[M Caldeira] had a project in mind: replacing a common vacuum tube with a solid-state equivalent. The tube in question was an EABC80 or 6AK8 triple diode triode. The key was identifying a high-voltage FET and building it, along with some other components, into a tube base to make a plug-in replacement for the tube. You can see a video about the project below.

These tubes are often used as a detector and preamplifier. Removing the detector tube from a working radio, of course, kills the audio. Replacing the tube with a single diode restores the operation of the radio, although at a disadvantage.

From there, he adds more diodes directly into the socket. Of course, diodes don’t amplify, so he had to break out a LND150 MOSFET with a limit of 500 volts across the device. It takes some additional components, and the whole thing fits in a tube base ready for the socket.

Usually, we see people go the other way using tubes instead of transistors in, say, a computer. If you want real hacking, why not make your own tubes?

youtube.com/embed/KlXMnNx7ZDg?…

Few types of accidents speak as much to the imagination as those involving nuclear fission. From the unimaginable horrors of the nuclear bombs on Nagasaki and Hiroshima, to the fever-pitch reporting about the accidents at Three Mile Island, Chernobyl and Fukushima, all of these have resulted in many descriptions and visualizations which are merely imaginative flights of fancy, with no connection to physical reality. Due to radiation being invisible with the naked eye and the interpretation of radiation measurements in popular media generally restricted to the harrowing noise from a Geiger counter, the reality of nuclear power accidents in said media has become diluted and often replaced with half-truths and outright lies that feed strongly into fear, uncertainty, and doubt.

Why is it that people are drawn more to nuclear accidents than a disaster like that at Bhopal? What is it that makes the one nuclear bomb on Hiroshima so much more interesting than the firebombing of Tokyo or the flattening of Dresden? Why do we fear nuclear power more than dam failures and the heavy toll of air pollution? If we honestly look at nuclear accidents, it’s clear that invariably the panic afterwards did more damage than the event itself. One might postulate that this is partially due to the sensationalist vibe created around these events, and largely due to a poorly informed public when it comes to topics like nuclear fission and radiation. A situation which is worsened by harmful government policies pertaining to things like disaster response, often inspired by scientifically discredited theories like the Linear No-Threshold (LNT) model which killed so many in the USSR and Japan.

In light of a likely restart of Unit 1 of the Three Mile Island nuclear plant in the near future, it might behoove us to wonder what we might learn from the world’s worst commercial nuclear power disasters. All from the difficult perspective of a world where ideology and hidden agendas do not play a role, as we ask ourselves whether we really should fear the atom.

The TMI PR Disaster

Three Mile Island, including the training center and access road. (Credit: Groupmesa, Wikimedia)
What truly happened at the Three Mile Island (TMI) nuclear plant’s #2 reactor on March 28 of 1979? The technical explanation is that the main feedwater pumps in the secondary, non-nuclear, coolant loop failed, which led to a shutdown of the reactor as a whole. As a pressurized water reactor (PWR), the primary coolant loop is pressurized, the levels of which began to increase due to the failed secondary coolant loop and loss of cooling capacity. This triggered a pressure relief valve, which should have closed again when pressure normalized, but due to a technical malfunction it remained open.

The resulting open valve led to a loss-of-coolant situation in the primary coolant loop that went unnoticed in the control room. Due to missing and conflicting information, the operators undertook improper actions that ultimately led to the core overheating and the fuel rods partially melting. During this process, some radioactive gases escaped via the relief valve into the environment surrounding the plant, mostly xenon and krypton isotopes. The effect of this on the local population was estimated to be at most 1.4 millirem (14 µSv), effectively half of a chest X-ray and a fraction of the average annual natural background levels in the US of 3,100 µSv, or ~1% of the local background radiation.

Ultimately, the #2 reactor was quite damaged, and it was decided to decommission it rather than try to repair the damage. Reactor #1 operated uneventfully until 2019 until it was shut down for economic reasons. The lessons learned from the 1979 accident were pivotal for nuclear safety in the US, and is a big part of why for the past decades, nuclear power in the US has been among the safest sources of power.

Objectively considered, the 1979 TMI accident was a big financial loss for the plant owner and investors, but no physical injuries or worse occurred. The real harm of TMI came not from the accident itself, but from the bungled interaction with the press by the people in charge of the accident response. This is excellently detailed in a documentary created by Kyle Hill, who also contrasts the real accident with the imaginary accident dreamed up in the 4-part Netflix series Meltdown: Three Mile Island.

youtube.com/embed/cL9PsCLJpAA?…

As anti-nuclear groups swooped in on Three Mile Island to amplify their messaging, and panicked citizens as far as hundreds of kilometers away worried about having to evacuate and potential nuclear fallout, or even the plant somehow turning into a nuclear bomb, the federal and local official response was weak and incompetent, further adding to the narrative of a terrible disaster unfolding with unwitting officials unable to prevent the apocalyptic events that would inevitably follow.

The TMI accident didn’t kill or harm anyone, of course. Despite it being assigned an INES 5 rating, it was inarguably less severe than the non-commercial accident at the SL-1 reactor, which killed three and caused massive contamination, albeit in a more remote location. SL-1’s accident was assigned INES 4 on this logarithmic scale. If anything, the only enduring legacy of the TMI Unit 2 accident was the toxic fallout of the PR disaster that still contaminates discourse on nuclear power to this day.

Substituted Soviet Reality

The New Safe Confinement in final position over reactor 4 at Chernobyl Nuclear Power Plant.
The one nuclear disaster that looms above all is of course that of Chernobyl, or rather the Chernobyl Nuclear Power Plant (ChNPP, today the Chornobyl NPP) with its accompanying city of Pripyat. The city of Chernobyl, now Chornobyl, is located some distance from ChNPP in the Chornobyl Exclusion Zone, and unlike Pripyat was not fully abandoned after the events of April 26, 1986 when a complete lack of safety culture in the 1980s USSR combined with a sketchy turbine spin-up experiment using residual core heat culminated in what in hindsight was a very much preventable accident.

With Soviet leadership choosing to override any engineering concerns and technical issues that might be inconvenient to the USSR narrative, issues with the RBMK reactor design were classified as state secrets already years before the ChNPP Unit 4 accident. This left plant staff both uninformed and untrained about what was to come. Yet despite of the horrors of the immediate aftermath of the ChNPP Unit 4 reactor’s steam explosion, graphite fire and subsequent radioactive cloud, the worst harm was caused by the denial by Soviet authorities that anything was wrong, which resulted in delayed evacuations, the lack of distribution of iodine tablets to prevent harm from radioactive iodine-131 isotope, and the consumption of radiologically contaminated milk and other foodstuffs in the surrounding area rather than these being destroyed.

Yet despite the RBMK reactor design as at ChNPP being at best a sketchy hybrid military/commercial reactor, the world’s unquestioned worst nuclear accident led to only a few dozen attributable deaths, mostly among the first responders who were fighting the raging graphite fire in the exposed core when radiation levels from short-lived isotopes like iodine-131 were at their highest. Cases of thyroid cancer likely increased due to the exposure to iodine-131, but it’s hard to quantify exact numbers here, especially amidst the statistical noise of forced evacuations and the resulting stress and substance abuse, as well as the breakup of the USSR only a few years later.

