Introduction

Cybercriminals who specialize in ransomware do not always create it themselves. They have many other ways to get their hands on ransomware samples: buying a sample on the dark web, affiliating with other groups or finding a (leaked) ransomware variant. This requires no extraordinary effort, as source code is often leaked or published. With a set of standard tools and a freshly built (and sometimes slightly altered) ransomware sample, victims can be sought, and the malicious activity can spread.

In the past months, we released several private reports detailing exactly this. You will find a few excerpts from these below. To learn more about our crimeware reporting service, contact us at crimewareintel@kaspersky.com.

SEXi

This past April, IxMetro was hit by an attack that used a still-new ransomware variant dubbed “SEXi”. As the name suggests, the group focuses primarily on ESXi applications. In each of the cases we investigated, the victims were running unsupported versions of ESXi, and there are various assumptions about the initial infection vector.

The group deploys one of two types of ransomware variants depending on the target platform: Windows or Linux. Both samples are based on leaked ransomware samples, namely Babuk for the Linux version and Lockbit for Windows. This is the first time we’ve seen a group use different leaked ransomware variants for their target platforms.

Another thing that sets this group apart is their contact method. Attackers will typically leave a note with an email address or leak site URL in it, but in this case, the note contained a user ID associated with the Session messaging app. The ID belonged to the attackers and was used across different ransomware attacks and victims. This signifies a lack of professionalism, as well as the fact that the attackers did not have a TOR leak site.

Key Group

While the SEXi group has employed leaked ransomware variants from two malware families, other groups have taken this approach to a whole different level. For example, Key Group, aka keygroup777, has used no fewer than eight different ransomware families throughout their relatively short history (since April 2022) – see the image below.

Use of leaked ransomware builders by Key Group

We were able to link different variants to Key Group by their ransom notes. In a little over two years that the group has been active, they have adjusted their TTPs slightly with each new ransomware variant. For example, the persistence mechanism was always via the registry, but the exact implementation differed by family. Most of the time, autorun was used, but we’ve also seen them using the startup folder.

For example, UX-Cryptor added itself to the registry as shown below.
HKU\$usersid\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsInstaller" = "$selfpath -startup"
"MSEdgeUpdateX" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce
"System3264Wow" = "$selfpath --init"
"OneDrive10293" = "$selfpath /setup"
"WINDOWS" = "$selfpath --wininit"
While the Chaos ransomware variant copied itself to
$user\$appdata\cmd.exe and launched a new process, the new process in turn created a new file in the startup folder: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url. This contained the path to the ransomware file: URL=file:///$user\$appdata\cmd.exe.
Russian-speaking groups typically operate outside of Russia, but Key Group is an exception to this rule. Their operations are not very professional, as well as SEXi’s, and show a lack of comprehensive skills. For example, the main C2 channel is a GitHub repository, which makes them easier to track, and communication is maintained over Telegram rather than a dedicated server on the TOR network.

Mallox

Mallox is another relatively new ransomware variant that first came to light in 2021 and kicked off an affiliate program in 2022. The way the authors obtained the source code is unclear — they could have written it from scratch, used a published or a leaked one, or purchased it, as they claim. Since Mallox is a lesser-known and hence, also less-documented, ransomware variant compared to the likes of Lockbit and Conti, we decided to cover Mallox in this post.

Although starting as a private group conducting their own campaigns, Mallox launched an affiliate program shortly after inception. Interestingly, the group only wants to do business with Russian-speaking affiliates and not with English-speaking ones, they do not welcome novices as well. They are also very explicit about what types of organizations affiliates should infect: no less than $10 million in revenue and no hospitals or educational institutions.

Mallox uses affiliate IDs, making it possible to track affiliate activity over the course of time. In 2023, there were 16 active partners, which explains the spike in activity, most notably in the spring and autumn of 2023 as evidenced by the PE timestamp.

Number of discovered Mallox samples by PE timestamp (download)

In 2024, only eight of the original affiliates were still active, with no newcomers. Aside from this, Mallox has all the typical Big Game Hunting attributes that other groups also have, such as a leak site, a server hosted on TOR, and others.

Conclusion

Getting into the ransomware business has never been too difficult. Of-the-shelf solutions have been available, or else one could become an affiliate and outsource many tasks to others. Initially, with tools like Hidden Tear, the impact was relatively low: the tools were easy to detect and contained implementation errors, which helped decryption. They targeted regular consumers rather than large organizations. This has changed these days, as the impact can be much bigger with the advent of the Big Game Hunting era and the release of “professional” ransomware variants, which can affect entire companies, organizations, hospitals and so on. Such samples are more efficient in terms of speed, configurability, command line options, platform support and other features. That said, while getting your hands on a “professional” ransomware variant might be easy, the whole process of exploiting and exploring an organization can be quite time consuming, if not impractical, for newbies.

We also see that groups using leaked variants seldom look professional, with Key Group and SEXi among the examples of this. The reason why they are effective is either that they are able to set up a successful affiliate scheme (Key Group), or that they have found a niche where they can deploy their ransomware effectively (SEXi). In these two scenarios, the leaking or publication of ransomware variants can be considered a threat to organizations and individuals.

If you would like to stay up to date on the latest TTPs being used by criminals, or if you have questions about our private reports, contact us at crimewareintel@kaspersky.com.

Indicators of compromise

SEXi
4e39dcfb9913e475f04927e71f38733a
0a16620d09470573eeca244aa852bf70

Key Group
bc9b44d8e5eb1543a26c16c2d45f8ab7
acea7e35f8878aea046a7eb35d0b8330

Mallox
00dbdf13a6aa5b018c565f4d9dec3108
01d8365e026ac0c2b3b64be8da5798f2

securelist.com/sexi-key-group-…

Photons are particles of light, or waves, or something like that, right? [Mithuna Yoganathan] explains this conundrum in more detail than you probably got in your high school physics class.

While quantum physics has been around for over a century, it can still be a bit tricky to wrap one’s head around since some of the behaviors of energy and matter at such a small scale aren’t what we’d expect based on our day-to-day experiences. In classical optics, for instance, a brighter light has more energy, and a greater amplitude of its electromagnetic wave. But, when it comes to ejecting an electron from a material via the photoelectric effect, if your wavelength of light is above a certain threshold (bigger wavelengths are less energetic), then nothing happens no matter how bright the light is.

Scientists pondered this for some time until the early 20th Century when Max Planck and Albert Einstein theorized that electromagnetic waves could only release energy in packets of energy, or photons. These quanta can be approximated as particles, but as [Yoganathan] explains, that’s not exactly what’s happening. Despite taking a few classes in quantum mechanics, I still learned something from this video myself. I definitely appreciate her including a failed experiment as anyone who has worked in a lab knows happens all the time. Science is never as tidy as it’s portrayed on TV.

If you want to do some quantum mechanics experiments at home (hopefully with more luck than [Yoganathan]), then how about trying to measure Planck’s Constant with a multimeter or LEGO? If you’re wondering how you might better explain electromagnetism to others, maybe this museum exhibit will be inspiring.

youtube.com/embed/Z8Fo2xZjpiE?…

Standardization might sound boring, but it’s really a great underlying strength of modern society. Everyone agreeing on a way that a certain task should be done saves a lot of time, energy, and money. But it does take a certain amount of consensus-building, and at the time [JC]’s HVAC system was built the manufacturers still hadn’t agreed on a standard control scheme for these machines yet. But with a little ingenuity and an Arduino, the old HVAC system can be given a bit of automatic control.

The original plan for this antiquated system, once off-the-shelf solutions were found to be incompatible, was to build an interface for the remote control. But this was going to be overly invasive and complex. Although the unit doesn’t have a standard remote control system, it does have extensive documentation so [JC] was able to build a relay module for it fairly easily with an Arduino Nano Matter to control everything and provide WiFi functionality. It also reports the current status of the unit and interfaces with the home automation system.

