbit 3.0 ha annunciato di aver compromesso i sistemi della Federal Reserve, acquisendo un impressionante totale di 33 terabyte di informazioni bancarie sensibili.

I dati, secondo quanto riportato, includono dettagli confidenziali sulle attività bancarie degli americani, che, se confermati, rappresenterebbero una delle più grandi violazioni di dati finanziari della storia.

Il post, intitolato “federalreserve.gov”, descrive la struttura della Federal Reserve, evidenziando il suo ruolo nella distribuzione del denaro attraverso dodici distretti bancari nel paese, comprese le principali città come Boston, New York City, Philadelphia, Richmond, Atlanta, Dallas, Saint Louis, Cleveland, Chicago, Minneapolis, Kansas City e San Francisco.

Richiesta di Riscatto e Minacce

Nella loro dichiarazione, Lockbit 3.0 ha emesso un ultimatum severo: la Federal Reserve ha 48 ore per assumere un nuovo negoziatore e licenziare quello attuale, che i cybercriminali hanno dispregiativamente definito come un “idiota clinico” per aver valutato la segretezza bancaria degli americani a $50.000. Il gruppo ransomware è noto per le sue tattiche di negoziazione aggressive, spesso richiedendo somme esorbitanti per prevenire la diffusione dei dati rubati.

Implicazioni e Reazioni

Le potenziali conseguenze di questa violazione sono immense. Se le affermazioni si rivelassero accurate, l’esposizione di una quantità così vasta di informazioni sensibili potrebbe avere conseguenze disastrose per la privacy individuale, la stabilità finanziaria e la sicurezza nazionale. La Federal Reserve, responsabile della supervisione della politica monetaria nazionale, della regolamentazione delle banche e del mantenimento della stabilità finanziaria, è un componente critico dell’infrastruttura finanziaria degli Stati Uniti.

Le istituzioni finanziarie, gli esperti di sicurezza informatica e le agenzie governative sono indubbiamente in stato di massima allerta. Un attacco di questa portata evidenzia le vulnerabilità anche nei sistemi più sicuri e vitali. Le implicazioni si estendono oltre la minaccia immediata dell’esposizione dei dati; pongono rischi significativi alla fiducia nel sistema finanziario statunitense.

Il Panorama della Sicurezza Informatica

Lockbit 3.0 fa parte di una tendenza crescente di gruppi ransomware sofisticati che prendono di mira organizzazioni di alto valore, richiedendo riscatti in cambio della non divulgazione dei dati rubati. Il loro modus operandi tipico coinvolge la crittografia dei dati e la minaccia di rilasciarli pubblicamente a meno che le loro richieste finanziarie non vengano soddisfatte. Il gruppo è stato collegato a diversi attacchi di alto profilo negli ultimi anni, consolidando la sua reputazione come una minaccia informatica formidabile.

Risposta Federale e Garanzie Pubbliche

Al momento, la Federal Reserve non ha confermato pubblicamente la violazione né fornito dettagli sugli sforzi in corso per affrontarla. Tuttavia, dato il carattere critico dell’istituzione, è previsto che le agenzie federali, tra cui l’Agenzia per la Sicurezza Informatica e delle Infrastrutture (CISA) e l’FBI, siano attivamente coinvolte nella gestione della situazione.

Le misure di garanzia pubblica saranno probabilmente una priorità per mantenere la fiducia nel sistema finanziario. La violazione serve come promemoria chiaro dell’importanza di difese robuste contro la sicurezza informatica e della necessità di una vigilanza continua contro minacce informatiche sempre più sofisticate.

Conclusione

L’attacco informatico dichiarato da Lockbit 3.0 contro la Federal Reserve è una sveglia per tutti i settori dipendenti dall’infrastruttura digitale. Man mano che la situazione si sviluppa, sarà cruciale monitorare la risposta della Federal Reserve, l’efficacia delle misure di sicurezza informatica federali e le implicazioni più ampie per la sicurezza nazionale e la stabilità finanziaria.

In un mondo in cui le minacce informatiche stanno diventando sempre più complesse e pervasive, questo incidente evidenzia l’urgenza di strategie di sicurezza informatica migliorate e di una cooperazione internazionale per combattere il ransomware e proteggere le infrastrutture critiche da futuri attacchi.

L'articolo Lockbit 3.0 dichiara un attacco alla Federal Reserve. Possibile compromissione di 33 terabyte proviene da il blog della sicurezza informatica.

@Notizie dall'Italia e dal mondo

La Silver Notice è un nuovo strumento che consentirà all’ #INTERPOL di coordinare meglio gli sforzi internazionali per identificare, localizzare e sequestrare i proventi di reato, compresi quelli relativi alla criminalità finanziaria, alla corruzione e alla criminalità organizzata.
L'Assemblea Generale dell'INTERPOL approvò alla 90^ Assemblea generale dell’Interpol del 2022 a New Delhi (India) la creazione della #Silver Notice per facilitare il rintraccio e il recupero dei beni di origine criminale.

(Il Prefetto Rizzi all'Assemblea Interpol a New Dheli)

Le caratteristiche principali della Silver Notice sono:

- condividere informazioni e coordinare le indagini sul rintracciamento e il recupero dei beni criminali in più giurisdizioni.
- privare i criminali dei guadagni acquisiti illecitamente e interrompere le loro operazioni prendendo di mira le loro risorse finanziarie.
La Silver Notice e la corrispondente "Silver Diffusion" saranno sperimentate per un periodo massimo di due anni, con il gruppo di lavoro di esperti che fornirà feedback e orientamenti durante l'attuazione.

L'iniziativa si basa sulle precedenti risoluzioni e sugli sforzi dell’INTERPOL per combattere la criminalità finanziaria e la corruzione e si allinea con le priorità del G20 e della Financial Action Task Force nel rafforzare i meccanismi globali di recupero dei beni.

Le differenze principali tra la nuova Notifica Silver INTERPOL e le altre notifiche INTERPOL esistenti sono:
1. Scopo: La Silver Notice è specificamente progettata per facilitare il tracciamento, l'identificazione, il congelamento e il recupero dei beni criminali oltre i confini internazionali. Ciò è in contrasto con gli altri avvisi incentrati sulla localizzazione di individui, sulla condivisione di informazioni su attività criminali o sull'avvertimento di minacce.
2. Ambito: mentre le altre comunicazioni coprono un'ampia gamma di attività criminali, la Silver Notice si concentrerà esclusivamente sui crimini finanziari, sulla corruzione e sui proventi della criminalità organizzata.
3. Meccanismo: la Silver Notice consentirà lo scambio diretto di intelligence e informazioni finanziarie per sostenere gli sforzi di recupero dei beni multi-giurisdizionali. Si tratta di una nuova funzionalità che va oltre il sistema di notifica esistente.
4. Obiettivi: l'obiettivo generale della Silver Notice è privare i criminali dei guadagni acquisiti illecitamente e interrompere le loro operazioni prendendo di mira le loro risorse finanziarie. Ciò è in linea con le priorità del G20 e della Financial Action Task Force nel rafforzare i meccanismi globali di recupero dei beni.