As a comparison, in the US, parts of the populace got regularly exposed to iodine-131 during the 1940s through the 1960s courtesy of nuclear weapons testing, but despite a lack of precautions at the time a causal effect is elusive.

Sadly, when HBO chose to make a series about the ChNPP nuclear accident, it leaned heavily into the sensationalist angle, with many analyses showing just how it plays it fast and loose with the truth to create a more exciting narrative. Despite what the series claims, there was no surge in birth defects, only elective abortions, and no surge in cancer cases.

Today, many people remain jumpy about anything to do with ‘Chernobyl’, leading to panicked headlines in 2021 about a ‘neutron surge’ at the ChNPP, which likely was just due to the New Safe Confinement (NSC) structure above the #4 reactor blocking rainwater intrusion. As water is a neutron moderator, this consequently is merely a logical and totally expected result.

Similarly, when during the 2022 invasion of Ukraine Russian forces rolled heavy equipment into the Chornobyl Exclusion Zone (CEZ), there was again panicked reporting about ‘elevated gamma radiation levels’. Although occupying forces destroyed much of the forensic evidence including much of the sensor network, it’s likely that the high gamma readings observed on the public radiation monitoring dashboard were spoofed or at least invalid values, rather than actual readings.

Ultimately, the CEZ was a thriving tourist attraction until the Russian invasion, with no radiological hazard if you take basic precautions in the worst affected areas. Back in 2019 discussions were already underway to reduce the size of the CEZ due to decreasing background radiation levels. Rather than a monument to the hazards of nuclear power, ChNPP is a testament to its safety even when used by a totalitarian regime whose idea of ‘safety culture’ involves the KGB and vanishings of those lacking in loyalty.

Japanese Unsafety Culture

When in March of 2011 a massive tsunami slammed into the coast of Fukushima prefecture after the 9.0 level Touhoku earthquake, it led to 19,759 deaths, 6,242 injured and 2,553 people missing but presumed killed and vanished with the water back into the ocean. There also were multiple meltdowns at the Fukushima Daiichi nuclear power plant, after the tsunami’s water bypassed the inadequate tsunami defenses and submerged the basement which held the emergency generators.

The reactors all shut down as soon as the earthquake occurred, but required power for their cooling pumps. As external power was cut off and their emergency generators drowned in the basement, the first responders simply had to plug in the backup external power. Unfortunately, this procedure had never been practiced, they could not establish the physical connection, and the cores overheated, resulting in them melting and the corium solidifying in the core catchers. That’s when the lack of hydrogen vents in the spent fuel pools at the top of the buildings resulted in hydrogen – generated by the steam in the spent fuel pools reacting with the zirconium cladding – finding an ignition source and blowing off multiple roofs, spreading parts of the fuel rods on the plant’s terrain.

Some lighter radioactive isotopes were scattered further away from the plant, but ultimately nobody died or suffered injuries from radiation. Despite this, a large exclusion zone was established and thousands of people were evacuated for what turned out to be years. Government reports since 2011 have noted rampant mental health issues among these evacuees, as well as high rates of substance abuse and suicides. Meanwhile many questions have been raised about whether most of the evacuations and the in-progress top soil removal was ever needed.

youtube.com/embed/Z4YsXeX8c7M?…

Multiple cracks were found in the concrete of the plant, which allow for seawater to seep into the reactor buildings. This water consequently has to be pumped out before it is treated with ALPS (Advanced Liquid Processing System), which can remove all radioactive isotopes except tritium, as this is just a form of hydrogen and thus effectively impossible to easily segregate from hydrogen and deuterium.

The treated water has been released back into the ocean, which has led to much international outrage. This despite that the tritium levels in the treated and diluted water (as released) are lower than those of any nuclear plant operating today, and lower than the naturally produced tritium levels from the Earth’s atmosphere.

youtube.com/embed/UwFoOVyB40s?…

Ultimately, it was the botched evacuation and disaster response, per the 2012 Diet report, that led to hundreds if not thousands of needless deaths. The flawed messaging around Fukushima Daiichi brings to mind the PR disaster around TMI Unit 2, with anti-nuclear groups hijacking the conversation and drowning any sensible communication that could have occurred with stress-inducing FUD when a calm and objective approach was needed. Unsurprisingly, the biggest outcome for Japan was the complete restructuring of its nuclear safety model, with the newly formed NRA, based on the US’s NRC, turning a whole new leaf in Japanese safety culture.

Today, many of the nuclear reactors that were shutdown after the 3/11 event are now either already back online, or are in the process of getting the last safety upgrades needed before receiving an operating license from the NRA. Despite middling enthusiasm for nuclear power in Japan, there’s an increase in support along with a move towards new reactor construction.

Radiophobia

Radiophobia is defined as an irrational or excessive fear of ionizing radiation. It leads people to overestimate the health implications of radiation, suspect the presence of radiation where there is none, like microwaved food, and easily miss actual sources of radiation, such as taking an airplane flight, having a granite counter top, the presence of radon gas in the basement, inhaling cigarette smoke, or frequenting certain Brazilian beaches.

The TMI Unit 1 reactor restarting should be met with joy, as it means more reliable (95+% capacity factor) low-carbon electricity and well-paying jobs. The country to have suffered the worst nuclear disaster in history – Ukraine – is finishing construction on two nuclear plants today, and will be constructing many more. Japan is coming to terms with the reality of nuclear power, as it grapples with the economic cost of importing the LNG and coal that have kept its economy going since 2011.

If there is one thing that we can learn from nuclear accidents in this Atomic Age, it is that the fear of the atom has done more harm than respect for it. We can only hope that more people will learn this lesson.

La polizia britannica ha annunciato l’arresto di un adolescente di 17 anni. Il sospettato è considerato un membro del gruppo di hacker Scattered Spider, coinvolto in un attacco alla MGM Resorts, proprietaria di una catena di hotel, resort e casinò in tutto il mondo.

“Abbiamo arrestato un diciassettenne di Walsall collegato a una rete internazionale di criminalità informatica che prendeva di mira grandi organizzazioni con ransomware e otteneva l’accesso illegale alle reti di computer”, ha detto la polizia in una nota . “Ufficiali dell’Unità regionale per la criminalità organizzata delle West Midlands, insieme a membri della National Crime Agency, in collaborazione con il Federal Bureau of Investigation (FBI), hanno effettuato l’arresto giovedì (18 luglio 2024).”

L’adolescente è stato arrestato con l’accusa di aver violato la legge sul ricatto e l’uso improprio del computer e successivamente rilasciato su cauzione mentre la polizia completava le indagini. Si informa inoltre che all’indagato sono stati sequestrati diversi dispositivi, che verranno ora esaminati per ottenere ulteriori prove.

“Siamo orgogliosi di aver assistito le forze dell’ordine nell’identificazione e nell’arresto di uno dei presunti criminali responsabili dell’attacco informatico contro MGM Resorts e molte altre organizzazioni”, ha affermato MGM in una nota.

La polizia britannica ha affermato che l’arresto fa parte di un’indagine più ampia condotta dalla National Crime Agency e dall’FBI su un gruppo di hacker senza nome. E anche se le forze dell’ordine non lo hanno detto direttamente, il gruppo di hacker dietro l’attacco all’MGM Resorts è Scattered Spider.