While some sleuthing was still needed to trace down some of the circuitry of the board to make sure everything was wired up properly, this was a much more effective and straightforward (not to mention inexpensive) way of bringing his aging HVAC system into the modern connected world even through its non-standardized protocols. And, although agreeing on standards can sometimes be difficult, they can also be powerful tools once we all agree on them.

Many makers start by building mock-ups from cardboard, but [Alex-08] has managed to build an R/C plane that actually flies, out of cardboard.

If you’ve been thinking of building an R/C plane from scratch yourself, this guide is an excellent place to start. [Alex-08] goes through excruciating detail on how he designed and constructed this marvel. The section on building the wings is particularly detailed since that’s the most crucial element in making sure this plane can get airborne.

Some off-the-shelf R/C parts and 3D printed components round out the parts list to complement the large cardboard box used for most of the structural components. The build instructions even go through some tips on getting that vintage aircraft feel and how to adjust everything for a smooth flight.

Need a wind tunnel instead? You can build that out of cardboard too. If paper airplanes are more your thing, how about launching them from space? And if you’re just trying to get a head start on Halloween, why not laser cut an airplane costume from cardboard?

[Aaron Lager]’s Pi-O-Scope-Pong project takes a minimal approach to Pong by drawing on an oscilloscope to generate crisp paddles and ball. A Raspberry Pi takes care of the grunt work of signal generation, and even uses the two joysticks of an Xbox controller (connected to the Pi over Bluetooth) for inputs.

Originally, [Aaron] attempted to generate the necessary signals directly from the Pi’s PWM outputs by doing a little bit of RC filtering on the outputs, but was repulsed by the smeary results. The solution? An old but perfectly serviceable 8-bit MAX506 DAC now handles crisping up the visuals with high-quality analog outputs. Code is available on the project’s GitHub repository.

There isn’t any score-keeping or sound, but one thing that it has over the original Pong is a round ball. The ball in the original Pong game was square, but mainly because cost was a concern during design and generating a round ball would have ballooned the part count.

In many ways, Pong itself is a great inspiration for the Tiny Games Challenge, because the simplicity of its gameplay was likely a big part of its success.

youtube.com/embed/WMYsr0fLufo?…

Pity the video team at a large hacker camp, because they have a huge pile of interesting talks in the can but only the limited resources of volunteers to put them online. Thus we often see talks appearing from past camps, and such it is with one from Electromagnetic Field 2022. It’s from [Sarah Angliss], and as its subject it takes the extraordinary work of [Muriel Howorth], a mid-20th-century British proponent of irradiated seeds as a means to solve world hunger.

Today we are used to genetic modification in the context of plants, and while it remains a controversial subject, the science behind it is well known. In the period following the Second World War there was a different approach to improving crops by modifying their genetics: irradiating seeds in a scattergun approach to genetic modification, in the hope that among thousands of duds there might be a mutant with special properties.

To this came Muriel Howorth, at first charged with telling the story of atomic research for the general public. She took irradiated seeds from Oak Ridge in the USA, and turned them into a citizen science program, with an atomic gardening society who would test these seeds and hopefully, find the supercrops within. It’s a wonderfully eccentric tale that might otherwise be the plot of a Wallace and Gromit movie, and but for a few interested historians of popular science it might otherwise have slipped into obscurity. We’re sorry we didn’t catch this one live back when we attended the event.

media.ccc.de/v/emf2022-353-the…

In the previous article we looked at designing a lock-free ring buffer (LFRB) in Ada, contrasting and comparing it with the C++-based version which it is based on, and highlighting the Ada way of doing things. In this article we’ll cover implementing the LFRB, including the data request task that the LFRB will be using to fill the buffer with. Accompanying the LFRB is a test driver, which will allow us to not only demonstrate the usage of the LFRB, but also to verify the correctness of the code.

This test driver is uncomplicated: in the main task it sets up the LFRB with a 20 byte buffer, after which it begins to read 8 byte sections. This will trigger the LFRB to begin requesting data from the data request task, with this data request task setting an end-of-file (EoF) state after writing 100 bytes. The main task will keep reading 8-byte chunks until the LFRB is empty. It will also compare the read byte values with the expected value, being the value range of 0 to 99.

Test Driver

The Ada version of the test driver for the LFRB can be found in the same GitHub project as the C++ version. The file is called test_databuffer.adb and can be found in the ada/reference/ folder. The Makefile to build the reference project is found in the /ada folder, which requires an Ada toolchain to be installed as well as Make. For details on this aspect, see the first article in this series. When running make in the folder, the build files are placed under obj/ and the resulting binary under bin/.

The LFRB package is called LFRingDataBuffer, which we include along with the dataRequest package that contains the data request task. Obviously, since typing out LFRingDataBuffer over and over would be tiresome, we rename the package:
with LFRingDataBuffer;
with dataRequest; use dataRequest;

procedure test_databuffer is
package DB renames LFRingDataBuffer;
[..]
After this we can initialize the LFRB:
initret : Boolean;
[..]
initret := DB.init(20);
if initret = False then
put_line("DB Init failed.");
return;
end if;
Before we start reading from the LFRB, we create the data request task:
drq : DB.drq_access;
[..]
drq := new dataRequestTask;
DB.setDataRequestTask(drq);
This creates a reference to a dataRequestTask instance, which is found in the dataRequest package. We pass this reference to the LFRB so that it can call entries on it, as we will see in a moment.

After this we can start reading data from the LFRB in a while loop:
bytes : DB.buff_array (0..7);
read : Unsigned_32;
emptied : Boolean;
[..]
emptied := False;
while emptied = False loop
read := DB.read(8, bytes);
[..]
if DB.isEoF then
emptied := DB.isEmpty;
end if;
end loop;
As we know what the value of each byte we read has to be, we can validate it and also print it out to give the user something to look at:
idx : Unsigned_32 := 0;
[..]
idx := 0;
for i in 0 .. Integer(read - 1) loop
put(Unsigned_8'Image(bytes(idx)) & " ");
if expected /= bytes(idx) then
aborted := True;
end if;

idx:= idx + 1;
expected := expected + 1;
end loop;
Of note here is that put() from the Ada.Text_IO package is similar to the put_line() procedure except that it doesn’t add a newline. We also see here how to get the string representation of an integer variable, using the 'Image attribute. For Ada 2012 we can use it in this fashion, though since 2016 and in Ada 2022 we can also use it directly on a variable, e.g.:
put(bytes(idx)'Image & " ");
Finally, we end the loop by checking both whether EoF is set and whether the buffer is empty:
if DB.isEoF then
emptied := DB.isEmpty;
end if;
With the test driver in place, we can finally look at the LFRB implementation.

Initialization

Moving on to the LFRB’s implementation file (lfringdatabuffer.adb), we can in the init procedure see a number of items which we covered in the previous article already, specifically the buffer type and its allocation, as well as the unchecked deallocation procedure. All of the relevant variables are set to their appropriate value, which is zero except for the number of free bytes (since the buffer is empty) and the last index (capacity – 1).

Flags like EoF (False) are also set to their starting value. If we call init with an existing buffer we first delete it before creating a new one with the requested capacity.

Reading

Simplified layout of a ring buffer.
Moving our attention to the read function, we know that the buffer is still empty, so nothing can be read from the buffer. This means that the first thing we have to do is request more data to fill the buffer with. This is the first check in the read function:
if eof = false and len > unread then
put_line("Requesting data...");
requestData;
end if;
Here len is the requested number of bytes that we intend to read, with unread being the number of unread bytes in the buffer. Since len will always be more than zero (unless you are trying to read zero bytes, of course…), this means that we will call the requestData procedure. Since it has no parameters we omit the parentheses.