In sintesi, la Silver Notice rappresenta uno strumento nuovo e specializzato dell’INTERPOL focalizzato specificamente sul rintracciamento, il congelamento e il recupero dei beni criminali oltre confine, integrando il sistema di notifica esistente che è più ampiamente focalizzato sulla localizzazione di individui e sulla condivisione di informazioni criminali.

(La prima riunione del Gruppo di Lavoro, tenutasi a Roma nell'ottobre 2023)

Al costituito gruppo di Lavoro partecipano 34 Paesi di tutti i continenti. L’Italia se ne è aggiudicata la guida con la nomina, quale responsabile del colonnello Roberto Ribaudo, del Servizio per la cooperazione internazionale di Polizia del Dipartimento della Pubblica sicurezza.
Secondo il Prefetto #Rizzi, fautore della Risoluzione dell'Interpol: “È un momento di svolta nell’attacco ai patrimoni illeciti delle mafie. L’obiettivo è quello di superare le differenze tra i diversi ordinamenti per restituire alla società le risorse sottratte in modo illecito al circuito economico, produttivo e sociale. L’obiettivo è quello di festeggiare l’anniversario che ricorre quest’anno dei cento anni di Interpol, la più grande associazione per la cooperazione internazionale di polizia che riunisce 195 Paesi, con un nuovo strumento a disposizione delle forze di polizia. Come la Red notice serve a catturare i latitanti in ogni angolo della Terra, così la Silver notice servirà a tracciare in tutto il mondo i patrimoni illeciti per restituirli alla collettività a cui sono stati sottratti”.

Recentemente, l’ASST Rhodense è stata bersaglio di un grave attacco informatico perpetrato dal gruppo ransomware Cicada3301. Questo attacco ha portato al furto di un’enorme quantità di dati sensibili, tra cui informazioni personali e mediche, con conseguenze importanti per le strutture sanitarie di Garbagnate Milanese, Bollate, Rho e Passirana.

Il furto di 1 terabyte di dati, poi pubblicato integralmente sul Data Leak Site (DLS) del gruppo criminale, ha messo ancora una volta in luce le vulnerabilità delle istituzioni sanitarie italiane, che spesso presentano una postura cibernetica limitata e non adeguatamente preparata a fronteggiare le minacce più sofisticate.

In questo contesto, Red Hot Cyber ha sempre ribadito uno tra i principi fondamentali della sicurezza informatica: “Devi conoscere i demoni per imparare a contrastarli.” Conoscere i “demoni”, ovvero conoscere come operano i cyber-criminali, non solo ci aiuta a comprendere le loro motivazioni e il loro metodi (o meglio dire quello che in termini tecnici si chiamiamo come Tecniche, Tattiche e Procedure o TTPs dell’attore malevolo), ma ci permette anche di sviluppare le difese informatiche più efficaci, capaci di contrastarli sul loro stesso terreno.
Il data leak site (DLS) di Cicada3301 come si presenta oggi, con quattro vittime.
Comprendere quindi come ragionano e operano i threat actors è essenziale per migliorare le difese cibernetiche e prevenire attacchi futuri e fare consapevolezza del rischio, ma soprattutto “lesson learned”, ovvero evitare che tali episodi si verifichino nuovamente in futuro.

Nell’ottica di aumentare la consapevolezza sui rischi informatici e di migliorare le difese delle strutture sanitarie italiane, abbiamo deciso di intervistare direttamente il gruppo Cicada3301, che ha colpito la ASST Rhodense. Questa intervista non ha l’intento di giustificare o promuovere le azioni dei cybercriminali, che rimangono sempre azioni perseguibili dalla legge.

Vuole altresì fornire una maggiore comprensione delle minacce, allo scopo di sensibilizzare le organizzazioni sul rischio informatico e incoraggiare dirigenti ed organi di vigilanza a rafforzare le misure di sicurezza degli ospedali, patrimonio base a tutela della salute di tutti i cittadini italiani.
L’interfaccia TOX Messenger. Il luogo dove si è tenuta l’intervista a Cicada3301
1 – RHC: Salve ragazzi. Siete un gruppo nato da poco che prende il nome da “Cicada 3301”, una misteriosa organizzazione che in tre diverse occasioni ha pubblicato una serie di enigmi molto complessi al fine di reclutare capaci crittoanalisti. Ci potete raccontare l’origine di questo nome?
Cicada3301: Ciao! Sì, in effetti, la nostra azienda prende il nome da quell’organizzazione. Diventeremo per molte aziende un puzzle irrisolvibile, che non potrà essere risolto senza pagare un riscatto.

2 – RHC: Siete da poco entrati nel circus del cybercrime. Quali sono i vostri obiettivi e la vostra propensione? Affermarvi come un RaaS di valore oppure operare da soli? Al momento avete degli affiliati?
Cicada3301: Il nostro obiettivo principale è fare soldi. Attualmente lavoriamo esclusivamente con partner che gestiscono con successo i loro compiti.

3 – RHC: Sul vostro sito ad oggi sono presenti 4 violazioni. Molte cyber gang (come Lockbit e in passato Conti e BlackCat) definirono delle rigide regole dove oltre non era possibile spingersi. Stiamo parlando di Ospedali, Scuole, organizzazioni sanitarie e pediatriche. Quali sono i vostri limiti in tal senso?
Cicada3301: Ci avviciniamo a ciascuna organizzazione individualmente, valutando attentamente tutte le possibili conseguenze. Se concludiamo che il nostro attacco non rappresenta una minaccia per la vita e la salute della popolazione civile, decidiamo di procedere con le azioni contro l’obiettivo. Analizziamo attentamente tutti i rischi e ci assicuriamo che le nostre azioni non portino a conseguenze indesiderabili per persone innocenti prima di iniziare un attacco.

4 – RHC: Noi siamo Italiani e abbiamo seguito con molto interesse la violazione all’ASST Rhodense, perchè gli ospedali fanno parte delle infrastrutture critiche del nostro paese e dovrebbero essere protette al meglio per rendere tutti i cittadini più al sicuro. Come mai avete preso di mira questa struttura?
Cicada3301: I dettagli specifici dell’attacco non ci sono noti poiché l’azienda è stata attaccata dal nostro partner. Sappiamo però che si trattava di una grande rete con un’ampia infrastruttura e molti dispositivi.