Ricordiamo che Scattered Spider è conosciuto anche con altri nomi: Starfraud, Octo Tempest, Muddled Libra 0ktapus (Group-IB), UNC3944 (Mandiant) e Scatter Swine (Okta).

Si ritiene che il gruppo sia attivo dal 2022 e i suoi attacchi a sfondo finanziario si rivolgano principalmente a organizzazioni che operano nei settori della gestione delle relazioni con i clienti (CRM), dell’outsourcing dei processi aziendali, delle telecomunicazioni e della tecnologia.

In genere, il gruppo utilizza complessi schemi di ingegneria sociale, che spesso comportano lo scambio di SIM. In particolare, Scattered Spider è noto per i suoi attacchi con i ransomware BlackCat (Alphv), Qilin e RansomHub, anche contro MGM Resorts e la catena di casinò Caesars Entertainment .

Già nell’autunno dello scorso anno gli esperti di Mandiant avevano avvertito che Scattered Spider aveva violato almeno 100 organizzazioni, principalmente situate negli Stati Uniti e in Canada. Allo stesso tempo, anche allora, gli specialisti della sicurezza informatica sono giunti alla conclusione che la composizione principale di Scattered Spider erano adolescenti di lingua inglese di età compresa tra 16 e 22 anni, e in generale il gruppo ricordava molto Lapsus$, i cui membri usavano attacchi simili metodi ed avevano più o meno la stessa età.

L'articolo Arrestato un adolescente di 17 anni, membro di Scattered Spider! Il Crimine Informatico non paga proviene da il blog della sicurezza informatica.

Il gruppo di ransomware LockBit, è noto per le sue operazioni di cyberattacco su larga scala. Ha recentemente pubblicato un nuovo messaggio sul proprio sito di data leak che risulta interessante analizzare. Questo messaggio fornisce dettagli su come contattare il capo del gruppo e le istruzioni specifiche per le comunicazioni riguardanti la decrittazione dei dati. Di seguito, analizziamo il contenuto del messaggio e le possibili implicazioni di questa comunicazione.

Il messaggio di LockBit

Il messaggio, pubblicato il 18 luglio 2024, avverte che il tempo di risposta del capo di LockBit può variare da un minuto a diversi giorni. Questo a seconda del carico di lavoro. Viene specificato che le domande sulla decrittazione devono essere inviate solo tramite una chat sul sito. Inoltre solo se la persona che ha cifrato la rete non risponde entro due giorni o in caso di altri problemi. LockBit richiede che i messaggi siano chiari e concisi, evitando frasi come “ciao”, “qui?” o “posso farti una domanda?”.

Inoltre, il gruppo sottolinea che la chiave PGP per la cifratura di messaggi o file molto importanti è nelle mani di una sola persona. Questa risiede su un computer criptato del principale sviluppatore e organizzatore del programma di affiliazione, senza accesso a Internet. La chiave PGP non è mai stata trasferita e non verrà trasferita ad altre persone.

Il messaggio si conclude con l’assicurazione che tutti riceveranno una risposta, indipendentemente dalla domanda.

Il gruppo LockBit

LockBit è uno dei gruppi di ransomware più noti e temuti al mondo.

Il loro modus operandi prevede l’infiltrazione nelle reti aziendali, la cifratura dei dati sensibili e la richiesta di un riscatto per il loro rilascio. Negli ultimi anni, LockBit ha colpito numerose organizzazioni, causando danni finanziari significativi e compromettendo dati sensibili.

Implicazioni del messaggio

LockBit rimane ad oggi nell’olimpo dei RaaS assieme ai vecci REvil e Conti. Parte di questo prestigio è stato creato grazie anche all’immagine pubblica che è stata perpetuata sin dall’inizio della carriera del gruppo (dopo ABCD ovviamente).

Le comunicazioni di LB si muovono su più fronti. Dal lato delle vittime il RaaS si espone come un servizio professionale senza inganno dei post-pentest services pagati dalle vittime (ciò è risultato parzialmente vero dopo Operation Cronos) incentivando i pagamenti.

Gli ADV per gli affiliati sono sulla stessa linea, “you think 20% of fee is too much? Well, take the opportunity to work using our services and you will not regret it!” era una frase spesso ripetuta in questo tipo di messaggi. Inoltre veniva ben descritta l’offerta di strumenti ulteriori oltre al semplice ransomware come una infrastruttura sicura (anche questo mito sfatato da Cronos) per le comunicazioni interne ed un tool di exfiltration dei dati, creato da zero dal RaaS, definito come il migliore rispetto alla concorrenza chiamato “stealbit”.

Diversi analyst hanno però confermato come la compressione in tempo reale e “hidden mode” non fossero implementate su tutte le versioni rilasciate ai threat actors [1].

Gli affiliati però per essere accettati nel programma di LB necessitavano (non è ancora chiaro se sia ancora cosi) di un membro che parlasse una qualsiasi lingua russofona come garante per i pentester.

Il loro tipo di comunicazione non si limitò ai due estremi del loro business ma anche al pubblico. Ed è stata proprio questa la chiave a rendere il marchio del RaaS al pari di quello di una multinazionale. Tra questi abbiamo un contest chiamato “Summer Paper”. Qua ogni gruppo avrebbe dato un premio in denaro per i migliori report riguardanti vulnerabilità, crittografia e reti.

Inoltre un altro metodo ingegnoso per strutturare una sorta di “fan club” è stata una campagna dove, sempre con promessa di pagamento in denaro, veniva chiesto di tatuarsi il logo di LockBit e di mandare le prove al RaaS.

Quest’ultima comunicazione non sembra distaccarsi molto dall’immagine di LB. La promessa che prima o poi chiunque riceva una risposta a qualsiasi domanda è un’esposizione mai vista in precedenza in ambito ransomware. Interessante l’informazione data alle vittime di utilizzare un canale di comunicazione diretto con la testa del RaaS in caso il threat actor responsabile del danno causato non rispondesse nella chat di negoziazione, non è chiaro per quale motivo quest’ultimi non dovrebbero presentarsi per regolare il pagamento.

Questo potrebbe evidenziare complicanze tecniche o addirittura problematiche con gli affiliati. Operation Cronos ha evidenziato come il codice del DLS e il design della infrastruttura interna non fosse così professionale come l’immagine che si è tanto millantata nel tempo. Non è da rimuovere la possibilità di un re-design della loro infrastruttura interna ed organizzativa, plausibilmente dopo Cronos e la volontà di voler continuare le attività di ransomware i loro sistemi interni sono da rinnovare per evitare ulteriori attacchi e attenzioni non volute da parte delle autorità.

Ricordiamo che LockBit aveva gia in passato espresso la possibilità di pagare insider che permettessero l’intrusione nelle reti di potenziali vittime, aprire un canale di comunicazione diretto oltre ad essere l’unica scelta (LB è stato bannato da diverso forum) apre la porta a futuri insider in cerca di ricompense facili.

Conclusioni

Il recente messaggio di LockBit sul proprio sito di data leak rappresenta un ulteriore esempio della complessità e della pericolosità delle operazioni di ransomware moderne.