This procedure calls an entry on the data request task before waiting for data to arrive:
dataRequestPending := True;
readT.fetch;

while dataRequestPending = True loop
delay 0.1; -- delay 100 ms.
end loop;
We set the atomic variable dataRequestPending which will be toggled upon a write action, before calling the fetch entry on the data request task reference which got passed in from the test driver earlier. After this we loop with a 100 ms wait until the data has arrived. Depending on the context, having a time-out here might be desirable.

We can now finally look at the data request task. This is found in the reference folder, with the specification ([url=https://github.com/MayaPosch/LockFreeRingBuffer/blob/master/ada/reference/dataRequest.ads]dataRequest.ads[/url]) giving a good idea of what the Ada rendezvous synchronization mechanism looks like:
package dataRequest is
task type dataRequestTask is
entry fetch;
end dataRequestTask;
end dataRequest;
Unlike an Ada task, which is auto-started with the master task to which the subtask belongs, a task type can be instantiated and started at will. To communicate with the task we use the rendezvous mechanism, which presents an interface (entries) to other tasks that are effectively like procedures, including the passing of parameters. Here we have defined just one entry called fetch, for hopefully obvious reasons.

The task body is found in [url=https://github.com/MayaPosch/LockFreeRingBuffer/blob/master/ada/reference/dataRequest.adb]dataRequest.adb[/url], which demonstrates the rendezvous select loop:
task body dataRequestTask is
[..]
begin
loop
select
accept fetch do
[..]
end fetch;
or
terminate;
end select;
end loop;
end dataRequestTask;
To make sure that the task doesn’t just exit after handling one call, we use a loop around the select block. By using or we can handle more than one call, with each entry handler (accept) getting its own section so that we can theoretically handle an infinite number of entries with one task. Since we only have one entry this may seem redundant, but to make sure that the task does exit when the application terminates we add an or block with the terminate keyword.

With this structure in place we got a basic rendezvous-enabled task that can handle fetch calls from the LFRB and write into the buffer. Summarized this looks like the following:
data : DB.buff_array (0..9);
wrote : Unsigned_32;
[..]
wrote := DB.write(data);
put_line("Wrote " & Unsigned_32'Image(wrote) & HT & "- ");
Here we can also see the way that special ASCII characters are handled in Ada’s Text_IO procedures, using the [url=https://en.wikibooks.org/wiki/Ada_Programming/Libraries/Ada.Characters.Latin_1?useskin=vector]Ada.Characters.Latin_1[/url] package. In this case we concatenate the horizontal tab (HT) character.

Skipping ahead a bit to where the data is now written into the LFRB’s buffer, we can read it by first checking how many bytes can be read until the end of the buffer (comparing the read index with the buffer end index). This can result in a number of of outcomes: either we can read everything in one go, or we may need to read part from the front of the buffer, or we have fewer bytes left unread than requested. These states should be fairly obvious so I won’t cover them here in detail, but feel free to put in a request.

To take the basic example of reading all of the requested bytes in a single chunk, we have to read the relevant indices of the buffer into the bytes array that was passed as a bidirectional parameter to the read function:
function read(len: Unsigned_32; bytes: in out buff_array) return Unsigned_32 is
This is done with a single copy action and an array slice on the (dereferenced) buffer array:
readback := (read_index + len) - 1;
bytes := buffer.all(read_index .. readback);
We’re copying into the entire range of the target array, so no slice is necessary here. On the buffer array, we start at the first unread byte (read_index), with that index plus the number of bytes we intend to read as the last byte. Minus one due to us starting the array with zero instead of 1. This would be a handy optimization, but since we’re a stickler for tradition, this is what we have to live with.

Writing

Writing into the buffer is easier than reading, as we only have to concern ourselves with the data that is in the buffer. Even so it is quite similar, just with a focus on free bytes rather than unread ones. Hence we start with looking at how many bytes we can write:
locfree : Unsigned_32;
bytesSingleWrite: Unsigned_32;
[..]
locfree := free;
bytesSingleWrite := free;
if (buff_last - data_back) < bytesSingleWrite then
bytesSingleWrite := buff_last - data_back + 1;
end if;
We then have to test for the different scenarios, same as with reading. For example with a straight write:
if data'Length <= bytesSingleWrite then
writeback := (data_back + data'Length) - 1;
buffer.all(data_back .. writeback) := data;
elsif
[..]
end if;
Of note here is that we can obtain the size of a regular array with the 'Length attribute. Since we can write the whole chunk in one go, we set the slice on the target (the dereferenced buffer) from the write index (data_back) to (and including) the size of the data we’re writing (minus one, because tradition). If we have to do partial copying of the data we need to use array slices here as well, but here it is only needed on the buffer.

Finally, we have two more items to take care of in the write function. The first is letting the data request procedure know that data has arrived by setting dataRequestPending to false. The other is to check whether we can request more data if there is space in the buffer:
if eof = true then
null;
elsif free > 204799 then
readT.fetch;
end if;
There are a few notable things in this code. The first is that Ada does not allow you to have empty blocks, but requires you to mark those with null. The other is that magic numbers can be problematic. Originally the fixed data request block size in NymphCast was 200 kB before it became configurable. If we were to change the magic number here to e.g. 10 (bytes), we’d call the fetch entry on the data request task again on the first read request, getting us a full buffer.

EoF

With all of the preceding, we now have a functioning, lock-free ring buffer in Ada. Obviously we have only touched on the core parts of what makes it tick, and skimmed over the variables involved in keeping track of where what is going and where it should not be, not to mention how much. Much of this should be easily pieced together from the linked source files, but can be expanded upon, if desired.

Although we have a basic LFRB now, the observing among us may have noticed that most of the functions and procedures in the Ada version of the LFRB as located on GitHub are currently stubs, and that the C++ version does a lot more. Much of this functionality involves seeking in the buffer and a number of other tasks that make a lot of sense when combined with a media player like in NymphCast. These features will continue to be added over time as the LFRB project finds more use, but probably aren’t very interesting to cover.

Feel free to sound off in the comments on what more you may want to see involving the LFRB.

[mitxela] has a tiny problem, literally: some of his projects are so small as to defy easy programming. While most of us would probably solve the problem of having no physical space on a board to mount a connector with WiFi or Bluetooth, he took a different path and gave this clever light-based programming interface a go.

Part of the impetus for this approach comes from some of the LED-centric projects [mitxela] has tackled lately, particularly wearables such as his LED matrix earrings or these blinky industrial piercings. Since LEDs can serve as light sensors, albeit imperfect ones, he explored exactly how to make the scheme work.

For initial experiments he wisely chose his larger but still diminutive LED matrix badge, which sports a CH32V003 microcontroller, an 8×8 array of SMD LEDs, and not much else. The video below is a brief summary of the effort, while the link above provides a much more detailed account of the proceedings, which involved a couple of false starts and a lot of prototyping that eventually led to dividing the matrix in two and ganging all the LEDs in each half into separate sensors. This allows [mitxela] to connect each side of the array to the two inputs of an op-amp built into the CH32V003, making a differential sensor that’s less prone to interference from room light. A smartphone app alternately flashes two rectangles on and off with the matrix lying directly on the screen to send data to the badge — at a low bitrate, to be sure, but it’s more than enough to program the badge in a reasonable amount of time.

We find this to be an extremely clever way to leverage what’s already available and make a project even better than it was. Here’s hoping it spurs new and even smaller LED projects in the future.

youtube.com/embed/IHD3ji-F600?…

Il terzo audio della neonata (ed estiva...) serie video di commento "riga per riga" alla Relazione annuale 2023 del Garante per la Protezione dei Dati italiano riguarda il capitolo su GDPR, Codice Privacy, protezione dei dati e sanità.

