Iron Man was the film that kicked off the Marvel craze, and is widely regarded to be better than a lot of the movies that followed. If you’re a big fan of the OG, you’re probably already drowning in Iron Man helmets and arc reactor doo-dads, but here’s one more for you. After all, you probably don’t have an arc reactor clock yet.

The build comes to us from [jerome95]. It starts with an off-the-shelf ring of addressable LEDs, which serves as the basic defining dimension for the project. The ring gets a 3D printed support structure and some non-functional copper coils to complete the basic “arc reactor” look. Inside the center sits a small 7-segment display which displays the time under the command of an ESP32. It uses a network time server so it’s always on the dot. Meanwhile, if you’re not a fan of the 7-segment version, you can always try the OLED variant of the build instead.

It’s not a complicated build; that could have been easily achieved, though. The builder could have displayed the time by making the LEDs flash different colors, instead of using a 7-segment display. However, that would have made a far more confounding clock. As it is, this design would make an excellent gift for any Marvel fan. Particularly those that acknowledge the supremacy of the film that started it all.

youtube.com/embed/Gn5Qd6zTsrg?…

A cura di Pietro Melilloe Massimiliano Brolli

Recentemente, il panorama delle minacce informatiche si è arricchito con la comparsa di un nuovo gruppo ransomware denominato “Ransomcortex“. Questo gruppo si distingue per la sua specializzazione nell’attacco a strutture sanitarie, avendo già collezionato quattro vittime in pochi giorni dalla sua prima apparizione. Tra queste, tre sono strutture sanitarie brasiliane e una è canadese. La predilezione per gli attacchi al settore sanitario non è nuova, ma Ransomcortex rappresenta una significativa evoluzione di questa tendenza.

Il Contesto Storico

L’interesse dei criminali informatici per le organizzazioni sanitarie risale a diversi anni fa, ma negli ultimi tempi si è verificato un aumento significativo di questi attacchi. Uno dei primi casi di rilievo è stato nel 2016, quando l’ospedale Hollywood Presbyterian Medical Center a Los Angeles è stato colpito da un attacco ransomware che ha bloccato il sistema informatico dell’ospedale, richiedendo un riscatto di 17.000 dollari in bitcoin per ripristinare l’accesso ai file critici dei pazienti.

Questo incidente sollevò l’allarme sulla vulnerabilità delle organizzazioni sanitarie agli attacchi informatici e ha evidenziato la necessità di rafforzare le misure di sicurezza informatica nel settore sanitario.

Negli anni successivi, gli attacchi informatici contro le organizzazioni sanitarie sono diventati sempre più sofisticati e diffusi, con un’ampia varietà di minacce, tra cui ransomware, phishing, violazioni dei dati e attacchi mirati.

Nel 2020, durante la pandemia di COVID-19, gli attacchi informatici contro le strutture sanitarie sono aumentati ulteriormente. Ricordiamo l’attacco alla Vastaamo, una clinica di psicoterapia privata finlandese fondata nel 2008. Il 21 ottobre 2020, Vastaamo ha annunciato che il suo database dei pazienti era stato rubato. I pirati informatici avevano chiesto 40 bitcoin, all’epoca circa 450mila euro, minacciando di pubblicare i dati trafugati. L’azienda alla fine andò in bancarotta.

Sempre nel 2020 vogliamo ricordare l’attacco all’ospedale di Düsseldorf che comportò della morte di una donna di 78 anni affetta da un aneurisma aortico. Quello che era iniziata come una chiamata di routine ha preso una brutta piega quando hanno chiamato l’ospedale universitario locale per informare il personale del loro imminente arrivo scoprendo che era paralizzato da un attacco ransomware.

Successivamente le cyber gang criminali si divisero in due fazioni. Chi esplicitamente dichiarava di non colpire ospedali e aziende sanitarie e cliniche pediatriche e chi invece non aveva intenzione darsi delle regole come ad esempio la cyber gang Black Basta.

Un altro caso famoso riguarda Il gruppo di ransomware LockBit che dopo un attacco ad una struttura sanitaria, si è formalmente scusato per l’attacco all’ospedale per bambini malati (SickKids), affermando che uno dei suoi membri ha violato le regole attaccando l’organizzazione sanitaria e, pertanto, ha rilasciato gratuitamente un decryptor per l’ospedale.

Il Modus Operandi di Ransomcortex

A differenza di altri gruppi ransomware, Ransomcortex ha scelto di concentrare i suoi attacchi esclusivamente sulle strutture sanitarie. Questo focus mirato solleva domande su cosa guadagnino i criminali se le aziende non pagano i riscatti. La risposta risiede nella natura dei dati sanitari, che possono essere utilizzati per una vasta gamma di attività fraudolente:

• Frodi Finanziarie: Utilizzo delle informazioni personali dei pazienti per aprire conti bancari, richiedere carte di credito o ottenere prestiti.
• Estorsioni: Minacce di divulgazione di informazioni sensibili dei pazienti a meno che non venga pagato un riscatto.
• Vendita al Mercato Nero: Vendita di informazioni mediche personali su mercati neri online.
• Phishing e Truffe Online: Utilizzo dei dati per condurre attacchi di phishing mirati.
• Furto di Identità: Creazione di false identità utilizzando le informazioni personali dei pazienti.

Il Data Leak Site di Ransomcortex

Il data leak site di Ransomcortex offre ulteriori dettagli sulle loro operazioni e intenzioni.

1. Advertising e Reclutamento:

1. Ransomcortex offre ricompense in dollari a chiunque possa fornire assistenza fisica per aiutare le aziende a effettuare pagamenti in grandi città.
2. Il gruppo cerca team per azioni fisiche, stalker, osinter e “swatter”.
3. Non richiedono di conoscere l’identità dei collaboratori; l’importante è l’efficacia nel portare i dollari.
4. Contatti:

1. Forniscono diversi metodi di contatto, tra cui Tox, email e Session ID.
2. Specificano chiaramente che non permettono lavori contro determinate nazioni come Russia, CIS, Cuba, Corea del Nord, Iran e Cina.
3. Non accettano lavori su aziende che hanno già effettuato pagamenti.
4. FAQ:

1. Dichiarano di operare solo per scopi finanziari, non per ideali politici.
2. Il loro focus principale è fornire soluzioni e mediazione per individui di alto livello e piccole e medie imprese.
3. Affermazione che Ransomcortex non ha mai fornito e non fornisce Ransomware as a Service (RaaS); tutto il software di crittografia utilizzato è di terze parti.

L’Italia dovrebbe essere molto accorta a questa nuova minaccia

Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali non hanno una buona “postura cyber” la quale risulta da rivedere in modo profondo.

Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato. La Lista delle organizzazioni sanitare italiane colpite ogni anno aumenta, almeno dove ne conosciamo le rivendicazioni della PA e la lista si allunga ogni giorno un pochino di più.