5 – RHC: Nel caso specifico avete acquistato l’accesso da un broker (IaB), acquistato accessi da infostealer, oppure è stata una attività mirata? Potete raccontarcela dal punto di vista tecnico?
Cicada3301: L’accesso non è stato acquistato, ma è stato ottenuto sfruttando una vulnerabilità RCE in uno dei sistemi dell’azienda appaltatrice per infiltrarsi nella rete.

6 – RHC: Secondo voi, come mai il cybercrime da circa tre anni è catalizzato verso gli ospedali? A parte il fatto che i pagamenti avvengono prima per la paura di perdita di vite umane, ma relativamente ai dati, ci potete spiegare chi è interessato al loro acquisto nelle underground?
Cicada3301: In precedenza vigeva la regola di non prendere di mira gli ospedali e per questo motivo le forze dell’ordine dei vostri paesi erano più indulgenti nei nostri confronti. Tuttavia, come dimostra la pratica, l’aggressività nei nostri confronti è aumentata, il che significa che anche la nostra aggressività è cresciuta.

7 – RHC: Spesso riportiamo che occorre conoscere come opera chi attacca per imparare a difendersi. Visto che ora la vicenda si è conclusa, potete dirci, dal punto di vista tecnico, come siete entrati nelle infrastrutture IT dell’ASST Rhodense? Che vulnerabilità avete utilizzato?
Cicada3301: Il nostro partner ha riferito di aver avuto accesso alla rete di un appaltatore che serve l’ospedale. Ciò significa che inizialmente è stato sferrato un attacco contro l’appaltatore, consentendo al nostro partner di accedere alla rete dell’ospedale. Presto potremmo pubblicare sul nostro blog informazioni sulla società appaltatrice responsabile delle sofferenze dell’ospedale.

8 – RHC: Una volta dentro, quanti giorni siete rimasti all’interno delle infrastrutture IT della ASST Rhodense?
Cicada3301: Circa un anno.

9 – RHC: Avete fatto dei movimenti laterali? Come era la sicurezza complessiva interna dell’ospedale? C’erano sistemi e software obsoleti che avete sfruttato?
Cicada3301: Non possiamo commentare i nostri metodi di lavoro. La sicurezza dell’ospedale era ad un livello medio.

10 – RHC: Dovendo dare un valore, in una scala da 1 a 5, quanto erano sicure le infrastrutture della ASST Rhodense?
Cicada3301: 3.

11 – RHC: Non siete i soli e non sarete gli ultimi a colpire un ospedale.
Secondo voi, quali sono le principali debolezze nella sicurezza informatica degli ospedali oggi?
Cicada3301: Scarsa qualifica degli amministratori di sistema e di tutto il personale responsabile della sicurezza informatica.

12 – RHC: Quali misure preventive è possibile adottare, dal vostro punto di vista, per proteggere al meglio gli ospedali da attacchi simili al vostro? Nello specifico della ASST Rhodense, per attivare un miglioramento, secondo voi, da dove occorrerebbe iniziare?
Cicada3301: Per proteggere gli ospedali da attacchi informatici simili a quelli che potremmo condurre, è possibile adottare le seguenti misure preventive:

• Aggiornamenti software regolari.
• Installazione e aggiornamento regolare di programmi di protezione antivirus e malware.
• Formare i dipendenti a riconoscere gli attacchi di phishing e altre minacce informatiche.
• Sviluppare e implementare rigorose politiche di sicurezza dei dati.
• Implementazione di tecnologie per monitorare la rete e rilevare attività sospette.
• Creare regolarmente backup e archiviarli in luoghi sicuri.
• Implementazione dell’autenticazione a più fattori e rigide regole di gestione degli accessi.

13 – RHC: Come descrivereste l’attuale postura di sicurezza informatica degli ospedali italiani rispetto agli standard internazionali? Sono messi così male rispetto al resto del mondo?
Cicada3301: La sicurezza delle istituzioni governative in tutto il mondo è a un livello basso.

14 – RHC: Quali sono i segnali d’allarme che le strutture sanitarie dovrebbero monitorare per individuare potenziali attacchi?
Cicada3301: Per un monitoraggio efficace dell’attività di rete, i programmi antivirus o i sistemi EDR devono essere configurati correttamente per rilevare questi segnali.

15 – RHC: Quali sono i rischi futuri che gli ospedali devono prepararsi ad affrontare in termini di sicurezza cibernetica?
Cicada3301: Se il livello di sicurezza rimane lo stesso, gli ospedali dovranno prepararsi a nuovi attacchi.

16 – RHC: Avete mai collaborato con altre gang di ransomware o gruppi di hacker? Se sì, in che modo?
Cicada3301: Non collaboriamo con i concorrenti.

17 – RHC:Avete incontrato conflitti o rivalità con altre gang di ransomware?
Cicada3301: Naturalmente ci evolviamo costantemente per essere i migliori tra i concorrenti.

18 – RHC: Ora vi faremo delle domande secche e vorremmo delle risposte secche. Cominciamo! Remote code Execution (RCE) o Privilege Escalation?
Cicada3301: RCE.

19 – RHC: Policy and Procedure o Security Assessment?
Cicada3301: Security Assessment.

20 – RHC: Open Source o Closed Source?
Cicada3301: Solo codice open source.

21 – RHC: Vi ringraziamo veramente per questa intervista. Facciamo queste interviste per far comprendere ai nostri lettori che la cybersecurity è una materia prettamente tecnica e che per poter vincere la lotta contro il cybercrime occorre essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. Volete dire qualcosa o fare qualche considerazione che possa essere interessante per i nostri lettori?
Cicada3301: Le nostre attività stimolano le aziende a migliorare continuamente la sicurezza informatica per contrastare le nostre azioni. Fungiamo da utile contrappeso, promuovendo il miglioramento della sicurezza informatica in tutto il mondo.
Durante la comunicazione con i rappresentanti dell’ASST Rhodense, questi si sono rifiutati di pagare il riscatto, evitando così conseguenze negative per i cittadini del loro paese. Tuttavia, di buon umore, abbiamo mostrato pietà e abbiamo fornito gratuitamente la chiave di decrittazione. In risposta, non abbiamo ricevuto una sola parola di gratitudine.

Conclusione

Con questa intervista, abbiamo evidenziato l’urgenza di rafforzare la protezione delle strutture sanitarie italiane contro le minacce informatiche. Gli ospedali, in quanto custodi di dati sensibili e cruciali per la salute pubblica, devono essere trattati alla stregua delle infrastrutture critiche nazionali, come le reti telefoniche, ferroviarie ed elettriche. È imperativo che vengano implementate misure di sicurezza al pari di quelle applicate sotto il regime di “golden power”, garantendo così una difesa robusta e resiliente contro qualsiasi attacco cibernetico.