Le implicazioni di questa comunicazione sono significative e dimostrano come i gruppi di cybercriminali stiano evolvendo le loro strategie. Tutto questo per mantenere il controllo e la fiducia (seppur criminale) delle loro vittime.

Le organizzazioni devono rimanere vigili e adottare misure di sicurezza avanzate per proteggersi da queste minacce sempre più sofisticate.

L'articolo Vuoi parlare con il capo di LockBit? Basta che tu sia chiaro e coinciso! proviene da il blog della sicurezza informatica.

Among the 8-bit home micro boom from the late 1970s through early 1980s, the introduction to computing for many wasn’t a pricey Apple or Commodore, instead it was the slightly lower budget machine from Radio Shack. The TRS-80 series of computers live on and have a loyal following among retro computing enthusiasts. But like all such machines the original hardware is harder to find in 2024, so how about the TRS-80 experience without the failing vintage parts? The FauxTRS from [Jpasqua] is just that, the feel of a Model 3 or Model 4, powered by a Raspberry Pi.

In a sense then, this is a very well-designed case for a Raspberry Pi that looks a lot like the Tandy of old. With a modern LCD and keyboard it could just as easily be a normal desktop machine, but when the emulator fires up it does indeed look very much like a small version of the real thing. You can download the STL files from Printables, and for the cost of a few extra parts you can have one too.

Alternatively, if a faux TRS doesn’t do it for you, there’s always the chance of making a more real one.

Il CTO di Firefox Bobby Holley ha respinto le preoccupazioni secondo cui il browser incentrato sulla privacy verrà utilizzato dagli inserzionisti per raccogliere dati degli utenti. L’obiettivo dell’azienda è creare un meccanismo di tutela della privacy in grado di soddisfare sia gli inserzionisti che gli utenti allontanandosi dalle pratiche predatorie di raccolta dati.

In seguito al contraccolpo sull’introduzione della nuova funzionalità Privacy Preserving Attribution (PPA) di Firefox, che raccoglie e aggrega dati anonimi sull’interazione dell’utente per gli inserzionisti, Holley ha ammesso che la società avrebbe dovuto comunicarlo meglio.

In un post dettagliato su Reddit, Holley ha spiegato che Mozilla mira a risolvere il problema della “sorveglianza di massa di Internet”. Mozilla ha già combattuto questo problema con anti-tracker che bloccavano i metodi di tracciamento più comuni. Tuttavia, questo approccio presenta due limiti significativi.

In primo luogo, gli inserzionisti hanno notevoli incentivi economici per aggirare eventuali contromisure, dando vita ad una corsa agli armamenti senza fine. In secondo luogo, il blocco aiuta, ma Mozilla vuole “migliorare la privacy per tutti”, non solo per gli utenti di Firefox.

“Non importa come consideri la pubblicità come modello economico, è un settore potente che non scomparirà”, ha detto Holley.

A differenza della situazione attuale su Internet, in cui gli inserzionisti raccolgono numerosi dati personali, Mozilla sta lavorando per creare un sistema in grado di soddisfare gli obiettivi degli inserzionisti proteggendo al tempo stesso la privacy degli utenti.

“Stiamo collaborando con Meta su questo perché qualsiasi meccanismo di successo deve avvantaggiare gli inserzionisti e sviluppare qualcosa di cui sia Mozilla che Meta siano soddisfatti è una buona indicazione che abbiamo raggiunto il nostro obiettivo”, afferma Holly.

Assicura che la funzionalità PPA introdotta nella versione 128 di Firefox non scende a compromessi sulla privacy e fornisce solo funzionalità minime agli inserzionisti. Il prototipo sperimentale è in sviluppo da diversi anni e non è legato alla recente acquisizione di Anonym. Le proprietà riservate di questa tecnologia sono state verificate dai principali crittografi.

Anche il prototipo temporaneo è limitato a pochi siti di prova e presuppone un volume di dati molto basso. “Si tratta di conteggio (dati aggregati su impressioni e conversioni), non di targeting”, ha affermato il CTO.

“La pubblicità digitale è qui per restare, ma gli elementi di sorveglianza possono scomparire se lo facciamo bene. Un meccanismo di attribuzione veramente privato consentirà alle aziende di smettere di tracciare le persone e consentirà ai browser e ai regolatori di essere molto più aggressivi nel reprimere coloro che continuano a farlo”, ha concluso.

Tuttavia, alcuni utenti esprimono ancora preoccupazioni riguardo alla condivisione di qualsiasi informazione con gli inserzionisti, anche in forma anonima.

L'articolo Mozilla: Internet è una enorme rete globale di sorveglianza proviene da il blog della sicurezza informatica.

AVO meters — literally amp, volt, ohm meters — are not very common in North America but were staples in the UK. [TheHWcave] found an AVO 8 that is probably from the 1950s or 1960s and wanted to get it working. You can see the project in the video below.

These are very different from the standard analog meters many of us grew up with. [TheHWcave] shows how the dual range knobs work together to set the measurement. There are three separate ohm settings, and each one has its own zero pot. We were surprised that the meter didn’t have a parallax-correcting mirror.

Other than dirty switch contacts, the voltage measurements still worked. After cleaning the contacts, most of the ranges worked well, although there were still some issues. Some of the resistor ranges were not working, either. Inside the case were an old D cell and a square battery, a B121 15 V battery. Replacing the 15 V battery with a bench supply made things better.

Some plugins are available to allow the meter to read low resistance or high currents. We thought using the soldering gun as a current source was clever. Once he gets it working, he opens the box around the 14:30 mark.

The inside was all hand-wiring and power resistors. Of course, there are also a ton of contacts for the switches. So it isn’t just an electrical design, but a mechanical one, too. The electrical design is also interesting, and an analysis of it winds the video down.

[Jenny List] has a soft spot for these meters, too. Why use an old meter? If you have to ask…

youtube.com/embed/_iG-ZzHIECE?…

Rimanere vigili ed aumentare l’attenzione è imprescindibile in situazioni come queste.

Come tutti sappiamo, il 19 luglio 2024, un aggiornamento di CrowdStrike Falcon® per i sistemi operativi Windows ha causato la più grande interruzione globale. Nonostante sia stato il risultato di un problema tecnico, questo incidente ha aperto le porte ai malintenzionati per sfruttare la situazione, dando il via a un’ondata di attività dannose, in particolare rivolte ai clienti latinoamericani di CrowdStrike.

CrowdStrike Intelligence ha segnalato la distribuzione di un archivio ZIP ingannevole, denominato [b]crowdstrike-hotfix.zip[/b], contenente un payload HijackLoader progettato per distribuire il RAT (strumento di accesso remoto) RemCos.

Il file ZIP, con nomi file e istruzioni in spagnolo, suggerisce un attacco mirato agli utenti LATAM. Il file è stato caricato per la prima volta da un submitter con sede in Messico che lo ha caricato su un servizio di scansione malware online.

Queste truffe spesso coinvolgono e-mail di phishing, false chiamate di supporto e offerte fraudolente di servizi di ripristino. La prassi migliore è contattare le aziende direttamente tramite i loro canali ufficiali anziché rispondere a comunicazioni indesiderate.