SI tratta di una parte interessantissima: FSE, dossier sanitario, piattaforma nazionale di telemedicina, cimitero dei feti, ransomware e attacchi alle strutture sanitarie, errori di comunicazione causati da pazienti omonimi, e-mail inviate con tutti gli indirizzi visibili in cc, VPN e doppio fattore di autenticazione, profili di autorizzazione errati, e tanto altro.

zerodays.podbean.com/e/la-rela…

L'audio del video che ho preparato su YouTube per commentare la relazione 2023 del Garante per la Protezione dei Dati Personali italiano.

Per vedere la versione con il documento e le mie evidenziazioni, è opportuno collegarsi al canale YouTube e vedere il video.

Questa è la seconda parte (GDPR e Pubblica Amministrazione)

zerodays.podbean.com/e/la-rela…

L'audio del video che ho preparato su YouTube per commentare la relazione 2023 del Garante per la Protezione dei Dati Personali italiano.

Per vedere la versione con il documento e le mie evidenziazioni, è opportuno collegarsi al canale YouTube e vedere il video.

zerodays.podbean.com/e/la-rela…

Se le Intelligenze Artificiali sono diventate di moda con i Large Language Model come ChatGPT e simili, diverso è per le intelligenze che si cimentano nella risoluzione di problemi matematici dove sino a poco tempo fa non vi erano grandi risultati.

Eppure qualcosa sta cambiando grazie a due nuovi sistemi: AlphaProof e AlphaGeometry 2, i due sistemi, lavorando assieme, sono riusciti a risolvere quattro su sei problemi delle Olimpiadi Internazionali di Matematica.

I due sistemi appartengono a Google DeepMind e hanno così raggiunto un ottimo livello, paragonabile ad una medaglia d’argento.

I sei problemi sono stati tradotti in linguaggio matematico e sottoposti ai due sistemi di Google DeepMind che hanno impiegato circa tre giorni a risolverli.I problemi riguardavano l’algebra, la teoria dei numeri e due problemi di calcolo combinatorio, gli ultimi due rimasti irrisolti dealle AI. Hanno fatto meglio 58 concorrenti umani su 609 partecipanti.

AlphaProof è un sistema autoaddestrato alla verifica di costrutti matematici con l’uso del linguaggio formale Lean, accoppiato con un modello di linguaggio preaddestrato attraverso l’algoritmo AlphaZero autoaddestrato su alcuni giochi come gli scachi, Shogi e Go.

AlphaGeometry 2 invece è un sistema ibrido neuro-simbolico basato su un modello di linguaggio chiamato Gemini.

Lo sviluppo di sistemi di AI come AlphaProof, AlphaGeometry 2 e Gemini si preannuncia molto promettente, vedremo l’anno prossimo cosa accadrà alle Olimpiadi Internazionali di Matematica.

Nel mentre ci resta solo da esprimere un pensiero riguardo l’importanza che avrà in futuro, dal punto di vista geopolitico, avere la primazia nello specifico settore della AI matematica.

Lo stato, o meglio, gli stati contendenti non sono tanti: Stati Uniti e Cina davanti a tutti!

L'articolo L’AI avanza in matematica e ragionamento logico proviene da il blog della sicurezza informatica.

Il fondatore di Telegram , Pavel Durov, ha affermato di avere più di 100 figli biologici e prevede di aprire l’accesso al suo DNA per aiutarli a trovarlo. Durov ha condiviso questa notizia sul suo canale Telegram.

Quindici anni fa, un amico chiese a Durov di donare lo sperma ad una clinica a causa di problemi di concepimento. Secondo Durov, il direttore della clinica ha affermato che mancava “materiale di qualità per i donatori” e ha suggerito di aiutare in modo anonimo più coppie. Questa proposta gli sembrò piuttosto interessante e accettò.
Mi hanno appena detto che ho più di 100 figli biologici. Com'è possibile per un uomo che non è mai stato sposato e preferisce vivere da solo?

Quindici anni fa, un mio amico mi ha avvicinato con una strana richiesta. Mi disse che lui e sua moglie non potevano avere figli a causa di un problema di fertilità e mi chiese di donare lo sperma in una clinica per avere un bambino. Mi sono messo a ridere a crepapelle prima di rendermi conto che era molto serio.

Il capo della clinica mi ha detto che "il materiale dei donatori di alta qualità" scarseggiava e che era mio dovere civico donare più sperma per aiutare anonimamente più coppie. Sembrava abbastanza folle da indurmi a iscrivermi alla donazione di sperma.

Nel 2024, la mia attività di donazione passata ha aiutato più di cento coppie in 12 Paesi ad avere figli. Inoltre, molti anni dopo aver smesso di essere un donatore, almeno una clinica di fecondazione assistita ha ancora il mio sperma congelato disponibile per l'uso anonimo da parte di famiglie che vogliono avere figli.

Ora ho intenzione di rendere disponibile il mio DNA in modo che i miei figli biologici possano trovarsi più facilmente. Naturalmente ci sono dei rischi, ma non mi pento di essere stato un donatore. La carenza di sperma sano è diventata un problema sempre più grave in tutto il mondo, e sono orgoglioso di aver fatto la mia parte per contribuire ad alleviarlo.

Voglio anche contribuire a destigmatizzare l'intero concetto di donazione di sperma e incentivare più uomini sani a farlo, in modo che le famiglie che lottano per avere figli possano avere più opzioni. Sfidare le convenzioni - ridefinire la norma!
Dopo 15 anni si è saputo che il suo materiale donato aveva aiutato più di 100 famiglie in 12 paesi diversi. Lo sperma di Durov è ancora conservato in una delle cliniche IVF di Mosca. Ora Durov intende aprire l’accesso al suo DNA in modo che i suoi figli biologici possano ritrovarsi.

Durov ha sottolineato che non si pente della sua decisione di diventare donatore, nonostante i possibili rischi. Ha sottolineato che il problema della carenza di sperma sano sta diventando sempre più acuto in tutto il mondo ed ha espresso orgoglio per aver contribuito a risolvere questo problema.

Inoltre, il fondatore di Telegram vuole contribuire a ridurre lo stigma associato alla donazione di sperma e incoraggiare gli uomini più sani a diventare donatori, in modo che le famiglie che hanno difficoltà a concepire abbiano più opzioni.

Nel mondo moderno, il tema della riduzione del tasso di natalità e della diffusione dei propri geni è diventato popolare tra le élite. Promettendo di “scoprire il proprio DNA”, Durov offre un nuovo approccio per gli individui facoltosi che desiderano lasciare il segno nel futuro.

Questa notizia, come lo stesso post di Durov, ha suscitato un’ampia risonanza e opinioni diverse, riflettendo il complesso atteggiamento della società nei confronti delle questioni relative alla donazione e ai valori della famiglia.

L'articolo L’Incredibile Storia del fondatore di Telegram: Oltre 100 Figli e una Iniziativa per il Suo DNA proviene da il blog della sicurezza informatica.

A seguito dell’assassinio del capo politico di Hamas Ismail Haniyeh (rieletto nel 2021) nella capitale iraniana Teheran, è stato convocato ieri il Consiglio di Sicurezza: tra i membri si teme una seria e pericolosa escalation e non si è potuto che evidenziare la grave cirisi in atto, gli attacchi nel Golan occupato da Isreale, gli intensi scambi attravrso la Linea Blu che separa le forze armate di Libano e Isarele, lo sfollamento del 90% della popolazione dalla Striscia di Gaza e l’uccisione di 39.400 vittime, 91.000 feriti a Gaza dall’ottobre 2023, compresi la morte di civili israeliani e gli ostaggi israeliani, uccisi o morti sotto i bombardamenti, a cui si aggiungono le vittime delle regioni interessate sotto l’attacco mortale di droni armati, missili, “atroci crimini di guerra ed enormi violazioni dei diritti umani”.