Gli ospedali, anche se non specificatamente nominati nei decreti Golden Power, rientrano nella categoria delle infrastrutture critiche che richiedono una protezione speciale. Dato il ruolo centrale che rivestono nella salute pubblica e nella sicurezza nazionale, sarebbe opportuno considerarli con la stessa attenzione riservata ad altre infrastrutture critiche come le reti di trasporto, energia e telecomunicazioni. La protezione delle strutture sanitarie deve essere una priorità strategica per garantire la resilienza e la sicurezza del paese contro minacce sia fisiche che cibernetiche.

Solo attraverso una protezione adeguata e una alta attenzione e preparazione strategica possiamo assicurarci che le nostre strutture sanitarie siano pronte a fronteggiare le minacce del futuro, salvaguardando così non solo la sicurezza dei dati, ma anche la nostra salute e il benessere di noi tutti cittadini.

Riportiamo di seguito l’intervista originale in lingua inglese:
1 - RHC: Hi guys. You are a newly formed group named after "Cicada 3301," a mysterious organization that on three different occasions published a series of very complex puzzles in order to recruit capable cryptanalysts. Can you tell us about the origin of this name?
Cicada3301: Hello! Yes, indeed, our company is named after that organization. We will become an unsolvable puzzle for many companies, one that cannot be solved without paying a ransom.

2 - RHC: You have recently entered the cybercrime circus. What are your goals and propensity? Establish yourself as a valuable RaaS or operate on your own? Do you currently have affiliates?
Cicada3301: Our main goal is to make money. Currently, we work exclusively with partners who successfully manage their tasks.

3 - RHC: There are 4 violations on your site to date. Many cyber gangs (like Lockbit and in the past Conti and BlackCat) defined strict rules where beyond that it was not possible to go. We are talking about Hospitals, Schools, health and pediatric organizations. What are your limitations in this regard?
Cicada3301: We approach each organization individually, carefully evaluating all possible consequences. If we conclude that our attack does not pose a threat to the life and health of the civilian population, we decide to proceed with actions against the target. We thoroughly analyze all risks and ensure that our actions will not lead to undesirable consequences for innocent people before initiating an attack.

4 - RHC: We are Italian and we have been following the breach at ASST Rhodense with a lot of interest, because hospitals are part of the critical infrastructure of our country and should be protected to the best of our ability to make all citizens safer. How did you come to target this facility?
Cicada3301: The specific details of the attack are unknown to us since the company was attacked by our partner. However, we know it was a large network with extensive infrastructure and many devices.

5 - RHC: In the specific case did you purchase access from a broker (IaB), purchased access from infostealer, or was it a targeted activity? Can you tell us about it from a technical perspective?
Cicada3301: Access was not purchased but was obtained by exploiting an RCE vulnerability in one of the contractor company's systems to infiltrate the network.

6 - RHC: Why do you think cybercrime for the last three years or so has been catalyzed toward hospitals? Aside from the fact that payments happen first because of the fear of loss of life, but relative to data, can you tell us who is interested in buying it in the underground?
Cicada3301: Previously, there was a rule that we do not target hospitals, and because of this, law enforcement agencies in your countries were more lenient towards us. However, as practice shows, aggression from your side towards us is only increasing, which means that our aggression has also grown.

7 - RHC: We often report that you need to know how the attacker operates in order to learn how to defend yourself. Since this has now been concluded, can you tell us, from a technical point of view, how did you get into the IT infrastructure of ASST Rhodense? What vulnerabilities did you use?
Cicada3301: Our partner reported that they gained access to the network of a contractor serving the hospital. This means that an attack was initially carried out on the contractor, allowing our partner to gain access to the hospital's network. We may publish information about the contractor company responsible for the hospital's suffering on our blog soon.

8 - RHC: Once inside, how many days did you stay within the IT infrastructure of ASST Rhodense?
Cicada3301: About one year.

9 - RHC: Did you do any lateral movement? How was the overall internal security of the hospital? Were there outdated systems and software that you exploited?
Cicada3301: We cannot comment on our working methods. The hospital's security was at an average level.

10 - RHC: Having to give a value, on a scale of 1 to 5, how secure was the infrastructure of ASST Rhodense?
Cicada3301: 3

11 - RHC: You are not the only ones and you will not be the last to hit a hospital.
In your opinion, what are the main weaknesses in cybersecurity in hospitals today?
Cicada3301: Low qualification of system administrators and all personnel responsible for cybersecurity.

12 - RHC: What preventive measures can be taken, from your perspective, to best protect hospitals from attacks similar to yours? Specific to ASST Rhodense, to enable improvement, where do you think you would need to start?
Cicada3301: To protect hospitals from cyberattacks similar to those we might conduct, the following preventive measures can be taken:
- Regular software updates.
- Installation and regular updating of antivirus and malware protection programs.
- Training employees to recognize phishing attacks and other cyber threats.
- Developing and implementing strict data security policies.
- Implementing technologies to monitor the network and detect suspicious activity.
- Regularly creating backups and storing them in secure locations.
- Implementing multi-factor authentication and strict access management rules.

13 - RHC: How would you describe the current cybersecurity posture of Italian hospitals compared to international standards? Are they that bad compared to the rest of the world?
Cicada3301: The security of government institutions worldwide is at a low level.

14 - RHC: What are the warning signs that healthcare facilities should monitor for potential attacks?
Cicada3301: For effective network activity monitoring, antivirus programs or EDR systems must be properly configured to detect these signals.

15 - RHC: What future risks should hospitals prepare for in terms of cybersecurity?
Cicada3301: If the security level remains the same, hospitals will have to prepare for new attacks.

16 - RHC:Have you ever collaborated with other ransomware gangs or hacker groups? If so, in what ways?
Cicada3301:We do not cooperate with competitors.

17 - RHC:Have you encountered conflicts or rivalries with other ransomware gangs?
Cicada3301: Naturally, we constantly evolve to be the best among competitors.

18 - RHC: Now we are going to ask you some dry questions and we would like some dry answers. Let's start. Remote code Execution or Privilege Escalation?
Cicada3301: RCE.

19 - RHC: Policy and Procedure or Security Assessment?
Cicada3301: Security assessment.

20 - RHC: Open Source or Closed Source?
Cicada3301: Only open-source code.