La sequenza di attacco inizia con l’esecuzione di Setup.exe, che utilizza il dirottamento DLL per caricare HijackLoader. Pubblicizzato come un servizio di crittografia privato noto come ASMCrypt, HijackLoader è abile nell’elusione del rilevamento.

Esegue il payload finale di RemCos, che si connette a un server di comando e controllo a 213.5.130.58:433, consentendo all’attaccante di ottenere il controllo sui sistemi infetti.

La Cyber ​​Defense Agency degli Stati Uniti, il National Cyber ​​Security Centre del Regno Unito e il National Anti-Scam Centre dell’Australia hanno emesso avvertimenti di fare attenzione alle truffe che potete trovare qui e qui .

CrowdStrike ha creato un “Remediation and Guidance Hub” per assistere le persone colpite, mentre Microsoft ha fornito guide di supporto aggiornate. Entrambe le organizzazioni sottolineano l’importanza di verificare le comunicazioni e di non precipitarsi ad agire in seguito a messaggi indesiderati.

Per contrastare queste minacce è fondamentale seguire alcune pratiche fondamentali: restare vigili sui potenziali tentativi di phishing, verificare l’autenticità delle comunicazioni, evitare di scaricare file da fonti non attendibili e segnalare alle autorità competenti eventuali sospette truffe.

L'articolo Una Hot-fix malevola per CrowdStrike diffonde HijackLoader e RemCos proviene da il blog della sicurezza informatica.

Con l’aumentare della nostra dipendenza dalle tecnologie digitali, cresce anche il rischio di attacchi informatici che possono avere conseguenze devastanti. In questo contesto, il tempo assume un ruolo cruciale nella capacità di prevenire, mitigare e rispondere.

Nella cybersecurity, il tempo è un fattore cruciale che influenza pesantemente le conseguenze di un attacco informatico e la capacità degli addetti ai lavori.

Perchè il tempo è così importante?

Più tempo ha un malintenzionato che ha accesso ad un sistema compromesso, maggiori sono i danni che può causare.

Le violazioni della sicurezza informatica possono avere un impatto finanziario significativo per le organizzazioni, non solo per i danni diretti causati dall’attacco, ma anche per i costi associati alla risposta all’incidente, alla perdita di reputazione e a possibili sanzioni legali. Una risposta rapida ed efficace può aiutare a ridurre questi costi.

La capacità di un’organizzazione di rispondere tempestivamente agli incidenti di sicurezza informatica è fondamentale per la sua resilienza complessiva. Le organizzazioni che sono in grado di contenere rapidamente i danni e ripristinare le normali operazioni sono più propense a superare gli attacchi informatici senza subire conseguenze gravi. Per questo motivo, la rapidità di risposta è fondamentale per minimizzare l’impatto di un attacco.

Come le organizzazioni possono migliorare il loro fattore tempo nella cybersecurity?

Gli operatori della cybersecurity devono essere in grado di identificare, analizzare e contenere le minacce il più rapidamente possibile.

In questo articolo, esploreremo alcune strategie chiave che i responsabili possono implementare per creare un ambiente di lavoro più favorevole. Vedremo, inoltre, alcuni esempi di come il tempo viene utilizzato nella cybersecurity.

Cosa devono fare i responsabili per aiutare gli addetti al lavoro quando il tempo diventa cruciale?

I responsabili hanno un ruolo fondamentale nel supportare i propri dipendenti e guidarli attraverso la situazione. Ecco alcuni passi chiave che possono intraprendere.

Comunicazione chiara e tempestiva:

• Fornire informazioni accurate e aggiornate sulla situazione il più rapidamente possibile.
• Utilizzare canali di comunicazione chiari e concisi.
• Evitare di diffondere disinformazione o speculazioni.

Supporto emotivo:

• Riconoscere lo stress e l’ansia che i dipendenti potrebbero provare.
• Incoraggiare i dipendenti a prendersi cura di sé stessi e a fare delle pause se necessario.

Guida pratica:

• Fornire istruzioni chiare su cosa fare.
• Assegnare compiti specifici ai dipendenti per aiutarli a sentirsi utili e coinvolti.

Mantenere la calma e la leadership:

• Dimostrare calma e compostezza anche durante la crisi.
• Rassicurare i dipendenti che la situazione è sotto controllo.
• Prendere decisioni rapide e decisive per proteggere i dipendenti e l’azienda.

Pianificazione e preparazione:

• Sviluppare un piano di risposta agli incidenti che delinea le azioni da intraprendere, in caso di attacco.
• Fornire ai dipendenti una formazione regolare sulla sicurezza e sulla gestione delle crisi.
• Testare regolarmente il piano di risposta agli incidenti per assicurarne l’efficacia.

Oltre a questi passi chiave, è importante che i responsabili creino una cultura di sicurezza e supporto all’interno dell’azienda. Ciò significa incoraggiare i dipendenti a segnalare qualsiasi preoccupazione in materia di sicurezza e fornire loro le risorse e la formazione di cui hanno bisogno per rimanere al sicuro.

In caso di attacco, è fondamentale che i responsabili agiscano rapidamente e con decisione per proteggere i propri dipendenti e l’azienda. Non è sempre facile perchè diversi sono i fattori in gioco.

Fattori che influenzano il tempo di risposta

• La complessità dell’ambiente IT: un ambiente IT complesso con più sistemi e reti può allungare i tempi di rilevamento e risposta.
• La natura dell’attacco: alcuni attacchi sono più difficili da identificare e contenere rispetto ad altri.
• Le competenze del team: un team addestrato e preparato sarà in grado di rispondere più rapidamente agli incidenti.
• La disponibilità di risorse: avere a disposizione gli strumenti e le risorse adeguate è fondamentale per una risposta rapida ed efficace.

Responsabili e addetti ai lavori devono lavorare insieme per creare una cultura di sicurezza informatica che ponga l’accento sulla rapidità di risposta, sulla proattività e sulla comunicazione efficace. Solo così è possibile minimizzare i danni causati dagli attacchi informatici e garantire la continuità operativa delle organizzazioni. Ecco alcune azioni concrete che gli specialisti cyber possono intraprendere quando il tempo diventa cruciale.

Il ruolo degli addetti ai lavori:

• Essere vigili e proattivi: segnalare immediatamente qualsiasi attività sospetta o anomala ai responsabili.
• Mantenere le proprie conoscenze aggiornate: seguire le ultime minacce informatiche e le tendenze del settore per rimanere preparati.
• Comunicare in modo efficace: comunicare tempestivamente e chiaramente con i colleghi e i responsabili, ad esempio, durante un incidente.
• Collaborare con il team: lavorare in modo collaborativo con gli altri membri del team.
• Mantenere la calma e la razionalità: è normale provare paura o ansia ma è importante mantenere la calma e la razionalità. Concentrarsi su ciò che si può controllare e fare del proprio meglio per seguire le istruzioni.
• Aiutare gli altri: se possibile e sicuro, aiutare i colleghi o le persone che potrebbero aver bisogno di assistenza.
• Prendersi cura di sé: non dimenticare di prendersi cura di sé.

È importante ricordare che ogni situazione è diversa e che la risposta migliore può variare a seconda delle circostanze specifiche. Nel mondo odierno, sempre più interconnesso, la sicurezza informatica rappresenta una priorità assoluta per qualsiasi organizzazione. Garantire la protezione di dati sensibili, sistemi e reti è fondamentale per il successo di qualsiasi azienda.