L’appello è quello di una risoluzione diplomatica rapida ed efficace ma la riacutizzazione delle ostilità è evidente. Il momento è “estremamente delicato” ha ribadito il Segretario generale delle Nazioni Unite António Guterres, “la moderazione da sola non è sufficiente”. Nel frattempo gli Stati Uniti ribadiscono il sostegno ad Israele ma affermano di non volere in alcun modo un’escalation. Per quanto riguarda l’Iran probabilmente “ritiene di non avere altra scelta se non quella di rispondere per scoraggiare ulteriori attacchi israeliani, proteggere la propria sovranità e mantenere la propria credibilità presso i partner regionali”, ha affermato Ali Vaez, direttore iraniano dell’International Crisis Group secondo Israel Hayom.

Ismail Haniyeh: la teoria del rintracciamento tramite Whatssap regge poco

“È interessante notare” evidenzia intelligentemente la Duhaime “che i riciclatori di denaro e la criminalità organizzata sanno di essere geolocalizzati se usano WhatsApp ma non Hamas”. _ Christine Duhaimem, Fusion Intelligence

Iniziano a correre le voci sull’assasinio di Ismail Haniyeh nel territorio iraniano e una tra queste è quella del giornalista libanese Elijah J. Magnier che evidenzia l’alto livello di intelligence e di successo operativo nell’uccisione non solo del leader politico di Hamas nel cuore di Teheran, ma anche quella di Hajj Mohsen-Fouad Shukr – assistente del capo del Consiglio della Jihad di Hezbollah Sayyed Hassan Nasrallah – ucciso al settimo piano della casa che occupava.

Noi non siamo assolutamente a conoscenza di come Haniyeh sia stato intercettato ci limitiamo in questo capitolo a presentare la teoria del rintracciamento dell’uomo tramite l’applicazione di messaggistica whatsapp, teoria apparsa su Reddit e X che sembra al momento fare parte di una “teoria del complotto” per prendere di mira Israele e di conseguenza il co-fondatore di Whatssap, Yan Borysovych Koum che però ha lasciato – annunciandolo – la compagnia nel 2018.

Secondo una fonte citata da Magnier, Israele avrebbe piazzato un sofisticato spyware – simile a Pegasus della NSO – tramite un messaggio WhatsApp inviato ad Ismail Haniyeh: questo avrebbe permesso di localizzare la sua posizione esatta all’interno del suo appartamento in seguito ad una conversazione avuta con suo figlio. L’utilizzo di questi software, secondo Magnier, sottolineerebbero non solo ancora una volta l’utilizzo di tattiche di guerra informatica nelle operazioni di intelligence, per la raccolta di informazioni, le uccisioni mirate e l’esecuzione di attacchi strategici ma notevoli preoccupazioni sulla privacy e l’uso improprio di questi software sbarcati anche sul mercato nero.

Il precedente, ha sottolineato Christine Duhaime di Fusion Intelligence, c’è, Si tratta di una tecnologia venuta alla luce la prima volta a Vancouver (Canada) nel 2017, quando la Cina stava cercando dei criminali fuggiti dal paese con centinaia di milioni di dollari, “È interessante notare” evidenzia intelligentemente la Duhaime “che i riciclatori di denaro e la criminalità organizzata sanno di essere geolocalizzati se usano WhatsApp ma non Hamas”. Questo ci dovrebbe far capire che la teoria whatsapp non regge moltissimo, soprattutto se esternata prima che le indagini ufficiali vengano compiute. Le informazioni vanno controllate e verificate.

Dall’altra parte però indagine di Forbes (2022) viene evidenziato invece come le agenzie federali statunitensi utilizzino “una legge americana sulla sorveglianza vecchia di 35 anni per tracciare segretamente gli utenti di WhatsApp senza alcuna spiegazione del perché e senza sapere chi stanno prendendo di mira”. Nel gennaio del 2022 in Ohio, è emerso che nel novembre del 2021 gli investigatori della DEA avevano chiesto alla società di messaggistica di proprietà di Facebook di tracciare sette utenti con sede in Cina e Macao, monitorando i loro indirizzi IP ei numeri con cui comunicavano.

Consiglio di Sicurezza, Iran: l’omicidio è un atto di terrore

Nelle prime ore di mercoledì 31 luglio, Hamas Ismail Haniyeh e le sue guardie di sicurezza sono stati uccisi a Teheran, Iran, dove si trovavano per partecipare alla cerimonia di insediamento del nuovo presidente iraniano Masoud Pezeshkian. Un razzo li ha colpiti in modo diretto: i media statali iraniani IRNA, hanno avvisato che un “proiettile guidato aviotrasportato” aveva preso di mira l’edificio alle due di notte. Il gruppo palestinese Hamas ha emesso immediatamente una dichiarazione di cordoglio, “A Dio apparteniamo e a Lui ritorneremo. Ed è una lotta, una vittoria o un martirio”, accusando Israele. Tuttavia Israele non ha ancora confermato né smentito il suo coinvolgimento. L’ambasciatore degli Stati Uniti, Robert Wood e il vice rappresentante, hanno sottolineato il diritto di autodifesa di Israele, affermando che non è in alcun modo coinvolto negli attacchi al Libano o “nell’apparente” morte del leader di Hamas Ismail Haniyeh. Che fosse un target – insieme a Mohammed Deif (comandante dell’ala militare di Hamas, Brigate Izz el-Deen al-Qassam la cui morte è stata annunciata oggi), Marwan Issa, Yahya Sinwar o Khaled Meshaal – però è risaputo e secondo il canale televisivo France 24 Inoltre Haniyeh figurava dal 2018 nella lista americana dei terroristi globali appositamente designati (SDGT).

Questo è e rimane un evento significativo del conflitto attuale in Medio Oriente che ha portato ripercussioni su tutta la regione e su Teheran che innalzato la bandiera rossa: non a caso ieri la missione dell’Iran alle Nazioni Unite ha sollecitato l’urgente riunione del Consiglio di Sicurezza per “condannare in modo inequivocabile e forte gli atti di aggressione e gli attacchi terroristici da parte del regime israeliano alla sovranità e all’integrità territoriale dell’Iran”.

Nella lettera che chiedeva l’urgente convocazione l’Iran ha precisato: “Questo atto” non sarebbe potuto avvenire senza l’autorizzazione e il supporto dell’intelligence degli Stati Uniti”, come alleato strategico e sottolineava l’attacco all’integrità del territorio iraniano., chiedendo al consiglio di punire questo atto con sanzioni per punire le ennesime violazioni del diritto internazionale. Parole che al Conisglio di Sicurezza sono state interpretate come ipocrite dall’ambasciatore israeliano Brett Jonathan Miller, poiché l’incontro è stato chiamato dallo “sponsor numero uno al mondo del terrorismo”.

Morte sembra richiamare morte all’infinito. Questa volta l’unione delle forze della regione sembra compatta. Iran, Iraq, Siria, Libano e Palestina hanno condannato l’assassinio di Ismail Haniyeh. Per quanto riguarda il grave crimine commesso nel Golan dove sono morti 12 bambini innocenti, l’ambasciatore siriano Koussay Aldahhak ha affermato che l’entità occupante israeliana “ha commesso un grave crimine” a Majdal Shams sulle alture di Golan occupate da Israele, che “è ed è sempre stato” territorio siriano sottolineando che una potenza occupante “non può affermare di difendersi ai sensi dell’articolo 51 della Carta delle Nazioni Unite”. L’ambasciatore del Libano, Hadi Hachem, invece ha affermato di non volere la guerra ma la fine dell’occupazione israeliana delle terre arabe è essenziale per ritornare alla stabilità. “La storia non risparmierà nessuno; ciò che inizia in Medio Oriente si diffonderà in tutto il mondo”, ha avvertito, invitando il Consiglio a prendere posizione “prima che sia troppo tardi”.