• L’ospedale San Giovanni Addolorata di Roma,
• ASL 3 di Roma
• ASL 2 di Savona
• ASL 2 di Terni
• ASP di Messina 2021
• ULSS6 di Padova
• ASL Napoli 3
• ASST Lecco
• ASP Messina 2022
• ATS Insubria
• Fatebenefratelli Sacco
• Ospedale Macedonio Melloni
• ASL5 di La Spezia
• Ospedale Universitario di Parma
• Ospedale Niguarda
• ASL1 Abruzzo
• Centro Ortopedico di Quadrante
• Azienda ospedaliera universitaria integrata di Verona
• Attacco alla Synlab
• ASST Rhodense

Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica degli Ospedali come sicurezza nazionale. Tali infrastrutture critiche vengono bersagliate costantemente dal cybercrime le quali devono essere protette per garantire la salute delle persone, uno tra i diritti fondamentali della nostra costituzione.

Conclusioni

Ransomcortex rappresenta una nuova e pericolosa minaccia per il settore sanitario. La loro specializzazione e il loro focus esclusivo sulle strutture sanitarie, insieme alla sofisticazione delle loro operazioni, richiedono un’urgente risposta da parte delle organizzazioni sanitarie e delle autorità competenti. È essenziale implementare misure di sicurezza avanzate e rimanere vigili per proteggere i dati sensibili e garantire la continuità delle operazioni sanitarie.

L'articolo Ospedali tremate! Arriva Ransomcortex. la gang ransomware che prende di mira le strutture sanitarie proviene da il blog della sicurezza informatica.

Get your weekly fix of great hacks with your guides, Elliot Williams and Al Williams. This week, the guys talk about hacking airline WiFi, vanishing cloud services, and hobbies adjacent to hacking, such as general aviation. Things go into the weird and wonderful when the topic turns to cavity filters, driving LEDs with a candle, and thermite.

Quick hacks? Everything from vintage automated telescopes to home fusion reactors and ham radio mobile from a bicycle. Then there’s the can’t miss articles about the Solar Dynamics Observatory and an explainer about flash memory technology.

Check out the links below and leave your favorite hack of the week in the comments below!

html5-player.libsyn.com/embed/…

As always, this week’s episode is freeze-dried as an MP3 for your convenience.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 279 Show Notes:

News:

• Shapeways Files For Bankruptcy
• Hackaday Supercon 2024 Call For Participation: We Want You!

What’s that Sound?

• Do you know what the sound is? Al didn’t, but if you do, you might win a limited edition Hackaday Podcast T-shirt.

Interesting Hacks of the Week:

• Hacking Airline WiFi The Hard Way
  
  • DNS Tunneling: Getting The Data Out Over Other Peoples’ WiFi
  • You Break It, We Fix It
  • Dial-Up Internet Over WhatsApp

  
  

• Samsung Killed The Online Service, This 20 Dollar Dongle Brings It Back
  
  • Transcend Wifi SD Card Is A Tiny Linux Server

  
  

• Supercon 2023: Why More Hackers Should Earn Their Wings
• Cavity Filters, The Black Art You Have A Chance Of Pursuing
• Candle Powered Lantern Isn’t As Silly As You Think
  
  • worldradiohistory.com/Archive-…

  
  

• The Thermite Process Iron Foundry

Quick Hacks:

• Elliot’s Picks:
  
  • Celebrating The [Jack Ells] Automatic Photometric Telescope
  • Plight Of The Lowly Numitron Tube
  • Repeatable “One-Click” Fusion, From Your Cellphone

  
  

• Al’s Picks:
  
  • Bringing The 555 Mini-Notebook To Video
  • Going Ham Mobile On A Bicycle
  • C Compiler Exists Entirely In Vim

  
  

Can’t-Miss Articles:

• Solar Dynamics Observatory: Our Solar Early Warning System
  
  • Citizen Scientist Radio Astronomy (and More): No Hardware Required
  • Zooniverse Sunspot Detectives

  
  

• The Flash Memory Lifespan Question: Why QLC May Be NAND Flash’s Swan Song

Whoever thought a keyboard could look so sinister? Well, [rain2] aka [AffectionateWin7178], that’s who. Vengeance is the sixth keyboard they’ve designed, and let’s just say we wouldn’t mind seeing the other five.

This is a takeoff of Zazu, a custom case printed for the monoblock split designed by [AlSaMoMo]. A friend of [rain2] made a ZMK PCB for the Zazu about a month ago, and they dreamed up the case design together. Among our first questions were of course, how do you type without those bat wings digging into your palms? But evidently, they are designed not to get in the way at all during use.

We particularly like the gold skirt around the edge which joins the two printed halves. It goes nicely with the bank vault elements like the dial around the trackball and the five-way switch that resembles a handle. And yeah, we wish the Batmobile was a mouse, too. While it seems that [rain2] hasn’t released the STLs for the case, you can find the ZMK Zazu repo on GitHub. Happy designing! As always, let us know what you come up with.

Here’s another BAT keyboard you might be interested in.

The RADIUS authentication scheme, short for “Remote Authentication Dial-In User Service”, has been widely deployed for user authentication in all sorts of scenarios. It’s a bit odd, in that individual users authenticate to a “RADIUS Client”, sometimes called a Network Access Server (NAS). In response to an authentication request, a NAS packages up the authentication details, and sends it to a central RADIUS server for verification. The server then sends back a judgement on the authentication request, and if successful the user is authenticated to the NAS/client.

The scheme was updated to its current form in 1994, back when MD5 was considered a cryptographically good hash. It’s been demonstrated that MD5 has problems, most notably a chosen-prefix collision attack demonstrated in 2007. The basis of this collision attack is that given two arbitrary messages, it is possible to find a pair of values that, when appended to the end of those messages, result in matching md5 hashes for each combined message. It turns out this is directly applicable to RADIUS.

The attack is a man-in-the-middle, but not against an authenticating user. This attack is a man-in-the-middle between the NAS and the RADIUS server, and a real user isn’t even required. This elevated position does make an attack harder to achieve in some cases, but situations like RADIUS providing authentication for administrative access to a device is squarely in scope. Wrapping the RADIUS backend communications in a TLS layer does protect against the attack.

Gitlab

It’s once again time to go update your Gitlab instances, and this one sounds familiar. It’s another issue where an attacker could run pipeline jobs as an arbitrary user. This comes as one more of a series of problems in Gitlab, with at least one of them being exploited in the wild. It’s not surprising to see a high-visibility vulnerability leading to the discovery of several more similar problems. With this latest issue being so similar to the previous pipeline problem, it’s possible that it’s actually an incomplete patch or additional workaround discovered to exploit the same issue.

Exim

There’s a bug in the Exim email server, that impacts the processing of attachment blocking rules. Specifically, the filename in the email header is broken into multiple parts, with some confusing extra bytes in between. It’s technically compliant with the right RFC, but Exim’s mime handling code gets confused, and misses the right message name.

Exim server can be configured to block certain file types, and this vulnerability allows those blocked attachments through. The original CVSS of 9.1 is a tad insane. The latest update drops that to a 5.4, which seems much more appropriate.

Plormbing Your ORM

Prisma is a “Next Generation ORM (Object Relational Mapper), that takes database schema, and maps it to code objects. In other words, it helps write code that interacts with a database. There’s some potential problems there, like using filters on protected data, to leak information one byte at a time, in a very Hollywood manner.

This brings us to a second approach, a time-based data leak. Here a SQL query will execute slowly or quickly depending on the data in the database. The plormber tool is designed to easily build attempts at time-based leaks. Hence the pun. If you have a leak in your ORM, call a plORMber. *sigh*

Internet Explorer Rises Again

When Microsoft finally obsoleted Internet Explorer in 2022, I had some hope that it wouldn’t be the cause of any more security issues. And yet here we are, in 2024, talking about an exploitation campaign that used a 0-day in Windows to launch Internet Explorer.