In questo scenario, la collaborazione tra manager e addetti ai lavori assume un ruolo cruciale. Entrambi i gruppi hanno un ruolo chiave da svolgere per costruire una solida cultura della sicurezza informatica all’interno dell’organizzazione.

Investire nella sicurezza è investire nel futuro!

Le organizzazioni che investono in strumenti e processi per migliorare il loro fattore tempo saranno meglio preparate a difendersi dalle minacce informatiche e a ridurre al minimo il loro impatto.

L'articolo Il tempo nella cybersecurity: Perché Ogni Secondo Conta negli Attacchi Informatici proviene da il blog della sicurezza informatica.

Siamo lieti di annunciare che Red Hot Cyber ha concluso con successo il secondo corso di formazione in Darkweb & Cyber Threat Intelligence, consolidando ulteriormente la nostra missione di fornire competenze avanzate, aggiornate e soprattutto pratiche ai partecipanti.

Dopo il grande successo del primo corso, abbiamo risposto con entusiasmo alle richieste di molti professionisti desiderosi di approfondire le loro conoscenze nella Cyber Threat Intelligence (CTI) e abilità in questo settore cruciale della sicurezza informatica.

Il nostro secondo corso andato in “sold out” una settimana prima dell’inizio, ha visto la partecipazione di numerosi esperti e appassionati del settore, desiderosi di ampliare le loro competenze nella protezione contro le minacce del dark web e di migliorare la loro capacità di raccogliere e analizzare informazioni di intelligence sulle cyber minacce. Grazie a un programma di studi rigoroso e ben strutturato, i partecipanti hanno potuto beneficiare di un’istruzione pratica e teorica di alto livello.

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Un corso pratico che prosegue dopo il corso

Uno degli aspetti più distintivi e apprezzati dei nostri programmi formativi è la continuità pratica che offriamo ai partecipanti una volta terminato il corso. Dopo aver completato con successo il secondo corso ed eseguito le prove pratiche e i test per conseguire la nostra certificazione di Darkweb & Cyber Threat Intelligence (CTIP), i 12 discenti interessati hanno potuto entrare a far parte del prestigioso gruppo Dark Lab di Red Hot Cyber.

Questo gruppo esclusivo rappresenta una comunità dinamica e collaborativa, dove i membri possono continuare a sviluppare le proprie competenze attraverso attività pratiche sotto la guida di esperti del settore e svolgere:

• Ricerche Specifiche: Conduzione di ricerche mirate su tematiche attuali legate al dark web e alle minacce cibernetiche. Questo permette ai membri di mettere in pratica quanto appreso e realizzare report di intelligence.
• Accessi alle Underground: Esplorazione e analizzare i marketplace e i forum underground ed effettuare interviste ai threat actors. Questa pratica fornisce un’esperienza diretta su come operano i criminali informatici, contribuendo a una comprensione più profonda delle minacce.
• Redazione di Articoli tecnici: Produzione di articoli e report basati sulle ricerche effettuate, che vengono poi pubblicati sul sito web e condivisi con la community. Questo non solo rafforza le competenze analitiche e di scrittura dei membri, ma contribuisce anche alla diffusione della conoscenza e della consapevolezza sulle minacce cibernetiche.

Red Hot Cyber ha sempre sostenuto un approccio pratico alla formazione, ritenendo che l’esperienza diretta sia essenziale per sviluppare competenze reali e applicabili. Questa modalità di percorso è progettata per consentire ai partecipanti di toccare con mano le attività quotidiane di un analista di cyber threat intelligence, favorendo una crescita professionale continua.

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Un Programma Ricco e Approfondito del corso

Il corso ha coperto una vasta gamma di argomenti suddivisi in 5 giornate formative che possiamo sintetizzare in:

• Prima Giornata – Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Seconda Giornata – Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground
  • Esercitazione

  
  

• Terza Giornata – La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta
  • Esercitazione

  
  

• Quarta Giornata – Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazione

  
  

• Quinta giornata – Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site
  • Esercitazioni

  
  

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Feedback Positivo dai Partecipanti

Il feedback ricevuto dai partecipanti è stato estremamente positivo. Molti hanno apprezzato la combinazione di lezioni teoriche e sessioni pratiche, che hanno permesso loro di applicare immediatamente quanto appreso in scenari reali.

Alcuni feedback della seconda edizione hanno riportato:

• Sono molto soddisfatto del corso. Non ho particolari suggerimenti perché andava tutto bene, tempi, materiale etc. Sto cercando di integrarmi nel gruppo Dark Lab ma il mio tempo è troppo poco al momento per essere reattivo … verranno tempi migliori. Vi ringrazio di tutto;
• Il corso di formazione “Dark Web & Cyber Threat Intelligence” è stato estremamente prezioso, consentendomi di esplorare nuove sfaccettature della sicurezza informatica, comprendere l’importanza del monitoraggio del dark web, e utilizzare strumenti avanzati per l’analisi. Ho apprezzato l’approfondimento sulle normative legali e la protezione dell’identità nel dark web. Un punto di miglioramento potrebbe essere l’inclusione di sessioni pratiche più estese. Complessivamente, un’esperienza formativa eccellente che consiglio vivamente. Desidero esprimere la mia sincera gratitudine per avermi dato l’opportunità di partecipare a questo corso. Le conoscenze e le competenze acquisite mi saranno di grande aiuto nel mio percorso professionale e mi consentiranno di affrontare le sfide future con maggiore sicurezza e preparazione. Grazie di cuore.
• sono molto soddisfatto del corso. È stato un percorso formativo interessantissimo. I contenuti e l’esposizione sono sempre stati chiari e coinvolgenti. Organizzazione impeccabile e di qualità. Dunque, i miei complimenti a tutti. Grazie

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Verso la terza edizione

La terza edizione del nostro corso di Darkweb & Cyber Threat Intelligence è programmata per il prossimo ottobre. Siamo entusiasti di annunciare che abbiamo già ricevuto sei pre-iscrizioni. Considerando che il numero massimo di partecipanti è limitato a 12 persone per garantire una formazione altamente efficace e personalizzata, vi incoraggiamo a prenotare il vostro posto il prima possibile per non perdere questa opportunità esclusiva.

Con il successo di questo secondo corso, Red Hot Cyber è più determinata che mai a continuare a offrire programmi formativi all’avanguardia. Stiamo già lavorando alla pianificazione dei prossimi corsi e a nuove iniziative per mantenere la nostra community sempre aggiornata sulle ultime tendenze e minacce nel mondo della sicurezza informatica anche assieme al gruppo Dark Lab.

In conclusione, ringraziamo tutti coloro che hanno partecipato e contribuito a questo successo. Continuate a seguirci per aggiornamenti sui nostri prossimi corsi e iniziative. La sicurezza informatica è una sfida continua, e noi di Red Hot Cyber siamo pronti ad affrontarla insieme a voi.

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

L'articolo Red Hot Cyber Completa con Successo il Secondo Corso di Darkweb & Cyber Threat Intelligence proviene da il blog della sicurezza informatica.