Se l’Asse non risponde – scrive oggi il giornalista libanese Elijah J. Magnier – è probabile che Israele aumenti i suoi attacchi e i suoi omicidi, ignorando tutte le linee rosse. Gli Stati Uniti puntano al cessate il fuoco per prevenire una guerra regionale più ampia.

L'articolo L’uccisione di Ismail Haniyeh: le conseguenze e le teorie di tracciamento che non reggono proviene da il blog della sicurezza informatica.

Il 14 aprile 2024, un attore di minacce noto con il nickname jacka113 ha rilasciato un database che sosteneva appartenere al sito Multiplayer.it.

Da quanto riportato dal criminale informatico, la violazione aveva compromesso i dati di 509.000 utenti, sollevando preoccupazioni significative sulla sicurezza informatica e sulla protezione dei dati personali.

Oggi il servizio “Have i been pwned” riporta l’addizione del breach di multiplayer.it all’interno del suo database dove riporta che le informazioni compromesse sono email, indirizzo e password.

I presunti dati compromessi

Secondo quanto riportato da jacka113 sul forum BreachForums, i dati compromessi includono:

• ID
• Nome utente
• Indirizzo email
• Hash delle password
• Salt utilizzato per l’hashing delle password

La Prova della presunta Violazione

Nel post del forum, jacka113 ha fornito un campione dei dati compromessi per dimostrare la veridicità delle sue affermazioni.

Implicazioni per la Sicurezza

Se confermata, questa violazione rappresenterebbe una grave minaccia per la sicurezza dei dati personali degli utenti di Multiplayer.it. Gli utenti interessati potrebbero essere esposti a una serie di rischi, tra cui:

• Phishing: Gli attaccanti potrebbero utilizzare gli indirizzi email compromessi per inviare email fraudolente, ingannando gli utenti affinché forniscano ulteriori informazioni personali o finanziarie.
• Accesso non autorizzato: Gli hash delle password, se decifrati, potrebbero consentire agli attaccanti di accedere agli account degli utenti su Multiplayer.it e su altri siti web dove potrebbero aver riutilizzato le stesse credenziali.
• Furto d’identità: Le informazioni personali compromesse potrebbero essere utilizzate per attività di furto d’identità, causando danni finanziari e reputazionali agli utenti colpiti.

Raccomandazioni per gli Utenti

In attesa di una conferma ufficiale da parte di Multiplayer.it, è consigliabile che gli utenti adottino misure preventive per proteggere i propri dati:

1. Cambiamento delle Password: Gli utenti dovrebbero cambiare immediatamente le loro password su Multiplayer.it e su qualsiasi altro sito web dove potrebbero aver utilizzato le stesse credenziali.
2. Monitoraggio degli Account: È importante monitorare attentamente gli account bancari e di posta elettronica per individuare eventuali attività sospette.
3. Abilitazione dell’Autenticazione a Due Fattori (2FA): L’abilitazione della 2FA aggiunge un ulteriore livello di sicurezza agli account online, rendendo più difficile per gli attaccanti accedere senza autorizzazione.

Conclusione

La presunta violazione del database di Multiplayer.it da parte di jacka113 rappresenta una potenziale minaccia significativa per la sicurezza dei dati di 509.000 utenti. Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Multiplayer.it finisce su Have i Been Pwned proviene da il blog della sicurezza informatica.

Una vulnerabilità in VMware ESXi permetterebbe ad attori malintenzionati di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Panoramica della vulnerabilità

VMWare ha predisposto delle azioni di mitigazione atte a contrastare la vulnerabilità identificata con CVE-2024-37085 avente CVSS3 pari a 6.8 che permetterebbe agli attaccanti di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.

Dalle informazioni di threath intelligence tale vulnerabilità è attivamente sfruttata in rete ed è stata utilizzata da APT come Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest per installare software dannoso sui sistemi vulnerabili.

Lo sfruttamento di tale vulnerabilità risulta semplice e impattante, basterebbe infatti la creazione di un nuovo gruppo di dominio chiamato “ESX Admins” e la creazione di un qualsiasi utente facente parte del medesimo dominio per conferire i privilegi di amministratore dell’hypervisor.

Tipologia

• Data Manipulation
• Denial of Service
• Security Restrictions Bypass
• Authentication Bypass

Prodotti e versioni affette

• Esxi 8.0 precedente alla versione 8.0 U3
• Esxi 7.0 Tutte le versioni

CVE di riferimento:

• CVE-2024-37085

Patch & Mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza.

Si riportano di seguito le versioni vulnerabili e relativa Fix release

Come dalla matrice cui sopra , attualmente, per la versione 7.0.x di ESXi non è stata ancora pianificata una patch ma è disponibile un workaround .

Considerazioni

Questo tipo di vulnerabilità ci rendono consapevoli dell’importanza del processo di patch management sui sistemi in quanto anche un solo sistema, facente parte di un ecosistema di servizi, potrebbe essere sfruttato e compromettere l’intera infrastruttura. Pertanto mantenere i sistemi aggiornati aiuta sensibilmente a ridurre la superficie d’attacco.

L'articolo Un Bug di VMware ESXi è Sfruttato attivamente da Attori Malevoli proviene da il blog della sicurezza informatica.

Gli specialisti di Zimperium hanno scoperto una campagna dannosa che prende di mira i dispositivi Android in tutto il mondo. Gli aggressori utilizzano migliaia di bot di Telegram per infettare i dispositivi con malware che rubano SMS e password monouso per l’autenticazione a due fattori da oltre 600 servizi.

I ricercatori affermano che stanno monitorando questa attività fino a febbraio 2022. Secondo loro, a questa campagna sarebbero associati almeno 107.000 diversi campioni di malware. La maggior parte delle vittime si trova in India e Russia, ma molte vittime sono state trovate anche in Brasile, Messico e Stati Uniti. In totale, gli utenti di 113 paesi in tutto il mondo sono stati colpiti da questa minaccia.

A quanto pare, gli operatori di malware perseguono guadagni finanziari e utilizzano i dispositivi infetti come relè per l’autenticazione e l’anonimizzazione. Il malware per il furto di SMS viene distribuito tramite pubblicità dannosa o tramite bot di Telegram che automatizzano la comunicazione con l’utente.

Quindi, nel primo caso, le vittime seguono link pubblicitari a pagine che imitano il Google Play Store, dove vedono un numero gonfiato di download dell’applicazione, il che dovrebbe creare l’apparenza della sua legittimità e sicurezza.

Nel secondo caso, i bot di Telegram promettono di fornire alle vittime un’app Android piratata, ma chiedono il loro numero di telefono prima di condividere il file APK. Di conseguenza, il bot utilizza il numero ricevuto per creare un nuovo APK, che gli consente di tracciare personalmente l’utente ed effettuare altri attacchi.

Sul dispositivo della vittima, il malware richiede l’autorizzazione per accedere agli SMS, che gli consentono di intercettare le password monouso necessarie per la registrazione dell’account e l’autenticazione a due fattori.

In totale vengono utilizzati circa 2.600 bot di Telegram per promuovere diversi APK, controllati da 13 server di controllo.

I ricercatori hanno scoperto che il malware finisce per trasmettere i messaggi SMS intercettati a uno specifico endpoint API sul sito web fastsms[.]su.

Questo sito offre ai visitatori la possibilità di acquistare l’accesso a numeri di telefono virtuali in paesi stranieri. Tali numeri possono essere utilizzati per l’anonimizzazione e l’autenticazione su varie piattaforme e servizi online. Di conseguenza Zimperium è giunto alla conclusione che i dispositivi infetti vengono utilizzati da questo servizio all’insaputa dei loro proprietari.

L'articolo MFA in Pericolo! Migliaia di Bot Telegram rubano password monouso da 600 servizi proviene da il blog della sicurezza informatica.