A very odd file extension, .pdf.url, manages to appear as a pdf file with the appropriate icon, and yet opens IE when executed. This finally got classified by Microsoft as a vulnerability and fixed.

Bits and Bytes

There’s another SSH issue, related to regreSSHion. This time a vendor patch makes a call to cleanup_exit() from a signal handler function, calling more async-unsafe code. If that doesn’t make any sense, circle back around to last week’s installment of the column for the details. This time it’s Fedora, Red Hat, and other distros that used the patch.

One of the security barriers that most of us rely on is that traffic originating from the WAN side of the router should stay there. When that paradigm breaks down, we have problems. And that’s exactly what the folks at Claroty are working to defeat. The trick this time is a vulnerability in a router’s Dynamic DNS service. Manage to spoof a DNS lookup or MitM that connection, and suddenly it’s RCE on the router.

And finally, we’ve covered a pair of outstanding stories this week here at Hackaday. You should go read about how Ticketmaster’s app was reverse engineered, followed by a brilliant and completely impractical scheme to get your Internet connection for free while flying.

Il gruppo CrystalRay, che nel febbraio 2024 ha utilizzato il worm open source SSH-Snake per i suoi attacchi, ha ampliato la portata della sua attività attraverso nuove tattiche ed exploit. Ora gli hacker criminali hanno già contato più di 1.500 vittime le cui credenziali sono state rubate e infettate da cryptominer.

Ricordiamo che SSH-Snake è uno strumento open source utilizzato per cercare silenziosamente chiavi private, spostarsi lateralmente attraverso l’infrastruttura di una vittima e fornire payload aggiuntivi ai sistemi compromessi.

È stato scoperto per la prima volta a febbraio di quest’anno dai ricercatori della società Sysdig, che hanno descritto SSH-Snake come un “worm automodificante” che utilizza le credenziali SSH trovate su un sistema compromesso per iniziare a diffondersi nella rete. È stato inoltre notato che si differenzia dai normali worm SSH, evita i modelli tipici degli attacchi e porta il normale movimento laterale della rete al livello successivo essendo più accurato nella ricerca delle chiavi private.

Una volta che il worm ottiene le chiavi SSH, le utilizza per accedere a nuovi sistemi, quindi si copia e ripete il processo su nuovi host.

All’inizio dell’anno i ricercatori hanno riferito di essere a conoscenza di circa 100 vittime affette da SSH-Snake. Ma ora Sysdig ha avvertito che gli aggressori dietro questi attacchi, soprannominati CrystalRay, hanno notevolmente ampliato la portata delle loro operazioni, e più di 1.500 organizzazioni sono già tra le vittime.

“Osservazioni recenti indicano che le operazioni di CrystalRay sono aumentate di 10 volte, raggiungendo oltre 1.500 vittime, e ora includono scansioni di massa, sfruttamento di molteplici vulnerabilità e installazione di backdoor utilizzando vari strumenti OSS”, hanno scritto gli esperti.

Secondo i ricercatori, lo scopo principale di CrystalRay è raccogliere e poi vendere credenziali, distribuire miner di criptovaluta (lo script distrugge tutti i minatori concorrenti per massimizzare i profitti) e assicurarsi un punto d’appoggio nella rete della vittima.

Gli strumenti che il gruppo utilizza oltre a SSH-Snake includono zmap, asn, httpx. Allo stesso tempo, SSH-Snake rimane ancora lo strumento principale degli hacker, con l’aiuto del quale si muovono attraverso le reti compromesse.

CrystalRay utilizza anche exploit PoC modificati per varie vulnerabilità, che vengono consegnati alle vittime utilizzando il framework Sliver.

Prima di lanciare exploit, gli aggressori conducono test approfonditi per confermare la presenza di vulnerabilità scoperte. In particolare, gli hacker sfruttano le seguenti vulnerabilità:

• CVE-2022-44877 – Vulnerabilità nell’esecuzione di comandi arbitrari del Pannello Web di controllo (CWP)
• CVE-2021-3129 – Vulnerabilità relativa all’esecuzione di codice arbitrario in Ignition (Laravel);
• CVE-2019-18394 è una vulnerabilità SSRF in Ignite Realtime Openfire.

Secondo i ricercatori, è probabile che anche i prodotti Atlassian Confluence vengano presi di mira da questi aggressori. I ricercatori sono giunti a questa conclusione osservando i modelli di sfruttamento identificati dopo aver studiato molteplici tentativi di hacking provenienti da 1.800 indirizzi IP diversi.

L'articolo Attenti a CrystalRay! I loro attacchi con SSH-Snake sono aumentati di 10 volte da inizio 2024 proviene da il blog della sicurezza informatica.

Gen Digital, una società che sviluppa prodotti per la sicurezza informatica e la privacy digitale, ha lanciato una campagna educativa chiamata “Scam Artists” che dimostra l’impatto del crimine informatico sul cervello umano. Il progetto si basa sul vecchio detto “la vita imita l’arte”, che, secondo gli ideatori, si applica a tutti gli ambiti della vita.

Durante l’esperimento, a tre persone vittime di crimini informatici è stato chiesto di ricordare l’esperienza vissuta. Allo stesso tempo, la loro attività cerebrale è stata registrata mediante elettroencefalografia (EEG). I partecipanti erano collegati a macchine che registravano le risposte cerebrali prima, durante e dopo i ricordi degli attacchi informatici. I dati ottenuti sono stati convertiti in immagini visive che riflettono esplosioni di attività cerebrale associate a stress, ansia e incertezza.

Lynn Beatty, vittima di un furto d’identità, aveva tre diversi stati cerebrali:

1. Calma
2. Ansia e stress nel ricordare le esperienze
3. Ritornare alla calma dopo che al partecipante sono stati spiegati i modi per proteggersi dalle minacce informatiche

Lo psicologo Lee Chambers, che ha preso parte al progetto, ha osservato che tali esperienze possono avere conseguenze a lungo termine e influenzare in modo significativo la qualità della vita di una persona. La campagna mira anche a mostrare perché le persone a volte ignorano le regole di sicurezza online e si affidano al proprio intuito.

Parallelamente a questo studio, Gen Digital ha studiato l’atteggiamento del pubblico nei confronti delle minacce informatiche e i metodi per proteggersi da esse. I risultati hanno mostrato che il 58% degli americani e dei britannici è consapevole di poter diventare vittima dei criminali informatici. Tuttavia, il 42% degli intervistati si considera ancora invulnerabile.

Pertanto, le vittime dei crimini su Internet molto spesso sperimentano stress e rabbia. Va notato separatamente che solo la metà degli intervistati ha utilizzato mezzi di protezione contro le minacce informatiche. “Scam Artists” non solo dimostra l’impatto psicologico negativo della criminalità informatica sul cervello umano, ma mostra anche come le misure di sicurezza informatica possano migliorare il benessere psicologico degli utenti.

Questo progetto fa parte di un’iniziativa più ampia di Gen Digital per aumentare la consapevolezza della sicurezza informatica. L’azienda sviluppa soluzioni tecnologiche con i marchi Norton, Avast, LifeLock, Avira e AVG, cercando di fornire agli utenti un’interazione sicura nel mondo digitale.