Il gruppo ransomware RansomHub ha recentemente rivendicato un attacco informatico contro il gruppo ERMA Srl (ex ERMA-RTMO Spa).

ERMA RTMO. Si tratta di una azienda italiana specializzata nella lavorazione meccanica di precisione e nella produzione,. Offre una vasta gamma di servizi, tra cui la lavorazione CNC, la prototipazione e la realizzazione di componenti meccanici per diversi settori industriali.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Chi è RansomHub?

Il gruppo di hacker RansomHub, ha rivendicato l’attacco sul proprio sito di Data Leak Site (DLS). Secondo quanto riportato nella pagina “Informazioni” del gruppo, RansomHub è costituito da hacker provenienti da diverse località globali, uniti dall’obiettivo comune del guadagno finanziario. Il gruppo specifica esplicitamente il divieto di attacchi a determinati paesi e organizzazioni senza scopo di lucro.

RansomHub, una nuova piattaforma di ransomware-as-a-service (RaaS), è emersa nel febbraio 2024, prendendo di mira sistemi Windows, Linux ed ESXi con malware scritto in Go e C++. L’elevato tasso di commissione del 90% attira affiliati esperti, causando un aumento delle infezioni.

Gli affiliati di RansomHub hanno colpito diverse vittime in diciotto paesi, concentrandosi principalmente sul settore IT. Il ransomware sfrutta backup di cloud storage e istanze Amazon S3 mal configurate per estorcere le vittime. Insikt Group ha identificato sovrapposizioni di codice con ALPHV e Knight Ransomware, suggerendo potenziali collegamenti.

Il sito web della banda dichiara di non prendere di mira la Comunità degli Stati Indipendenti (CIS), Cuba, Corea del Nord e Cina. Sebbene possa sembrare una comunità globale di hacker, le loro operazioni ricordano notevolmente una tradizionale configurazione ransomware russa. È inoltre degno di nota il loro atteggiamento nei confronti delle nazioni affiliate alla Russia e la sovrapposizione delle aziende prese di mira con altri gruppi ransomware russi.

Il segmento “Right Protection” della sezione “About” delinea le linee guida per gli affiliati, sottolineando l’importanza della “coscienziosità”. Questa sezione rivela che RansomHub opera come un gruppo ransomware in collaborazione con i suoi affiliati, qualificandosi quindi come un gruppo Ransomware-as-a-Service (RaaS). Nel caso in cui un affiliato si rifiuti di inviare il decrittore dopo il pagamento, è possibile contattare RansomHub, che fornirà il decrittore gratuitamente. Ciò implica che il ransomware utilizzato dal gruppo è in grado di criptare i dati prima dell’esfiltrazione.

Il gruppo recluta i suoi affiliati principalmente dal forum RAMP (Russian Anonymous Market Place), frequentato prevalentemente da russi. Gli affiliati ricevono il 90% dei proventi, mentre il restante 10% va al gruppo principale. A differenza delle pratiche comuni, il denaro viene inizialmente inviato all’affiliato, una caratteristica molto apprezzata nella comunità dei ransomware.

Questo approccio risolve la sfiducia causata dalla truffa da 22 milioni di dollari di ALPHV, in cui gli affiliati non sono stati compensati, provocando una notevole sfiducia nell’ambiente Ransomware-as-a-Service (RaaS).

Il grafico seguente rappresenta l’attività di RansomHub per mese nel 2024, con il numero di incidenti indicato per ogni mese.

Come ben visibile dal grafico appena illustrato, nei primi mesi del 2024, l’attività di RansomHub è aumentata rapidamente. Da nessun incidente a Gennaio, si passa a 4 incidenti a Febbraio e poi a 18 incidenti a Marzo, 23 ad Aprile, raggiungendo un picco a Maggio 2024 con 27 esfiltrazioni mostrando una crescita esponenziale.

Come visibile nell’immagine di seguito, il messaggio di riscatto di RansomHub è molto simile ai tipici messaggi di ransomware, includendo l’avviso di criptazione dei dati, le procedure dettagliate necessarie per negoziare il pagamento del riscatto.

L’attacco a Erma-Group

L’attacco a Erma Group è stato annunciato da RansomHub il 18 Luglio 2024 sul loro Data Leak Site, dove hanno pubblicato alcuni dettagli relativi alla violazione.

Come visibile dall’immagine seguente, il team di hacker di RansomHub ha informato l’azienda Erma di aver avuto accesso alla sua rete per un lungo periodo, scaricando centinaia di gigabyte di dati aziendali (350 GB). Gli hacker minacciano di notificare ai clienti la violazione dei dati e di rendere pubblici i dettagli se non si raggiunge un accordo. RansomHub avverte che la divulgazione causerà danni significativi alla reputazione dell’azienda e che l’unico modo per evitare ciò è negoziare. Viene richiesto di nominare una persona responsabile per le trattative.

RansomHub ha fornito delle immagini di esempio di dati esfiltrati. Le immagini sembrano raffigurare FATTURE, E-MAIL, DOCUMENTI DI IDENTITÀ, suggerendo una vasta gamma di dati potenzialmente compromessi. Tuttavia, al momento, non possiamo confermare con certezza la veridicità della violazione, poiché il gruppo ERMA non ha ancora rilasciato alcun comunicato ufficiale sul proprio sito web o canali di riferimento riguardo l’incidente.

Ad oggi, Erma-group non ha rilasciato dichiarazioni ufficiali riguardo all’attacco. Questa assenza di risposta lascia molte questioni in sospeso riguardo alla portata della violazione e alle misure adottate per mitigare i danni. Senza un comunicato stampa o una conferma ufficiale, le informazioni disponibili devono essere considerate come “fonti di intelligence” piuttosto che come conferme definitive della fuga di dati.

Conclusioni

Senza dettagli concreti, è difficile valutare l’ampiezza e la gravità dell’attacco subito. In assenza di conferme ufficiali, le informazioni attualmente disponibili devono essere trattate con cautela e considerate come ipotesi piuttosto che fatti accertati. Le fonti di intelligence possono fornire indizi utili, ma non sostituiscono conferme ufficiali.

È probabile che Erma-group rilasci ulteriori comunicazioni in futuro per chiarire la situazione. La trasparenza e la chiarezza nella gestione della crisi saranno fondamentali per comprendere appieno le implicazioni dell’attacco e le strategie di risposta adottate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo RansomHub rivendica un attacco informatico all’italiana Erma-group proviene da il blog della sicurezza informatica.

Unless you hold a First Degree RF Wizard rating, chances are good that coax stubs seem a bit baffling to you. They look for all the world like short circuits or open circuits, and yet work their magic and act to match feedline impedances or even as bandpass filters. Pretty interesting behavior from a little piece of coaxial cable.

If you’ve ever wondered how stub filters do their thing, [Fesz] has you covered. His latest video concentrates on practical filters made from quarter-wavelength and half-wavelength stubs. Starting with LTspice simulations, he walks through the different behaviors of open-circuit and short-circuit stubs, as well as what happens when multiple stubs are added to the same feedline. He also covers a nifty online calculator that makes it easy to come up with stub lengths based on things like the velocity factor and characteristic impedance of the coax.