21 - RHC:We really thank you for this interview. We do these interviews to make our readers understand that cybersecurity is a purely technical subject and that in order to be able to win the fight against cybercrime we need to be stronger than you, who are notoriously often one step ahead of everyone.
Would you like to say anything or make any points that might be of interest to our readers?
Cicada3301: Our activities stimulate companies to continuously improve cybersecurity to counter our actions. We serve as a useful counterbalance, promoting the improvement of cybersecurity worldwide.
During communication with representatives of ASST Rhodense, they refused to pay the ransom, thus avoiding negative consequences for their country's citizens. However, in a good mood, we showed mercy and provided the decryption key for free. In response, we did not receive a single word of gratitude.
L'articolo Esclusivo! Parla il Gruppo Hacker Dietro l’Attacco alla ASST Rhodense intervistato da RHC. La supply-chain è fondamentale! proviene da il blog della sicurezza informatica.

Negli ultimi anni, il panorama della cybersecurity è stato segnato da continui attacchi ransomware, con gruppi criminali che si evolvono costantemente per eludere le difese. Uno di questi gruppi, noto come BlackByte, è recentemente tornato in azione dopo mesi di inattività, rilanciando la sua strategia di doppia estorsione e introducendo un nuovoData Leak Site (DLS).

Origini e Metodi Operativi di BlackByte

Blackbyte DLS

BlackByte è emerso come una minaccia significativa nel luglio 2021, rapidamente attirando l’attenzione delle autorità come l’FBI e il Secret Service statunitense. Questo gruppo è noto per sfruttare vulnerabilità nei sistemi informatici per ottenere l’accesso non autorizzato e distribuire il loro ransomware. Una delle tecniche più comuni utilizzate da BlackByte è l’uso di vulnerabilità note nei server Microsoft Exchange, un metodo che è stato sfruttato anche da altri gruppi ransomware​​​​.

Modello di Business: Ransomware-as-a-Service (RaaS)

BlackByte opera secondo un modello di Ransomware-as-a-Service (RaaS), che consente ad affiliati di utilizzare il ransomware in cambio di una percentuale dei profitti. Questo modello di business permette una diffusione più ampia del ransomware e una maggiore difficoltà nel tracciare e fermare le operazioni del gruppo. Gli affiliati di BlackByte possono personalizzare gli attacchi e sfruttare il ransomware per colpire specifici obiettivi​​.

Ransomnote del gruppo Blackbyte

Tecniche di Infiltrazione e Attacco

BlackByte utilizza una varietà di tecniche per infiltrarsi nei sistemi delle vittime. Queste includono:

• Phishing: L’invio di email di phishing per ingannare gli utenti e ottenere credenziali di accesso.
• Living-off-the-Land Binaries (LoLBins): Utilizzo di strumenti già presenti nei sistemi operativi per evitare la rilevazione.
• AnyDesk: Un software di gestione remota spesso utilizzato per il controllo dei sistemi infettati e per il movimento laterale all’interno della rete​​​​​​.

Evoluzione e Miglioramenti

Dopo un periodo iniziale di attività, la gang ha apportato modifiche significative al proprio ransomware. Ad esempio, una versione iniziale del ransomware aveva una vulnerabilità che permetteva alle vittime di decrittare i propri file senza pagare il riscatto. Questa vulnerabilità è stata rapidamente corretta nelle versioni successive, che hanno introdotto metodi di crittografia più complessi e l’uso di più chiavi di crittografia per ogni attacco​​.

Doppia Estorsione

Una caratteristica distintiva degli attacchi di BlackByte è la doppia estorsione. Oltre a crittografare i dati delle vittime, la gang minaccia di pubblicare i dati rubati su un Data Leak Site (DLS) accessibile tramite Tor. Questo approccio mette una doppia pressione sulle vittime, costringendole a pagare per evitare sia la perdita di dati che danni reputazionali​​​​.

Un Nuovo Inizio

Dopo l’ultimo attacco noto a marzo 2024, BlackByte è scomparso dai radar, facendo pensare a molti che il gruppo fosse stato smantellato o che avesse cessato le attività.

Post apparso sul DLS di blackbyte dell’ultima vittima di Marzo 2024

Tuttavia, un recente annuncio sul loro nuovo DLS suggerisce il contrario. Il messaggio (vedi immagine) informa che ora è possibile scaricare i file delle aziende tramite indirizzi Tor, con un sistema rinnovato che promette di rendere più facile la visualizzazione e il download dei dati rubati.

Banner “new info”

Dettagli del Nuovo DLS

Il nuovo DLS di BlackByte rappresenta un’evoluzione significativa rispetto ai loro precedenti tentativi. La piattaforma aggiornata permette una navigazione più intuitiva e l’accesso a una lista di aziende con relativi file compromessi. Questo sistema, che sfrutta la rete Tor per garantire l’anonimato, consente ai criminali di operare con maggiore sicurezza e di raggiungere un pubblico più ampio di potenziali acquirenti di dati sensibili.

Vittime Note

Nel corso della sua attività, BlackByte ha colpito diverse organizzazioni di rilievo, tra cui:

1. Aziende Manifatturiere: Imprese del settore industriale hanno subito gravi interruzioni operative a causa della crittografia dei loro sistemi di controllo.
2. Istituzioni Sanitarie: Ospedali e cliniche sono stati costretti a sospendere le operazioni a causa dell’inaccessibilità ai dati dei pazienti, mettendo a rischio vite umane.
3. Enti Governativi: Agenzie governative hanno visto compromessi dati sensibili e classificati, con conseguenze potenzialmente devastanti per la sicurezza nazionale.

Implicazioni e Misure di Difesa

Il ritorno di BlackByte con una strategia rinnovata sottolinea l’importanza di un approccio proattivo alla cybersecurity. Le organizzazioni devono investire in soluzioni di sicurezza avanzate, come la segmentazione della rete, il monitoraggio continuo delle anomalie e la formazione dei dipendenti su pratiche di sicurezza informatica. Inoltre, è essenziale avere piani di risposta agli incidenti ben definiti e regolarmente testati per minimizzare i danni in caso di attacco.

Conclusione

BlackByte rappresenta una delle tante minacce nel mondo in continua evoluzione della cybersecurity. Il loro ritorno e l’adozione di un nuovo DLS dimostrano come i gruppi ransomware continuino a innovare per massimizzare i loro profitti. Per le organizzazioni, la consapevolezza delle minacce e l’adozione di misure di sicurezza adeguate sono cruciali per difendersi da questi attacchi sempre più sofisticati.

Resta da vedere come si evolverà la situazione e quali altre sorprese BlackByte riserverà nel prossimo futuro. Nel frattempo, la comunità globale della cybersecurity deve rimanere vigile e collaborare per contrastare queste minacce persistenti.

L'articolo BlackByte: Il Ritorno della Gang di dopo alcuni mesi di inattività proviene da il blog della sicurezza informatica.