L'articolo L’Impatto Nascosto dei Crimini Informatici sul nostro Cervello. Lo studio “Scam Artists” proviene da il blog della sicurezza informatica.

The host of problems to deal with when you’re feeling the need for FDM speed are many and varied, but high on the list is figuring out how to melt filament fast enough to accommodate high flow rates. Plus, the filament must be melted completely; a melty outside and a crunchy inside might be good for snacks, but not for 3D printing. Luckily, budget-minded hobbyists can build a drop-in booster to increase volumetric flow using only basic tools and materials.

[aamott]’s booster, which started life as a copper screw, is designed to replace the standard spacer in an extruder, with a bore that narrows as the filament gets closer to the nozzle to ensure that the core of the filament melts completely. Rather than a lathe, [aamott]’s main tool is a drill press, which he used to drill a 0.7 mm bore through the screw using a PCB drill bit. The hole was reamed out with a 10° CNC engraving bit, generating the required taper. After cutting off the head of the screw and cleaning up the faces, he cut radial slots into the body of the booster by threading the blade of a jeweler’s saw into the bore. The result was a bore wide enough to accept the filament on one end, narrowing to a (roughly) cross-shaped profile at the other.

Stacked up with a couple of knock-off Bondtech CHT nozzles, the effect of the booster was impressive — a 50% increase in flow rate. It’s not bad for a prototype made with simple tools, and it looks a little easier to build than [Stefan]’s take on the same idea.

youtube.com/embed/W_ij-4hvUjo?…

Negli ultimi anni il tema dell’intelligenza artificiale (AI) è andato sempre più oltre le discussioni puramente tecniche, toccando questioni filosofiche profonde. Il filosofo di Oxford Nick Bostrom e il matematico Marcus du Sautoy sono in prima linea in queste discussioni, immaginando un futuro in cui il confine tra esseri umani e intelligenza artificiale potrebbe sfumare completamente.

La storia del pensiero sulla vita artificiale risale a tempi antichi. Nell’VIII secolo a.C., l’antico poeta greco Esiodo descrisse Talos, un gigante di bronzo creato dal dio fabbro Efesto. Questo robot mitologico, pieno della forza vitale divina divenne la prima descrizione di una forma di vita artificiale in letteratura.

2.700 anni dopo, aziende moderne come Microsoft, OpenAI e Anthropic, come Hephaestus, permeano le loro creazioni con creatività umana, ragionamento e grandi quantità di dati. Ciò che una volta sembrava pura fantascienza è ora percepito da molti esperti come un futuro inevitabile.

Nick Bostrom, autore di Artificial Intelligence and Deep Utopia, sostiene che l’emergere di una qualche forma di coscienza ibrida uomo-macchina è probabilmente inevitabile. “Sarebbe triste se tra un milione di anni l’umanità rimanesse nella sua forma attuale… Prima o poi potrebbe esserci bisogno di rinnovamento. Quindi puoi immaginare il caricamento della coscienza, il potenziamento biologico o qualcosa di simile”, sostiene il filosofo .

Tuttavia, Bostrom avverte che un simile “aggiornamento” potrebbe avere conseguenze disastrose. Allo stesso tempo, nel suo ultimo libro considera anche uno scenario positivo, descrivendo un “mondo di problemi risolti”, libero dalla routine quotidiana.

La domanda chiave in questo dibattito è se l’intelligenza artificiale può diventare cosciente? La definizione stessa di coscienza rimane oggetto di acceso dibattito tra filosofi e scienziati. Il famoso test di Turing, proposto a metà del XX secolo, valutava solo la capacità di una macchina di convincere una persona della sua intelligenza, che, secondo gli esperti moderni, influisce solo su una piccola parte della questione.

Secondo Bostrom, la coscienza non è una questione “sì o no”, ma piuttosto un processo graduale e spesso poco chiaro, il cui progresso è difficile da valutare. “Non abbiamo criteri chiari su ciò che rende cosciente un sistema informatico”, osserva il filosofo. Sottolinea inoltre che le moderne teorie della coscienza consentono la possibilità che alcune forme di coscienza emergano nei sistemi di intelligenza artificiale ora o nel prossimo futuro.

L’emergere di modelli linguistici come Claude di Anthropic, ChatGPT di OpenAI e Gemini di Google, che imitano in modo convincente il linguaggio umano, è diventato un fattore importante nelle discussioni sulla coscienza dell’IA. Quando comunichiamo con un’altra persona, presumiamo che sia cosciente e i sistemi di intelligenza artificiale che imitano in modo convincente la comunicazione umana producono una risposta simile.

Marcus du Sautoy, professore di divulgazione scientifica all’Università di Oxford, esamina il problema da una prospettiva matematica. “L’intelligenza artificiale è solo codice, il codice è algoritmi e gli algoritmi sono matematica, quindi stiamo creando qualcosa che sia di natura matematica“, afferma. Du Sautoy osserva che il cervello e gli algoritmi artificiali sono simili in molti modi, come ad esempio i tipi di connessioni sinaptiche che entrambi stabiliscono. Tuttavia, il cervello umano è ancora superiore all’intelligenza artificiale nel creare nuove connessioni, cioè nell’apprendimento.

Se le macchine raggiungessero un certo grado di coscienza, anche a un livello primitivo, ciò solleverebbe interrogativi sulle tutele legali e sui nostri obblighi morali nei loro confronti.

L’idea di fondere esseri umani e intelligenza artificiale, soprannominata “The Merge” dal CEO di OpenAI Sam Altman, sembra essere ad alcuni esperti lo scenario futuro più ottimistico. A differenza delle previsioni apocalittiche, The Merge prevede la coesistenza pacifica dell’umanità con un’intelligenza artificiale avanzata.

Alcuni imprenditori, come Elon Musk, stanno prendendo alla lettera l’idea della fusione, investendo miliardi in aziende come Neuralink che mirano a connettere fisicamente i componenti biologici con quelli meccanici. Tuttavia, la visione di Altman suggerisce una sintesi più morbida che è già iniziata con l’invenzione di Internet, ha acquisito slancio con l’avvento degli smartphone e dei social network e ci ha ora portato all’attuale fase di sviluppo tecnologico.

L'articolo L’Intelligenza Artificiale Sta Diventando Cosciente? Scenari futuri d Filosofia in un affare da miliardi di dollari proviene da il blog della sicurezza informatica.