It’s never just about simulations with [Fesz], though, so he presents a real-world stub filter for FM broadcast signals on the 2-meter amateur radio band. The final design required multiple stubs to get 30 dB of attenuation from 88 MHz to 108 MHz, and the filter seemed fairly sensitive to the physical position of the stubs relative to each other. Also, the filter needed a little LC matching circuit to move the passband frequency to the center of the 2-meter band. All the details are in the video below.

It’s pretty cool to see what can be accomplished with just a couple of offcuts of coax. Plus, getting some of the theory behind those funny little features on PCBs that handle microwave frequencies is a nice bonus. This microwave frequency doubler is a nice example of what stubs can do.

youtube.com/embed/tQnCpV4L_6s?…

3D printing metal has been somewhat of a holy grail for the last decade in the hobby 3DP scene. We’ve seen a number of solutions, including using expensive filaments that incorporate metal into the usual plastic. In parallel, we’ve seen ceramic printers, and paste printers in general, coming into their own. What if you combined the two?

You’d get [Leah Buechly] et al’s CeraMetal process, which is the cheapest and most straightforward metal printing method we’ve seen to date. It all starts off with a custom bronze metal clay, made up of 100 g bronze powder, 0.17 g methyl cellulose, 0.33 g xanthan gum, and 9 g water. The water is fine-tuned to get the right consistency, and then it’s extruded and sintered.

The printer in question is an off-the-shelf ceramic printer that appears to use a pressurized clay feed into an augur, and prints on a linen bed. [Leah] had to write a custom slicer firmware that essentially runs in vase mode but incorporates infill as well, because the stop-start of normal slicers wreaked havoc with clay printing.

The part is then buried in activated carbon for support, and fired in a kiln. The result is a 3D printed bronze part on the cheap; the material cost is essentially just the cost of the metal powder and your effort.

We had never heard of metal clay before, but apparently jewelers have been using it for metals other than just bronze. The Metal Clay Academy, from the references section of the paper, is an amazing resource if you want to recreate this at home.

Paste printers are sounding more and more interesting. Obvious applications include printing chocolate and printing pancakes, but now that we’re talking metal parts with reasonably consistent shrinkage, they’ve got our attention.

When monitors around the world display a “Blue Screen of Death” and you know it’s probably your fault, it’s got to be a terrible, horrible, no good, very bad day at work. That’s likely the situation inside CrowdStrike this weekend, as engineers at the cybersecurity provider struggle to recover from an update rollout that went very, very badly indeed. The rollout, which affected enterprise-level Windows 10 and 11 hosts running their flagship Falcon Sensor product, resulted in machines going into a boot loop or just dropping into restore mode, leaving hapless millions to stare at the dreaded BSOD screen on everything from POS terminals to transit ticketing systems.

Tales of woe from the fallout from what’s being called “the largest IT outage in history” are pouring in, including this very bewildered game developer who while stranded at an airport had plenty of ponder about why CrowdStrike broke the cardinal rule of software development by rolling a change to production on a Friday. The good news is that there’s a workaround, but the bad news is that someone has to access each borked machine and manually delete a file to fix it. Current estimates place the number of affected machines at 8.5 million, so that’s a lot of legwork. There’s plenty of time after the fix is rolled out for a full accounting of the impact, including the search for the guilty and persecution of the innocent, but for now, let’s spare a moment’s pity for the devs who must be sweating things out this weekend.

Back in 2011, Craig Fugate of the Federal Emergency Management Agency said of disaster response in the southern US, “If you get there and the Waffle House is closed? That’s really bad.” Thus was born the “Waffle House Index,” an informal measure of a natural disaster’s impact based on where individual restaurants in the chain that prides itself on always being open are actually up and running. With over 1,900 locations in 25 states, you’d think it would cover just about any emergency, but desperate Texans eschewed the index during the recent extensive power outages in the Houston area caused by Hurricane Beryl by inventing the “Whattaburger Index.” We haven’t had the pleasure of this particular delicacy, but it seems Texans can’t get enough of the hamburger chain, enough so that their online app’s location map provides a pretty granular view of a wide swathe of Texas. Plus, the chain thoughtfully color-codes each location’s marker by whether it’s currently open or closed, making it a quick and easy way to check where the power is on or off — at least during regular business hours. Hat’s off to the enterprising Texans who figured this out, and here’s hoping that life has returned to normal for everyone by now.

While we’re generally not fans of Apple products, which seem overpriced and far too tightly controlled for our liking, we’ve been pretty impressed by some of the results people have reported using their Apple AirTags to recover lost or stolen items — this recent discovery of a cache of stolen tools (fourth item) comes to mind. Results such as that require a “me too” response from the Android side of the market, resulting in the Find My Device network that, perhaps unsurprisingly, doesn’t appear to work very well. The test was pretty much what you’d expect — drop an Android-compatible tag in the mail along with an AirTag and track their journey. The Android tag only reported in a couple of times, while the AirTag provided a comprehensive track of the parcel’s journey through the USPS. Our first thought is that this speaks mostly to the power of being first to market, allowing Apple to have a more completely built-out infrastructure. But this may say more about the previously mentioned flexibility of Android compared to Apple; we know we noped the hell out of participating in Find My Device as soon as it rolled out on our Android phone. Seems like a lot of Android users feel the same way.

And finally, while we haven’t checked out comments on this week’s podcast, we’re pretty sure we’re getting raked over the coals for betraying our ignorance of and lack of appreciation for the finer points of soccer, or football. Whatever you call it, we just don’t get it, but we do understand and agree with our own Lewin Day’s argument that instrument-enhanced officiating isn’t making the game any better. Our argument is that in any sport, the officials are like a third team, one that’s adversarial to both of the competing teams, hopefully equally so, and that giving them super-human abilities isn’t fair to the un-enhanced players on the field/pitch/court/ice. So it was with considerable dismay that we learned that Major League Baseball is experimenting with automatic umpires to call balls and strikes behind the plate. While you may not care about baseball, you have to appreciate the ability of an umpire to stand directly in the line of fire of someone who can hurl a ball fast enough to hit a strike zone about the size of a pizza box the ball in less than 500 milliseconds. Being able to determine if the ball ended up in or out of that box is pretty amazing, not to mention all the other things an umpire has to do to make sure the game is played by the rules. They’re not perfect, of course, and neither are the players, and half the fun of watching sports for us is witnessing the very human contest of wills and skills of everyone involved. It seems like a bad idea to take the humans out of that particular loop.

An annoying fridge that beeps incessantly when the door is open too long should be an easy enough thing to fix by disconnecting the speaker, but when as with [kennedn]’s model it’s plumbed in and the speaker is inaccessible, what’s to be done? The answer: create a mod chip for a fridge.

While the fridge electronics themselves couldn’t be reached, there was full access to a daughterboard with the fridge controls. It should be easy enough to use them to turn off the alarm, but first a little reverse engineering was required. It used a serial communication with an old-school set of shift registers rather than a microcontroller, but it soon became apparent that the job could be done by simply pulling the buttons down. In a move that should gladden the heart of all Hackaday readers then, the modchip in question didn’t even have to be a processor, instead it could be the venerable 555 timer. Our lives are complete, and the fridge is no longer annoying.

The 555 is unashamedly a Hackaday cliche, but even after five decades it still bears some understanding.