Un gruppo di scienziati britannici e tedeschi hanno fatto un passo avanti nella diagnosi precoce di uno dei disturbi neurodegenerativi più comuni: il morbo di Parkinson. I ricercatori dell’University College di Londra e del Göttingen Medical Center hanno sviluppato un innovativo esame del sangue utilizzando l’intelligenza artificiale in grado di identificare i pazienti ad alto rischio di sviluppare la malattia sette anni prima che compaiano i sintomi caratteristici.

La malattia di Parkinson è accompagnata da tremori agli arti, rigidità muscolare e lentezza nei movimenti. Nelle fasi finali può portare a seri problemi di deglutizione e di parola, nonché a disturbi cognitivi più gravi come la demenza. Causa anche gravi problemi di equilibrio e coordinazione, aumentando il rischio di cadute e lesioni gravi.

Oggi la diagnosi si basa esclusivamente sulla valutazione visiva dei disturbi motori, che tuttavia compaiono dopo una significativa morte delle cellule nervose nel cervello.

Il nuovo sviluppo utilizza algoritmi di apprendimento automatico per analizzare otto biomarcatori contenuti nel sangue che modificano i loro indicatori nella malattia di Parkinson. Durante gli studi clinici, il sistema di intelligenza artificiale ha dimostrato un’accuratezza del 100% nella diagnosi di una malattia già sviluppata. Ma gli scienziati hanno deciso di andare oltre.

Lo studio si è concentrato su persone con disturbo comportamentale del sonno REM (RBD), in cui i pazienti mettono in atto fisicamente i loro sogni, spesso accompagnati da urla, spinte e parole mentre dormono. Circa l’80% dei malati di RHD sviluppa un gruppo di patologie neurodegenerative note come sinucleinopatie, la cui caratteristica principale è l’accumulo della proteina patologica alfa-sinucleina nelle cellule cerebrali. A questa famiglia appartiene la malattia di Parkinson.

Analizzando i campioni di sangue di pazienti affetti da RPHD, l’intelligenza artificiale ha concluso che il 79% di essi aveva un profilo di biomarcatori simile a quello dei pazienti con Parkinson. Inoltre, dopo aver tracciato il destino di queste persone per dieci anni, gli scienziati si sono convinti dell’accuratezza delle previsioni: 16 delle persone esaminate hanno effettivamente sviluppato la malattia di Parkinson e in alcuni i primi sintomi sono comparsi esattamente sette anni dopo i test.

“Il punto chiave è che man mano che diventano disponibili nuove opzioni terapeutiche, è fondamentale diagnosticare i pazienti in una fase preclinica, prima che si sviluppino i sintomi”, spiega il professor Kevin Mills, uno degli autori principali dello studio. “Non possiamo ripristinare i neuroni morti, ma salvare quelli rimanenti è del tutto possibile. Pertanto, la diagnosi precoce apre opportunità per un intervento medico tempestivo e può potenzialmente prevenire completamente o almeno rallentare in modo significativo il processo degenerativo”.

Ora un team di scienziati sta lavorando per migliorare ulteriormente il metodo. Uno dei coautori, il professor Kailash Bhatia, sta conducendo il test sull’accuratezza del test nelle persone ad alto rischio, come quelli con una predisposizione genetica alla malattia. Parallelamente si cercano finanziamenti per sviluppare una modifica ancora più semplice e indolore del test basato sulla colorazione del sangue capillare, che in futuro consentirebbe di individuare la malattia anche prima.

Oltre all’elevata precisione, il vantaggio innegabile del test è la sua natura non invasiva rispetto alle punture del liquido cerebrospinale utilizzate nei moderni studi clinici su questa patologia. Inoltre, il test può distinguere il Parkinson da disturbi neurodegenerativi simili, come l’atrofia multisistemica o la demenza a corpi di Lewy.

L'articolo Le AI diagnosticheranno il Parkinson 7 anni prima che arrivano i sintomi proviene da il blog della sicurezza informatica.

Wiremold is great stuff — it’s relatively cheap, easy to work with, and offers all sorts of adapters and angle pieces which take the hassle out of running (and hiding) wires. But [Dr. Gerg] found a shortcoming of this otherwise very flexible product: since each run is intended to start and end in a surface mounted box, he couldn’t find an end cap that would let him close off a section.

The solution? A desktop 3D printer and a chunk of OpenSCAD code telling it what to extrude. When you break it down, the Wiremold profile is fairly straightforward, and can be easily described with geometric primitives. A handful of cylinders, a cube or two, tie it all together with the hull() function, and you’re there.

We’d say this would be a fantastic project to cut your OpenSCAD teeth on, but since [Dr. Gerg] was kind enough to share the source code, you don’t have to figure it out on your own. Though there’s still benefit in reading over it if you’re looking for some practical examples of how the “Programmers Solid 3D CAD Modeller” gets things done.

So why would you want a Wiremold endcap? In the case of [Dr. Gerg], it sounds like he was trying to cover up a short run of wire that was running vertically. But we could imagine other applications for this basic design now that it’s out in the wild. For example, a short length of Wiremold outfitted with a pair of printed caps could make for a nice little enclosure if you’ve got a small project that needs protecting.

Ensuring journalists' safety is crucial for democracy, as threats lead to self-censorship and under-reporting. Despite Europe being relatively safe, online threats are rising, particularly against women and minorities. New EU legislation aims to enhance protection and cooperation with online platforms.

euractiv.com/section/digital/o…

The venerable Intel 486 was released in 1989 as the successor to the extremely popular Intel 386. It was the minimum recommended processor for Windows 98. (Surprisingly, the Windows 95 minimum was a 386!) But by the time XP rolled around, you needed at least a 233 MHz Pentium to install. Or at least that was the case until recently when an extremely dedicated user on MSFN named [Dietmar] showed how he hacked the XP kernel so it could run on the classic chip!

The biggest issue preventing XP from working on earlier processors is an instruction introduced on the Pentium: CMPXCHG8B. This instruction compares two 8-byte values and takes different actions depending on an equality test. It either copies the 8 bytes to a destination address or loads it into a 64-bit register. Essentially, it does what it says on the tin: it CoMPares and eXCHanGes some values. If you want to dig into the nitty-gritty details, you can check out this info on the instruction taken from the x86 datasheet.

Without getting too technical, know that this instruction is vital for performance when working with large data structures. This is because one instruction moves 8 bytes at a time, unlike the older CMPXCHG instruction, which only moves a single byte. Essentially, [Dietmar] had to find every usage of CMPXCHG8B and replace it with an equivalent series of CMPXCHG instructions.

On a side note, the once well-known and devastating Pentium F00F bug was caused by a faulty encoding of the CMPXCHG8B instruction. This allowed any user, even unprivileged users, to completely lock up a system, requiring a full reset cycle!