I ricercatori hanno scoperto una tendenza allarmante: le app mobili create per i Giochi Olimpici di Parigi del 2024 raccolgono molte più informazioni personali degli utenti di quanto dichiarato ufficialmente. Gli esperti hanno studiato attentamente 12 applicazioni Android che sono popolari tra gli ospiti olimpici e hanno identificato una serie di fatti allarmanti.

L’app ufficiale dei Giochi Olimpici di Parigi, già installata più di 10 milioni di volte, si posiziona come uno strumento indispensabile per gli appassionati. Fornisce il calendario delle gare, le ultime notizie, i risultati delle medaglie e molte altre informazioni utili.

Ma c’è una sfumatura. Il programma tiene traccia della posizione esatta dell’utente, utilizza la fotocamera, registra l’audio, legge e modifica i file multimediali sul dispositivo. Inoltre, è in grado di analizzare la cronologia delle ricerche web e di trasmettere queste informazioni agli inserzionisti.

Il Comitato Olimpico Internazionale (CIO) ammette apertamente di raccogliere dati personali per creare profili utente. Queste informazioni vengono poi condivise con colossi come Facebook, Google, Apple e X (ex Twitter).

Tuttavia, l’app ufficiale delle Olimpiadi non è l’unica a destare preoccupazioni. Bonjour RATP, un’app di navigazione parigina con oltre 10 milioni di installazioni, era la più affamata di dati. Raccoglie 18 dei 38 possibili tipi di informazioni e ne condivide la maggior parte con terze parti.

TheFork, la piattaforma di prenotazione di ristoranti leader in Europa, raccoglie 15 tipi di dati. Citymapper, altra app di trasporti urbani da più di 10 milioni di download – 14 tipologie (anche se in questo caso tra le finalità dichiarate non viene menzionata la pubblicità).

Secondo gli esperti di Cybernews, alcuni servizi richiedono autorizzazioni potenzialmente pericolose, anche se affermano di non raccogliere alcun dato. Ad esempio, Stakeholder Experience & Access Tool (SEAT) richiede l’autorizzazione per leggere e scrivere su dispositivi di archiviazione esterni, lavorare con contatti e calendario. Anche PinQuest, un gioco per testare la conoscenza delle Olimpiadi, per qualche motivo richiede l’accesso alla fotocamera e ai file.

I ricercatori avvertono che se tutte le 12 app analizzate fossero installate, sarebbero in grado di ottenere 24 tipi di dati su 38 possibili. Secondo gli sviluppatori, i programmi non raccolgono informazioni su salute, razza ed etnia, convinzioni politiche o religiose, orientamento sessuale, SMS, foto o registrazioni audio, file, contatti e altre categorie simili.

Tuttavia, la realtà risulta essere diversa. I ricercatori hanno trovato altre tre app che richiedono il permesso per determinare la latitudine e la longitudine esatte.

Il ricercatore Mantas Kasiliauskis spiega: “I dati sulla posizione sono davvero necessari per funzioni come la navigazione delle sedi olimpiche, le informazioni sulla posizione degli eventi e i consigli personalizzati. Possono rimanere solo sul dispositivo. Tuttavia, se l’app venisse violata, gli utenti potrebbero essere esposti a minacce sia digitali che fisiche”.

Gli esperti consigliano ai fan di fare attenzione ai permessi richiesti, di fornire solo il minimo indispensabile e di controllare regolarmente le impostazioni di privacy sui propri dispositivi. Si consiglia inoltre di rimuovere le applicazioni non utilizzate per ridurre al minimo il rischio di perdite.

L'articolo Le APP dei Giochi Olimpici di Parigi 2024 spiano gli utenti proviene da il blog della sicurezza informatica.

Con un recente post su Breached Forum, il threat actor USDoD ha dichiarato di aver raccolto oltre 330 milioni di indirizzi email, sostenendo di averli ottenuti attraverso lo scraping di Socradar[.]io, una piattaforma nota per il suo ruolo di cyber intelligence. Questa enorme raccolta di dati è ora disponibile per l’acquisto al prezzo di 7.000 dollari.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli vendita

Secondo l’annuncio di USDoD, il processo di raccolta dei dati ha richiesto tre giorni interi, durante i quali sono stati eseguiti scraping, parsing e rimozione dei duplicati. Il risultato è un file di 14,4 GB, fornito in formato CSV, messo in vendita per 7.000 dollari.

Questo prezzo sottolinea l’alto valore attribuito ai dati contenenti questo tipo di informazione. Nel post, USDoD non fornisce dettagli specifici o esempi dei dati disponibili, lasciando in sospeso la verifica dell’autenticità e della qualità del database.

Immagine del post rinvenuta nel Dark Web

Il threat actor in questione, USDoD, è stato recentemente intervistato, rivelando ulteriori dettagli sul suo background e sulle sue attività. Durante un’intervista (usdod.io/contact.txt), USDoD ha descritto il processo tecnico dietro l’operazione di scraping e ha discusso delle motivazioni che lo hanno spinto a entrare nel mondo del cyber crimine. Questo offre una rara opportunità di comprendere la mentalità di un individuo coinvolto in attività illecite di questo tipo.

Socradar.io e la Sicurezza dei Dati

Socradar.io è ampiamente riconosciuta per la sua capacità di identificare e prevenire minacce informatiche, e dunque nota per il suo lavoro in ambito CTI. Tuttavia, il presunto successo di USDoD nel raccogliere dati da questa piattaforma evidenzia potenziali falle nei sistemi di sicurezza delle informazioni, mettendo in discussione l’efficacia delle misure protettive adottate.

La presunta vendita di un database così vasto ha implicazioni significative:

• Rischi di phishing e spam: Con un numero così elevato di email a disposizione, i malintenzionati possono lanciare campagne di phishing mirate, aumentando i rischi per gli utenti.
• Integrità della sicurezza informatica: La possibilità di violare una piattaforma come Socradar.io solleva domande su come le aziende proteggono i dati sensibili e su quanto siano preparate a fronteggiare attacchi sofisticati.
• Conseguenze legali: Nonostante la vendita di questi dati violi le leggi internazionali sulla privacy, l’anonimato di chi frequenta i forum underground rende difficile perseguire legalmente i colpevoli.

Conclusione

L’annuncio di USDoD su Breached Forum è un ulteriore promemoria della necessità di rafforzare la sicurezza dei dati e l’importanza di una vigilanza continua contro le minacce informatiche. La collaborazione tra esperti e forze dell’ordine è fondamentale per affrontare queste sfide e garantire la sicurezza degli utenti a livello globale.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo 330 Milioni di Email violate da Socradar? L’Inquietante Offerta di USDoD sul Dark Web proviene da il blog della sicurezza informatica.

Art.270- quinquies c.p.:

Chiunque, al di fuori dei casi di cui all'articolo 270 bis, addestra o comunque fornisce istruzioni sulla preparazione o sull'uso di materiali esplosivi, di armi da fuoco o di altre armi, di sostanze chimiche o batteriologiche nocive o pericolose, nonché di ogni altra tecnica o metodo per il compimento di atti di violenza ovvero di sabotaggio di servizi pubblici essenziali, con finalità di terrorismo, anche se rivolti contro uno Stato estero, un'istituzione o un organismo internazionale, è punito con la reclusione da cinque a dieci anni.

La stessa pena si applica nei confronti della persona addestrata, nonché della persona che avendo acquisito, anche autonomamente, le istruzioni per il compimento degli atti di cui al primo periodo, pone in essere comportamenti univocamente finalizzati alla commissione delle condotte di cui all'articolo 270 sexies.

Le pene previste dal presente articolo sono aumentate se il fatto di chi addestra o istruisce è commesso attraverso strumenti informatici o telematici.>>

Il contenuto della norma

L’articolo 270 quinquies c.p. riguarda l’addestramento ad attività con finalità di terrorismo, anche internazionale. Questo articolo è stato introdotto con il decreto legge 27 luglio 2005, n. 144, convertito con modificazioni nella legge 31 luglio 2005 n. 155, ed è stato poi modificato dall’art. 1, comma 3, lett. a), D.L. 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla L. 17 aprile 2015, n. 43.