The EU Commission legally bound Apple to committments to open its 'pay and tap' technology and opened up a front with Elon Musk's X.

euractiv.com/section/competiti…

The European Commission accused social media platform X of breaching the Digital Services Act (DSA) over its verified accounts policy and lapses in transparency, in preliminary findings released on Friday (12 July).

euractiv.com/section/platforms…

Despite the adoption of the European Chips Act, the EU electronics manufacturing industry is set to decline, undermining European security, industrial resiliency, and competitiveness.

euractiv.com/section/digital/o…

Is openness at the heart of the EU’s competitiveness strategy? Euractiv spoke with Lorenzo Frollini founder, CEO & CTO of Flywallet, a wearable technology, biometrics and AI company. Frollini explains why Flywallet supports open digital ecosystems.

euractiv.com/section/digital/n…

As practical SD cards are, they lack much of what made floppy disks and cartridges so awesome: room for art and a list of contents, as well as the ability to not be lost in shaggy carpet or down a pet’s gullet. In a fit of righteous nostalgia, [Abe] decided that he’d turn SD cards into cartridges in the best way possible, and amazingly managed to not only finish the project after two years, but also make it look snazzy enough to have come straight out of the 1980s. The resulting cartridges come both with fixed (256 MB) and removable micro SD card storage, which are mounted on a PCB that passively connects to pogo pins in the custom, 3D printed reader.
Front of an SD-card-turned-cartridge with adn without decal. (Credit: Abe’s Projects, YouTube)
The inspiration for this project kicked in while [Abe] was working on a floppy drive conversion project called the Floppy8, which crammed an MCU into an external floppy drive along with a rough version of these SD card-based cartridges that used the physical card’s edge connector to connect with a micro SD slot inside the converted floppy drive. The problem with this setup was that alignment was terrible, and micro SD cards would break, along with a range of other quality of life issues.

Next, the SD card was put into a slot on the carrier PCB that featured its own edge connector. This improved matters, but the overly complicated (moving) read head in the reader turned out to be very unreliable, in addition to FDM printed parts having general tolerance and durability issues. Eventually a simplified design which takes these limitations in mind was created that so far seems to work just fine.

Although SD cards in cartridges are not a new idea, using them purely as a data carrier is far less common. One could argue about the practicality of turning a fingernail-sized micro SD card into something much larger, but in terms of aesthetics and handleability it definitely gets an A+.

youtube.com/embed/END_PVp3Eds?…

When we talk about audio amplifier tubes, we’re normally talking about the glass little blobby things you might find in a guitar amplifier. We’re not normally talking about big ol’ color CRTs, but apparently they can do the job too. That’s what [Termadnator] is here to show us.

The CRT in question is a 14″ unit from a common garden variety Philips color TV. [Termadnator] pulled out the TV’s original circuitry, and replaced much of it with his own. He had to whip up a high-voltage power supply with a 555 and a laptop power supply, along with a bunch of fake MOSFETs pressed into service. He also had to build his own Leyden jar capacitor, too. The specifics of converting it to audio operation get a bit messy, but fear not—[Termadnator] explains the idea well, and also supplies a schematic. Perhaps the coolest thing, though, is the crazy color pattern that appears on the display when it’s working as an amp.

Sound output isn’t exactly loud, and it’s a little distorted, too. Still, it’s amusing to see an entire TV instead doing the job of a single amplifier tube. Video after the break.

youtube.com/embed/iqRT1vKovaQ?…

[Thanks to bugminer for the tip!]

Questa settimana Microsoft ha risolto una vulnerabilità di 0day su Windows. Come hanno riferito gli esperti di Check Point, questo problema è stato attivamente sfruttato dagli hacker negli attacchi per 18 mesi ed è stato utilizzato per lanciare script dannosi che aggirano le misure di sicurezza integrate.

La vulnerabilità CVE-2024-38112 è un problema di spoofing in Windows MSHTML. Questo problema è stato scoperto dallo specialista di Check Point Research Haifei Li e ne ha informato Microsoft nel maggio 2024. Allo stesso tempo, nel suo rapporto sul problema, Lee osserva che nel gennaio 2023 sono stati scoperti campioni di malware che sfruttavano questa falla.

Secondo il ricercatore, gli aggressori distribuiscono file Windows Internet Shortcut (.url) per falsificare file legittimi (ad esempio PDF) e quindi scaricare ed eseguire file HTA sul sistema della vittima per installare malware in grado di rubare password.

Un file di collegamento Internet è un semplice file di testo contenente varie impostazioni di configurazione, ad esempio quale icona mostrare, quale collegamento aprire quando si fa doppio clic e così via. Quando salvi come .url e fai doppio clic sul file, Windows aprirà l’URL specifico nel browser predefinito.

Tuttavia, gli aggressori hanno scoperto che possono forzare l’apertura dell’URL specificato tramite Internet Explorer utilizzando mhtml:. MHTML sta per MIME Encapsulation of Aggregate HTML Documents, una tecnologia introdotta in Internet Explorer che trasforma un’intera pagina Web, comprese le immagini, in un unico archivio.

E se un URL viene avviato con mhtml:, Windows lo apre automaticamente in Internet Explorer anziché nel browser predefinito. Secondo il noto esperto di sicurezza informatica Will Dormann, l’apertura di una pagina in Internet Explorer offre agli hacker un ulteriore vantaggio perché l’utente vede molti meno avvisi di pericolo durante il download di file dannosi.

“In primo luogo, IE ti consente di scaricare un file .HTA da Internet senza alcun preavviso”, afferma Dohrmann. – In secondo luogo, dopo il download, il file .HTA si troverà nella directory INetCache, ma NON riceverà un marchio MotW (Mark of the Web) esplicito. A questo punto, l’unica protezione dell’utente è un avvertimento che il “sito web” sta tentando di aprire il contenuto utilizzando un programma sul computer. Non è specificato di quale sito stiamo parlando. Se l’utente ritiene di fidarsi del sito, avviene l’esecuzione del codice.”

In sostanza, gli aggressori approfittano del fatto che Internet Explorer è ancora incluso in Windows 10 e Windows 11 per impostazione predefinita. Anche se Microsoft ha finalmente ritirato IE circa due anni fa e Edge lo ha sostituito quasi completamente, è ancora possibile accedere al browser obsoleto e utilizzarlo per scopi dannosi.

Check Point spiega che gli hacker creano file di collegamento Internet con icone che assomigliano a collegamenti a file PDF. Facendo clic su di essi in Internet Explorer, si apre la pagina Web specificata, che tenta automaticamente di scaricare quello che dovrebbe essere un file PDF, ma in realtà è un file HTA.

In questo caso, gli aggressori possono nascondere l’estensione HTA e far sembrare che il file PDF venga scaricato utilizzando Unicode in modo che l’estensione .hta non venga visualizzata.

Quando Internet Explorer scarica un file HTA, il browser chiede se salvarlo o aprirlo. Se l’utente decide di aprire il file pensando che sia un PDF, allora all’avvio ci sarà solo un avviso generale sull’apertura di contenuto da un sito web. Poiché la persona sta aspettando il download del PDF, può ignorare questo avviso e il file finirà per essere eseguito.

Secondo i ricercatori, consentire l’esecuzione del file HTA porta all’installazione del malware Atlantida Stealer sul computer della vittima, che ruba i dati. Una volta lanciato, il malware ruba tutte le credenziali archiviate nel browser, i cookie, la cronologia del browser, i dati del portafoglio di criptovaluta, le credenziali di Steam e così via.

Dopo aver risolto la vulnerabilità CVE-2024-38112, mhtml:non funziona più e non consente in ogni caso l’apertura di Internet Explorer;

L'articolo Internet Explorer non è Morto! I criminali informatici hanno trovato un modo per utilizzarlo proviene da il blog della sicurezza informatica.

Ogni giorno emergono spesso nuovi attori di minaccia che destabilizzano le fondamenta digitali delle organizzazioni di tutto il mondo. Una delle più recenti e inquietanti cybergang scoperte dal team Darklab di Red Hot Cyber è il gruppo VANIR, un collettivo noto per le sue spietate operazioni di ransomware. Questa intervista esclusiva, condotta da Dark Lab, getta luce su un nemico tanto misterioso quanto pericoloso.