So [Dietmar] was successful, and now you can run the German version of Windows XP on either a real 486 or an emulated one. The installer is available on the Internet Archive and there’s a detailed video below demonstrating installing it on the 86Box virtual machine host.

youtube.com/embed/zqsKbE0qH2I?…

Thanks to [DosFox] for the tip!

When a ransomware attack targets something like a hospital, it quickly becomes a high-profile event that understandably results in public outrage. Hospitals are supposed to be backstops for society, a place to go when it all goes wrong, and paralyzing their operations for monetary gain by taking over their information systems is just beyond the pale. Tactically, though, it makes sense; their unique position in society seems to make it more likely that they’ll pay up.

Which is why the ongoing cyberattack against car dealerships is a little perplexing — can you think of a less sympathetic victim apart from perhaps the Internal Revenue Service? Then again, we’re not in the ransomware business, so maybe this attack makes good financial sense. And really, judging by the business model of the primary target of these attacks, a company called CDK Global, it was probably a smart move. We had no idea that there was such a thing as a “Dealer Management System” that takes care of everything from financing to service, and that shutting down one company’s system could cripple an entire industry, but there it is.

Water may seem like the enemy for anyone who gets in trouble while swimming, but it’s really time that they’re fighting. Even a strong swimmer can quickly become exhausted fighting wind and waves; add in the hypothermia that’ll eventually set in even in water as warm as a bath, and the difference between life and death can come down to seconds. Getting help to a floundering swimmer isn’t easy, though, as lifeguards can only swim so fast.

But a new remotely operated rescue boat aims to change that, by getting to someone in trouble as fast as possible. Named EMILY, for “Emergency Integrated Lifesaving Lanyard,” the unit is a compact electrically powered rescue boat that can be rapidly deployed by lifeguards, who remotely pilot it to the victim. The boat’s deck is covered with what looks like survival gear, most of which would probably be of more use to the lifeguard upon their arrival than to the swimmer, who would likely just use the boat for flotation. As such, this makes way more sense than sending a drone out there, which at best could only drop a life ring. At $12,000 a piece, these boats aren’t cheap, but for the families who lost their kids in 2022 who donated them, they probably seem like quite a bargain. Here’s hoping they pay off.

We can’t be sure, but we’ve got a vague memory of playing a game called Lunar Landing way back in the day. It would likely have been on a TRS-80 in our local Radio Shack store, and if memory serves, we never got particularly good at the text-based simulator. Happily, though, we can now at least attempt to foist our lack of skills off on a 55-year-old bug in the software. Recently discovered by the excellently named Martin C. Martin while trying to optimize the fuel burn schedule to land softly with the most fuel remaining — the key to a high score, as we recall — the bug makes it so a tiny change in burn rate gives wildly different results. The post-mortem of his search and the analysis of the code, written by high school student Jim Storer only months after the real moon landing in 1969, is very interesting. We especially appreciated the insights into how Storer wrote it, revealed via personal communications. It’s a great look at a piece of computer history, and hats off to both Storer and Martin — although we haven’t seen a CVE posted for this yet.

We know that Minitel terminals are highly collectible, but this is ridiculous. Granted, the Minitel occupies a unique place in computer history, and the boxy design of the original CRT and keyboard terminal was not without its charms. But this particular terminal seems to have had a Very Bad Day in the recent past and is now on the chopping block for a mere €430. To be fair, the eBay user in France has listed the Dalí-esque Minitel as an objet d’art; at that price, we’d like to at least get some usable parts from it to fix other terminals, but that doesn’t seem likely. Somebody will probably buy it, though — no accounting for taste.

And finally, AnimaGraffs is back, this time with a deep dive into the Bell 407 helicopter. We’ve been big fans of his work for a while and have featured a few of his videos in this space, including his look inside the SR-71 Blackbird spy plane. The new video is richly detailed and includes not only the engineering that goes into rotorcraft but also the physics that makes them work and makes them so challenging to fly. Enjoy!

youtube.com/embed/u1lU64CG8p8?…

Avete mai provato a chiedere ad un surfista di qualsiasi parte del mondo che cosa rappresenta il surf per lei o per lui? Sono certa al 100% che tutti vi daranno la stessa risposta: Libertà. Perché nulla al mondo dona quella sensazione come scivolare su un’onda, come remare verso il largo, circondati dal rosso del cielo e dal caldo del sole che tramonta. Pensateci bene, che cos’è la libertà? Per davvero intendo. @Feddit Un'istanza italiana Lemmy

iyezine.com/gaza-surf-chronicl…

GAZA SURF CHRONICLES E1

GAZA SURF CHRONICLES E1 - Quante volte abbiamo sentito questi termini dando per scontato una certa distanza tra noi e i soggetti in questione. Come se ci fosse non solo una distanza fisica, ma anche e soprattutto morale.

^{Valentina Sala (In Your Eyes ezine)}

Now before you start asking yourself “best for what purpose?”, just have a look at the quality of the DIY PCB in the image above. [ForOurGood] is getting higher resolution on the silkscreen than we’ve seen in production boards. Heck, he’s got silkscreen and soldermask at all on a DIY board, so it’s definitely better than what we’re producing at home.

The cost here is mostly time and complexity. This video demonstrating the method is almost three hours long, so you’re absolutely going to want to skip around, and we’ve got some relevant timestamps for you. The main tools required are a cheap 3018-style CNC mill with both a drill and a diode laser head, and a number of UV curing resins, a heat plate, and some etchant.

[ForOurGood] first cleans and covers the entire board with soldermask. A clever recurring theme here is the use of silkscreens and a squeegee to spread the layer uniformly. After that, a laser removes the mask and he etches the board. He then applies another layer of UV soldermask and a UV-curing silkscreen ink. This is baked, selectively exposed with the laser head again, and then he cleans the unexposed bits off.

In the last steps, the laser clears out the copper of the second soldermask layer, and the holes are drilled. An alignment jig makes sure that the drill holes go in exactly the right place when swapping between laser and drill toolheads – it’s been all laser up to now. He does a final swap back to the laser to etch additional informational layers on the back of the board, and creates a solder stencil to boot.

This is hands-down the most complete DIY PCB manufacturing process we’ve seen, and the results speak for themselves. We would cut about half of the corners here ourselves. Heck, if you do single-sided SMT boards, you could probably get away with just the first soldermask, laser clearing, and etching step, which would remove most of the heavy registration requirements and about 2/3 of the time. But if it really needs to look more professional than the professionals, this video demonstrates how you can get there in your own home, on a surprisingly reasonable budget.