La norma tutela l’integrità dello Stato e l’ordine pubblico contro la minaccia terroristica. Si tratta di reato di pericolo concreto, caratterizzato, sotto il profilo dell’elemento soggettivo, da un duplice dolo specifico, costituito dalla volontà del soggetto agente di perseguire sia la finalità, intermedia, di addestrare altri o di conseguire, anche autonomamente, l’apprendimento di capacità all’uso di armi, di materiali esplosivi o di sostanze chimiche o batteriologiche, strumentali al compimento di atti di violenza o di sabotaggio di servizi pubblici essenziali, sia quella di terrorismo, anche internazionale, come definita dall’art. 270-sexies cod. pen.

Cosa dice la giurisprudenza

Il delitto di addestramento o di auto-addestramento ad attività con finalità di terrorismo, anche internazionale, di cui all’art. 270-quinquies, ultima parte, cod. pen., è reato di pericolo concreto, caratterizzato, sotto il profilo dell’elemento soggettivo, da un duplice dolo specifico, costituito dalla volontà del soggetto agente di perseguire sia la finalità, intermedia, di addestrare altri o di conseguire, anche autonomamente, l’apprendimento di capacità all’uso di armi, di materiali esplosivi o di sostanze chimiche o batteriologiche, strumentali al compimento di atti di violenza o di sabotaggio di servizi pubblici essenziali, sia quella di terrorismo, anche internazionale, come definita dall’art. 270-sexies cod. pen.(Cass., Sez. II, sent. n. 14885/22).

Ai fini della configurabilità del reato di addestramento ad attività con finalità di terrorismo anche internazionale, commesso dalla persona che abbia acquisito autonomamente informazioni strumentali al compimento di atti con la suddetta finalità, è comunque necessario che il soggetto agente ponga in essere comportamenti significativi sul piano materiale, univocamente diretti alla commissione delle condotte di cui all’art. 270-sexies cod. pen., senza limitarsi ad una mera attività di raccolta di dati informativi o a manifestare le proprie scelte ideologiche (Cass. Sez. I, sent. n. 7898/19 ).

In tema di addestramento ad attività con finalità di terrorismo anche internazionale di cui all’art. 270-quinquies c.p., le due figure soggettive dell’addestratore e dell’informatore si differenziano per la diversa qualità e intensità delle condotte, entrambe divulgative e implicanti l’esistenza di destinatari, in quanto solo la prima si connota di una idoneità formativa, che mira all’obiettivo di far acquisire non solo istruzioni e notizie tecniche, specie d’ordine bellico e militare, quanto di realizzare, in coloro che si giovano dell’addestramento, la capacità di porre in essere le condotte di tipo terroristico; l’informatore, invece, si limita a trasmettere istruzioni tecniche, senza curarsi se il destinatario sia nelle condizioni di recepirle, elaborarle e quindi sfruttarle in azioni di tipo terroristico (Cass., Sez. I, sent. n. 15089/19).

Ai fini della configurabilità del reato di addestramento ad attività con finalità di terrorismo anche internazionale, commesso dalla persona che abbia acquisito autonomamente informazioni strumentali al compimento di atti con la suddetta finalità, è comunque necessario che il soggetto agente ponga in essere comportamenti significativi sul piano materiale, univocamente diretti alla commissione delle condotte di cui all’art. 270- sexies cod. pen., senza limitarsi ad una mera attività di raccolta di dati informativi o a manifestare le proprie scelte ideologiche (fattispecie in cui la Corte ha ritenuto configurabile in sede cautelare il reato di cui all’art. 270 – quinquies cod. pen. sulla base di molteplici indici fattuali concreti, tra i quali il possesso da parte dell’imputato di video ed immagini riconducibili alla propaganda terroristica per lo Stato islamico o illustrativi di tecniche per la preparazione di un ordigno, scaricati con elevata frequenza nell’arco di un significativo periodo di tempo, nonché l’avere in rubrica telefonica un’utenza collegata ad altra in uso a soggetto poi arrestato per detenzione di armi ed esplosivi, Cass. Sez. V, sent. n. 6061/17).

L'articolo Digita Crime: Addestramento ad attività con finalità di terrorismo realizzata anche attraverso le tecnologie dell’informazione proviene da il blog della sicurezza informatica.

Un attacco informatico ha colpito un’organizzazione no-profit per la donazione del sangue che fornisce servizi a centinaia di ospedali nel sud-est degli Stati Uniti riporta la CNN.

L’attacco informatico ha sollevato preoccupazioni circa i possibili effetti sui servizi forniti da OneBlood ad alcuni ospedali. Secondo quanto affermato da diverse fonti a conoscenza della questione l’incidente dovrebbe essere opera di un ransomware.

L’attacco sta influenzando la capacità dell’organizzazione non-profit di spedire “prodotti sanguigni” agli ospedali in Florida, secondo un avviso inviato ai fornitori di servizi sanitari dall’Health Information Sharing and Analysis Center, un gruppo di condivisione di minacce informatiche.

OneBlood serve ospedali in Alabama, Florida, Georgia e Carolina del Nord e del Sud, secondo il suo sito web. In una dichiarazione, l’organizzazione non-profit ha riconosciuto l’attacco ransomware e ha affermato di aver lavorato a stretto contatto con esperti di sicurezza informatica e con le forze dell’ordine. L’organizzazione sta “operando a una capacità notevolmente ridotta”.

“Abbiamo implementato processi e procedure manuali per rimanere operativi. I processi manuali richiedono molto più tempo per essere eseguiti e hanno un impatto sulla disponibilità dell’inventario. Nel tentativo di gestire ulteriormente la fornitura di sangue, abbiamo chiesto agli oltre 250 ospedali che serviamo di attivare i loro protocolli critici di carenza di sangue e di rimanere in quello stato per il momento”, ha affermato Susan Forbes, portavoce dell’organizzazione non-profit.

La domanda che sorge spontanea è: le sacche di sangue che non arriveranno a destinazione, quali rischi per le persone potranno portare?

Siamo purtroppo arrivati al punto che la digitalizzazione è tutta attorno a noi e colpisce anche la vita delle persone. Un ascensore interconnesso, una macchina a guida autonoma o una azienda che supporta gli ospedali per fornire il sangue per i malati.

Fino a dove il cybercrime si spingerà in futuro? Purtroppo la risposta la sappiamo.

L'articolo Attacco alla Supply-Chain del sangue! Fino dove si spingerà il Cybercrime? proviene da il blog della sicurezza informatica.

Noyb sued the Hamburg data protection authority on 1 August in a bid to overturn its recent decision that German newspaper Der Spiegel "pay or okay" model was lawful.

euractiv.com/section/data-priv…

Disinformation and propaganda, long mainstays of war, have been digitally supercharged in the battle for Ukraine, the biggest conflict the world has seen since the advent of smartphones and social media.

euractiv.com/section/global-eu…

Telecom industry stakeholders have called on incumbent Commissioner for the Internal Market, Thierry Breton, to reconsider some of his previous stances in light of his potential reappointment for the 2024-2029 term.

euractiv.com/section/digital/n…

Greece’s Supreme Court prosecutor has shelved a case against the intelligence service, EYP, as a preliminary probe by the court showed no evidence that the agency used illegal phone malware to spy on targets.

euractiv.com/section/data-priv…

Spain's competition watchdog fined Booking.com with a record €413 million fine for "abusing its dominant position" during the past five years.

euractiv.com/section/competiti…

The Commission is pushing for better enforcement tools for the Digital Services Act, the EU's landmark content moderation law, in two documents, including provisions on protection of minors, regulation of influencers, and addictive design.

euractiv.com/section/disinform…