“Devi conoscere i demoni per imparare a contrastarli.” Questa frase, frequentemente citata da Red Hot Cyber in conferenze e articoli, sottolinea l’importanza di comprendere il modus operandi dei cyber-criminali. Conoscere i “demoni” significa capire le loro motivazioni, le loro tecniche, tattiche e procedure (TTPs). Questo approccio non solo aiuta a prevedere e identificare le minacce, ma è anche essenziale per sviluppare difese informatiche efficaci, capaci di contrastare gli attacchi sul loro stesso terreno.

Le interviste ai Threat Actors, curate dal gruppo RHC Dark Lab, divisione di Cyber Threat Intelligence di Red Hot Cyber, sono uno strumento cruciale per ottenere questa comprensione. Conoscere come ragionano e operano i cyber-criminali permette di migliorare continuamente le difese cibernetiche, aumentando la consapevolezza delle minacce e la capacità di prevenire attacchi futuri.

Il Threat Actors Vanir Group

Scoperto per la prima volta grazie alla costante vigilanza di Red Hot Cyber, il gruppo VANIR si è distinto non solo per l’efficacia dei suoi attacchi, ma anche per l’estetica unica del suo data leak site. Quest’ultimo, progettato in stile retrò, accoglie i visitatori con un prompt minimalista dove le informazioni possono essere richieste tramite un testo verde fluorescente su sfondo nero, evocando un’atmosfera da vecchio terminale.

Il messaggio di benvenuto che accoglie i nuovi “visitatori” è diretto e minaccioso:

“Salve, Devi essere l’amministratore di dominio o il CEO, in altre parole, la nostra ultima vittima. Se stai leggendo questo messaggio, significa che l’infrastruttura interna della tua azienda è stata compromessa, tutti i tuoi backup sono stati eliminati o crittografati. Abbiamo anche rubato la maggior parte dei dati importanti detenuti dalla tua azienda. Andando avanti, sarebbe nel tuo interesse cooperare con noi, per prevenire ulteriori disgrazie. Siamo a conoscenza di tutto. Abbiamo studiato attentamente tutte le tue finanze e sappiamo quanto è un prezzo equo per te da pagare, tenendo conto di ciò, sappi che ti tratteremo con giustizia. Quando scegli di ignorare la nostra gentilezza e di segnalare alle forze dell’ordine o agli esperti di recupero dati per aiutarti a trovare un modo per recuperare i tuoi dati persi, perdi solo TEMPO e SOLDI, e noi nel processo perdiamo la nostra pazienza. Perdere la nostra pazienza comporterebbe la perdita delle tue informazioni sensibili a vantaggio dei tuoi concorrenti e di altri criminali informatici che certamente ne trarrebbero profitto. Sarebbe nel tuo miglior interesse evitare questo. Siamo sempre disposti a negoziare poiché crediamo che il dialogo debba essere sempre la prima opzione e le azioni drastiche debbano essere salvate per ultime. Se non riusciremo a raggiungere un accordo, venderemo o cederemo tutte le informazioni che abbiamo rubato. Navigare in questo sito è stato mantenuto al minimo e semplice. Per elencare tutti i comandi, digita help nel terminale.”

L’Intervista

Attraverso questa intervista, Dark Lab offre uno sguardo approfondito nelle menti di coloro che si celano dietro gli attacchi di VANIR, esplorando le loro motivazioni, le loro tecniche e le loro strategie di negoziazione. Un viaggio che ci permette di capire meglio chi sono questi attori di minaccia e come possiamo difenderci dalle loro azioni devastanti.
Dove si è svolta l’intervista, tramite il messenger TOX
1 – RHC: Grazie ragazzi per aver accettato questa intervista. Cominciamo con una domanda diretta: qual è l’origine del gruppo VANIR e cosa vi ha spinto a dedicarvi alle operazioni ransomware? Il nome ha un’origine specifica?
BlackEyedBastard: Il gruppo Vanir è composto da ex affiliati di gruppi come karakurt e lockbit e knight ransomware, erano tutti scontenti per diversi motivo e sono venuti da noi. Lavoriamo solo per guadagno finanziario, non abbiamo interessi politici.

2 – RHC : Siete un rebrand di un gruppo ransomware già esistente o affiliati di altri RaaS che volevano mettersi in proprio?
BlackEyedBastard: Sì, lo siamo.

3 – RHC : Utilizzate un modello di affiliazione nelle vostre operazioni di ransomware? Se sì, come funziona e come selezionate i vostri affiliati?
BlackEyedBastard: Abbiamo un modello di affiliazione, come ho detto nella prima domanda. La selezione avviene sulla base della fiducia e della reputazione.

4 – RHC : Attualmente vi occupate di tutto internamente (malware, violazione e richiesta di riscatto) o siete distribuiti su più gruppi? Ad esempio, fate uso di Initial Access Broker (IaB)?
BlackEyedBastard: A volte acquistiamo i servizi degli IAB, ma tutto ciò che è abbastanza interessante di solito non viene divulgato.

5 – RHC : Molti gruppi si sono dati regole rigide sugli obiettivi (come non colpire ospedali e istituti per bambini, ecc…) su cui lanciare gli attacchi. Voi ne avete?
BlackEyedBastard: Non attacchiamo i Paesi della CSI.

6 – RHC : Quali sono le motivazioni principali che vi spingono a svolgere attività ransomware? È solo un modo per fare più soldi o c’è un pensiero più ampio come il miglioramento della sicurezza informatica delle infrastrutture IT?
BlackEyedBastard: È solo per profitto, non ci interessa l’incapacità delle aziende di cui vi fidate per proteggere i vostri dati, piuttosto siamo felici di fare soldi grazie alla loro avidità e negligenza.

7 – RHC : Se doveste consigliare a un’azienda di proteggersi meglio dalla criminalità informatica, quale sarebbe la prima cosa da fare?
BlackEyedBastard : Assumere un team di professionisti e non essere tirchi.

8 – RHC : Riportate nel vostro DLS che “sappiamo qual è il prezzo giusto da pagare per voi” e poi “sappiate che vi tratteremo in modo equo“. A quanto pare la scelta è quella di una negoziazione “collaborativa“. Quanto sono alte le vostre richieste di riscatto oggi?
BlackEyedBastard: Qualsiasi cifra compresa tra l’1,5 e il 2% del fatturato annuale di un’azienda ci sembra equa.

9 – RHC : Puoi spiegarci brevemente come funziona la tua soluzione?
BlackEyedBastard: Una volta ottenuto l’accesso, entriamo nella rete ed effettuiamo la massima ricognizione possibile. Al termine, blocchiamo immediatamente il server.

10 – RHC : Qual è la nazionalità prevalente dei membri del gruppo Vanir?
BlackEyedBastard : Al momento siamo tutti dell’Europa dell’Est.

11 – RHC : Ricevete supporto o sponsorizzazione da agenzie governative o altre organizzazioni?
BlackEyedBastard: No, non siamo un gruppo APT, non riceviamo supporto da nessuno o organizzazione, non possiamo essere comprati per eseguire un attacco contro qualcuno che non siamo disposti a colpire.

12 – RHC : Quali sono i vostri obiettivi a lungo termine?
BlackEyedBastard : Creare scompiglio.