This puts even our best toner transfer attempts to shame. We’re ordering UV cure soldermask right now.

youtube.com/embed/zn12kizaSsg?…

Three abandoned iMac G4s, looking for a loving home… (Credit: Hugh Jeffreys)
The Apple iMac G4 was also lovingly referred to as the ‘Apple iLamp’ due to its rather unique design with the jointed arm on which the display perches. Released in 2002 and produced until 2004, it was the first iMac to feature an LCD. With only a single-core G4 PowerPC CPU clocked at around 1 GHz, they’re considered e-waste by the average person.

That’s how [Hugh Jeffreys] recently found a triplet of these iMacs abandoned at an industrial site. Despite their rough state, he decided to adopt them on the spot, and gave one of them a complete make-over, with a good scrub-down and a brand-new LCD and Mac Mini M1 guts to replace the broken G4 logic board.

The chosen iMac had a busted up screen and heavily corroded logic board that looked like someone had tried to ‘fix’ it before. A new (used) 17″ LCD was installed from a MacBook Pro, which required the use of a Realtek RTD2660-based display controller to provide HDMI to LVDS support. The new logic board and power supply were sourced from a Mac Mini featuring the M1 SoC, which required a 3D printed adapter plate to position everything inside the iMac’s base. Wiring everything up took some creative solutions, with routing the wires through the flexible monitor arm the biggest struggle. The WiFi antenna on the Mac Mini turned out to be riveted and broke off, but the iMac’s original WiFi antenna could be used instead.

Although some clean-up is still needed, including better internal connector extensions, the result is a fully functional 2024 iMac M1 that totally wouldn’t look out of place in an office today. Plus it’s significantly easier to adjust the monitor’s angle and height compared to Apple’s official iMac offerings, making it the obviously superior system.

youtube.com/embed/LSifWtQXgCI?…

Bill Gates, il cofondatore di Microsoft discute spesso degli effetti dell’intelligenza artificiale sul mondo. In una recente intervista, ha affermato che l’intelligenza artificiale non può sostituire gli esseri umani, in particolare gli ingegneri del software.

L’intelligenza artificiale sostituirà gli ingegneri del software?

ChatGPT, lanciato nel 2022, ha iniziato a far discutere se l’intelligenza artificiale possa sostituire gli esseri umani. Prima questi chatbot erano solo chatbot conversazionali ma non è stato difficile far scrivere codice o scrivere poesie facendo comprendere le loro potenzialità.

Versioni più intelligenti dell’intelligenza artificiale sono arrivate più tardi. Insieme a questi sforzi cominciarono a sorgere anche preoccupazioni. Diversi esperti di tecnologia hanno affermato che l’intelligenza artificiale può togliere posti di lavoro alle persone nel prossimo futuro.

Ad esempio, la capacità dell’intelligenza artificiale (AI) di scrivere codice in pochi minuti ora frustra gli ingegneri del software i quali stanno avendo preoccupazione per il loro futuro occupazionale.

Questo è ciò che ha detto Bill Gates

Il cofondatore di Microsoft Bill Gates discute spesso dell’impatto dell’intelligenza artificiale sul mondo. In una recente intervista, ha affermato che l’intelligenza artificiale non può sostituire gli esseri umani, in particolare gli ingegneri del software.

Ha anche detto che anche se arrivasse l’era dell’intelligenza artificiale, avremmo comunque bisogno di questi ingegneri. Gates ha parlato con il creatore di Zerodha Nikhil Kamath nel primo episodio, “People By WTF”. Nel suo discorso di 30 minuti, Gates ha parlato degli inizi di Microsoft e dell’impatto dell’intelligenza artificiale sull’ingegneria del software.

il futuro è ottimista

Bill Gates è ottimista riguardo al futuro dei lavori di ingegneria del software, sebbene sia preoccupato per il crescente impatto dell’intelligenza artificiale. Crede che l’intelligenza artificiale possa aiutare gli ingegneri e migliorare il loro lavoro.

Ad esempio, è possibile creare strumenti didattici specifici utilizzando l’intelligenza artificiale. Inoltre, ha menzionato alcuni progetti in corso di successo in India e negli Stati Uniti. Gates ha affermato: “La cosa migliore di questa tecnologia è che può aiutare in molte aree importanti e può anche fornire nuovi modi di apprendere”.

L'articolo Bill Gates: “L’intelligenza Artificiale Non Sostituirà l’ingegneria del software” proviene da il blog della sicurezza informatica.

Nel tentativo di creare dispositivi più piccoli ed efficienti dal punto di vista energetico, i ricercatori stanno lavorando per integrare i sistemi di stoccaggio dell’energia direttamente sui microchip, riducendo così al minimo la perdita di energia durante il trasferimento tra i componenti. I ricercatori del Lawrence Berkeley Laboratory e dell’Università della California, Berkeley, hanno sviluppato “microcondensatori” che risolvono questo problema.

Realizzati con film sottili di ossido di afnio e ossido di zirconio, questi condensatori utilizzano materiali e metodi di produzione già utilizzati nella produzione di chip. Ciò che rende unici i nuovi microcondensatori è la loro capacità di immagazzinare molta più energia grazie all’utilizzo di materiali con capacità negativa.

I condensatori sono i componenti di base dei circuiti elettrici che immagazzinano energia in un campo elettrico tra due piastre metalliche separate da un dielettrico. Sono in grado di rilasciare rapidamente energia e hanno una durata maggiore rispetto alle batterie. Tuttavia, i condensatori tradizionali hanno una bassa densità di energia, che ne ha limitato l’uso in applicazioni ad alta potenza.

I ricercatori hanno superato queste limitazioni sviluppando film sottili di HfO2-ZrO2 con un effetto capacitivo negativo. Ottimizzando la composizione, hanno ottenuto una facile polarizzazione del materiale anche con un piccolo campo elettrico. Per aumentare la capacità dei film, il team ha aggiunto strati atomicamente sottili di ossido di alluminio attraverso diversi strati di HfO2-ZrO2, che hanno permesso loro di aumentare lo spessore del film fino a 100 nm mantenendo le proprietà desiderate.

Questi film sono stati integrati in strutture tridimensionali di microcondensatori, raggiungendo livelli di prestazioni record con una densità di energia nove volte superiore e una densità di potenza 170 volte superiore rispetto ai migliori condensatori elettrostatici. Tali progressi aprono nuove opportunità per la miniaturizzazione dei sistemi di accumulo dell’energia nei microdispositivi, come i dispositivi Internet of Things (IoT), i sistemi edge computing e i processori di intelligenza artificiale.

La fase successiva del lavoro dei ricercatori riguarderà l’ampliamento della tecnologia e la sua integrazione in microchip a tutti gli effetti con un ulteriore miglioramento della capacità negativa delle pellicole.

L'articolo Microchip del futuro: 170 volte in più la loro capacità grazie ai micro condensatori proviene da il blog della sicurezza informatica.