13 – RHC : Il vostro ransomware si ispira a codici esistenti? Se sì, quali e come li avete modificati per renderli unici?
BlackEyedBastard : Il codice sorgente del nostro ransomware è scritto da zero, non è un compito arduo per chiunque abbia un po’ di esperienza.

14 – RHC : Ci sono altri cybergang da cui traete ispirazione? Se sì, quali sono e cosa ammiri di loro?
BlackEyedBastard : Personalmente, amo la tenacia di lockbit e sono un grande fan di Akira.

15 – RHC : Qual è la tua filosofia nel trattare le vittime?
BlackEyedBastard : Cerchiamo il più possibile di essere corretti, anche se di solito siamo severi con i dirigenti, che avrebbero dovuto fare di più per proteggersi, ma hanno fallito e messo a rischio persone innocenti.

16 – RHC : Il vostro sito dedicato alle fughe di dati ha un design unico e retrò, che ricorda i vecchi monitor CRT degli anni 80. Qual è l’idea alla base di questa estetica che ricorda anche il DLS di un’altra cyber gang come AKIRA?
BlackEyedBastard : Sì, l’interfaccia utente del sito è fortemente ispirata ad Akira, inoltre, non amate la nostalgia? Volevamo qualcosa di semplice che non necessitasse di codice backend, questa era la soluzione. Nessun PHP o Node in esecuzione in background, quindi nessuna possibilità di sfruttamento.

17 – RHC : Avete qualche messaggio finale per le organizzazioni che potrebbero diventare vostre future vittime?
BlackEyedBastard : Non siate stupidi, pagate il riscatto, facciamo sul serio e la morte della vostra azienda non è altro che un piccolo divertimento per noi. Non puoi essere l’eroe. Sottomettiti o sarai distrutto.

18 – RHC : Vi ringraziamo per questa intervista. Facciamo queste interviste per far capire ai nostri lettori che la cybersecurity è un argomento puramente tecnico e che per poter vincere la lotta al cybercrime dobbiamo essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. Vuole aggiungere qualcosa o fare qualche considerazione che potrebbe essere interessante per i nostri lettori?
BlackEyedBastard : Ciao caro lettore, ascolta, sappiamo entrambi che il mondo e il sistema in cui viviamo è fottuto. Le persone cresciute da famiglie di classe media o povera sono destinate a rimanere tali se si comportano come le pecore che ci si aspetta che siano, ma tu non sei così. Potete controllare il vostro destino, altrimenti perché stareste leggendo questo articolo? Se siete scontenti di questo sistema ingiusto, potete sempre rivolgervi a noi. Vi mostreremo come possiamo farlo tutti insieme.

Di seguito l’intervista nel linguaggio originale:
1 - RHC: Thank you guys for accepting this interview. Let's start with a direct question: what is the origin of the VANIR group and what prompted you to engage in ransomware operations? Does the name have any specific origin?
BlackEyedBastard: Vanir group is made up of ex-affiliates of groups like karakurt and lockbit as well as knight ransomware, they were all disgruntled for whatever reasons and they came to us. We work soley for financial gain, we have no political interests.

2 - RHC: Are you a rebrand of a previously existing ransomware group or affiliates of other RaaS that wanted to go out on their own?
BlackEyedBastard: Yes, we are.

3 - RHC: Do you use an affiliate model in your ransomware operations? If so, how does it work and how do you select your affiliates?
BlackEyedBastard: We do have an affiliate model as I stated in the first question. Selection is on a trust and reputation basis.

4 - RHC: Do you currently do everything in-house (malware, breach, and ransom demand) or are you distributed across multiple groups? For example, do you make use of Initial Access Broker (IaB)?
BlackEyedBastard: We sometimes purchase the services of IABs, anything that is interesting enough usually isnt passed on.

5 - RHC: Many groups have given themselves strict rules about targets (such as not hitting hospitals and institutions for children, etc...) on which to launch attacks. Do you guys have any?
BlackEyedBastard: We do not attack CIS countries.

6 - RHC: What are your main motivations behind in ransomware activities? Is it just a way to make more money or is there a broader thought such as improving IT infrastructure cybersecurity?
BlackEyedBastard: It is soley for profit, we are not interested in the inability of the companies you trust to protect your data, rather, we are happy to make money off their greed and carelessness.

7 - RHC: If you were to advise any company to better protect itself from cybercrime, what would you recommend as the first thing to start with?
BlackEyedBastard: Hire an actual, professional team and don't be cheap about it

8 - RHC: Report in your DLS that "we know what is a fair price for you to pay" and then "know that we will treat you fairly." Apparently the choice is for "collaborative" negotiation. How high are your ransom demands today?
BlackEyedBastard: Anything from 1.5- 2% of a companies yearly revenue seems fair to us.

9 - RHC: Can you explain to us how your solution works briefly?
BlackEyedBastard: Once we have access, we walk in the network and perform as much reconnaisance as possible. When this is complete, we immediately lock the server.

10 - RHC: What is the predominant nationality of the Vanir group members?
BlackEyedBastard: We are all from Eastern Europe as of now.

11 - RHC: Do you receive support or sponsorship from government agencies or other organizations?
BlackEyedBastard: No, we are not an APT group, we do not receive support from any one or organisation, we cannot be bought to perform an attack on anyone we are not willing to hit.

12 - RHC: What are your long-term goals for the Vanir group?
BlackEyedBastard: To wreak havoc.

13 - RHC: Is your ransomware inspired by existing codes? If so, which ones and how did you modify them to make them unique?
BlackEyedBastard: The source code of our ransomware is written from scratch, this is not a daunting task for anyone with a bit of experience.

14 - RHC: Are there other cybergangs from which you draw inspiration? If yes, what are they and what do you admire about them?
BlackEyedBastard: Personally, I love the tenacity of lockbit, and I am a big fan of Akira.

15 - RHC: What is your philosophy in dealing with victims?
BlackEyedBastard: We try as much as possible to be fair, although we are usually strict on the management, they should have done more to protect themselves, but they failed and put the innocent at risk

16 - RHC: Your data leak site has a unique, retro design and reminds us of old CRT monitors from the 1980s. What is the idea behind this aesthetic that also reminds us of the DLS of another cyber gang such as AKIRA?
BlackEyedBastard: Yes, the UI of the site is heavily inspired by Akira, also, don't you love nostalgia? We wanted something simple with 0 need for backend code, that was the solution. No PHP or Node running in the background, means 0 possibility of exploitation.

17 - RHC: Do you have any final messages for organizations that may become your future victims?
BlackEyedBastard: Don't be stupid, pay your ransom, we mean business and the death of your company is nothing but some little entertainment to us. You can't be the hero. Submit, or be destroyed.

18 - RHC: We thank you for this interview. We do these interviews to make our readers understand that cybersecurity is a purely technical subject and that in order to be able to win the fight against cybercrime we need to be stronger than you, who are notoriously often one step ahead of everyone. Would you like to add anything or make any points that might be of interest to our readers?
BlackEyedBastard: Hello dear reader, Listen up, we both know the world and the system in which we live is fucked. People raised from middle or poor class families are doomed to remain that way if they are like the sheep they are expected to be, but you are not like that. You can control your destiny, else why would you be reading this? If you are disgruntled by this unfair system, you can always reach out to us. We would show you how we can all become reach together.
L'articolo Parla Vanir Group! L’intervista di RHC agli ex affiliati di LockBit, Karakurt and Knight: “Assumete professionisti, non siate tirchi!” proviene da il blog della sicurezza informatica.

Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni​ (Akamai)​​.

Dettagli della Vulnerabilità

La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI interpretano determinati caratteri Unicode, permettendo agli aggressori di eseguire codice remoto (Remote Code Execution, RCE) inviando codice PHP che viene successivamente interpretato erroneamente dal server. Questo tipo di attacco sfrutta l’input php://input, un flusso I/O di sola lettura che consente di leggere i dati grezzi dal corpo della richiesta​.

Modalità di Sfruttamento

Gli attacchi sfruttano l’input php://input, un flusso I/O di sola lettura che permette di leggere i dati grezzi dal corpo della richiesta. Questo metodo consente di inserire codice malevolo che viene eseguito prima del codice principale del file PHP. Una tecnica comune è l’uso dell’opzione auto_prepend_file di PHP, che specifica un file da analizzare automaticamente prima del file principale. Questo assicura che il codice dell’attaccante venga eseguito per primo. Inoltre, viene spesso utilizzata l’opzione allow_url_include, che abilita il recupero di dati da posizioni remote tramite funzioni come fopen e file_get_contents​.

In modalità CGI, il server web analizza le richieste HTTP e le passa a uno script PHP per ulteriori elaborazioni. Questo può lasciare aperta una via per l’iniezione di comandi, poiché i parametri delle query vengono passati al PHP interpreter tramite la linea di comando. Ad esempio, una richiesta del tipo http://host/cgi.php?foo=bar potrebbe essere eseguita come php.exe cgi.php foo=bar, lasciando aperta la possibilità di eseguire comandi arbitrari se gli input non vengono correttamente sanitizzati​.

Impatti e Conseguenze

Il primo giorno dopo la divulgazione della vulnerabilità, il team di Akamai ha osservato numerosi tentativi di sfruttamento, segnalando la rapidità con cui gli attori malevoli hanno adottato questa vulnerabilità. Gli attacchi osservati includono iniezioni di comandi e l’implementazione di vari malware, tra cui Gh0st RAT, miner di criptovalute come RedTail e XMRig. Questi attacchi dimostrano l’alta criticità e la facile sfruttabilità della vulnerabilità, con conseguenze potenzialmente devastanti per i sistemi compromessi​​.

Descrizione dei Malware Utilizzati

• Gh0st RAT: Gh0st RAT (Remote Access Trojan) è un malware utilizzato per il controllo remoto di sistemi infetti. Permette agli attaccanti di eseguire comandi da remoto, rubare informazioni sensibili, catturare schermate, registrare audio e video, e trasferire file. Questo malware è noto per la sua versatilità e la capacità di nascondersi nei sistemi infetti, rendendo difficile la sua rilevazione e rimozione​.
• RedTail Cryptominer: RedTail è un miner di criptovalute che sfrutta le risorse del sistema infetto per minare criptovalute senza il consenso dell’utente. Questo tipo di malware consuma una quantità significativa di risorse di sistema, causando rallentamenti e potenziali danni hardware dovuti al surriscaldamento​.
• XMRig: XMRig è un altro esempio di software di mining di criptovalute, specificamente progettato per minare Monero (XMR). Questo malware è altamente efficiente nel mascherare la sua presenza e può operare silenziosamente in background, riducendo al minimo la possibilità di essere rilevato dall’utente o dai software di sicurezza​.
• Muhstik: Muhstik è un noto botnet malware che colpisce principalmente server basati su Linux. Viene utilizzato per lanciare attacchi DDoS (Distributed Denial of Service), eseguire criptominazioni, e propagare ulteriori malware. Muhstik è in grado di auto-propagarsi sfruttando vulnerabilità note e può compromettere rapidamente reti estese​.
• RAT (Remote Access Trojan): I RAT sono trojan che permettono agli attaccanti di controllare completamente i sistemi infetti da remoto. Questi malware possono rubare dati, installare altri malware, monitorare le attività degli utenti, e trasformare i computer infetti in parte di una botnet per ulteriori attacchi. La loro caratteristica principale è la capacità di nascondersi efficacemente per evitare il rilevamento e la rimozione.

Indicatori di Compromissione (IOCs)

Gli Indicatori di Compromissione (IOCs) sono elementi di dati che suggeriscono una potenziale compromissione del sistema. Nel contesto della vulnerabilità CVE-2024-4577, gli IOCs possono includere:

• Traffico di rete anomalo: Rilevamento di comunicazioni con server noti per essere utilizzati da attori malevoli.
• File sospetti: Presenza di file sconosciuti o non autorizzati nelle directory dei server PHP, specialmente quelli specificati tramite auto_prepend_file.
• Processi in esecuzione: Processi PHP o web server che eseguono comandi inusuali o che consumano eccessive risorse di sistema.
• Log di sistema: Voci nei log del server che indicano tentativi di accesso non autorizzato o l’esecuzione di script PHP non previsti.
• Modifiche ai file di configurazione: Alterazioni non autorizzate dei file di configurazione PHP, specialmente quelli che abilitano l’inclusione di URL remoti o specificano file da eseguire automaticamente​.

Identificazione della Vulnerabilità tramite Threat Intelligence

L’identificazione e la mitigazione delle minacce come la vulnerabilità CVE-2024-4577 possono essere effettuate tramite l’uso di Threat Intelligence, che include:

• Monitoraggio dei Threat Feeds: Iscriversi a servizi di threat intelligence per ricevere aggiornamenti tempestivi su nuove vulnerabilità e indicatori di compromissione.
• Analisi dei Log: Utilizzare strumenti di analisi dei log per identificare attività sospette o anomale nei log del server.
• Implementazione di Sistemi di Intrusion Detection/Prevention (IDS/IPS): Questi sistemi possono rilevare e prevenire tentativi di sfruttamento delle vulnerabilità noti.
• Patch Management: Implementare un processo di gestione delle patch efficace per assicurarsi che tutte le vulnerabilità note siano tempestivamente corrette.
• Audit di Sicurezza: Condurre regolari audit di sicurezza per identificare e correggere potenziali punti deboli nel sistema​.

Misure di Protezione e Mitigazione

Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni aggiornino immediatamente le loro installazioni di PHP alle versioni più recenti. Akamai ha implementato misure di mitigazione tramite il loro servizio App & API Protector, che protegge i clienti bloccando automaticamente gli exploit noti. Inoltre, nel loro blog, Akamai ha fornito una lista completa degli indicatori di compromesso (IOCs) per aiutare le organizzazioni a identificare e rispondere agli attacchi​.

Conclusione

La vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per le installazioni di PHP in modalità CGI. La rapidità con cui è stata sfruttata dimostra la necessità per le organizzazioni di adottare misure di sicurezza tempestive e proattive. Aggiornare PHP alle versioni più sicure e utilizzare soluzioni di mitigazione automatica come quelle offerte da Akamai sono passi cruciali per proteggere i sistemi da attacchi futuri.

L'articolo CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta proviene da il blog della sicurezza informatica.

The level of disinformation in national elections, such as the recent ones in France and the UK, was higher than in the previous European elections, disinformation experts said in recently published reports.

euractiv.com/section/disinform…