La Ferrari ha subito un attacco informatico. La notizia è stata diffusa dagli stessi criminal hacker chiamati RansomEXX con un post pubblicato sul loro data leak site (Dls).

Secondo quanto riportato dalla cybergang, sarebbero stati sottratti documenti interni, datasheet (schede tecniche di auto e monoposto), manuali di riparazione e tanto altro materiale per un totale di 7 giga. Tutti questi dati sono stati messi a disposizione di chiunque si fosse collegato con il portale pirata e pronti per essere scaricati. Un qualsiasi comune cittadino, potrebbe adesso essere in possesso di file word o pdf di chissà quali e quanti “segreti” della Casa di Maranello.

Quanto accaduto nelle ultime ore non rappresenta una prima volta sui documenti riservati della Ferrari finissero in rete: in passato ne aveva approfittato anche la cybergang chiamata Everest che, dopo aver violato l’azienda italiana Speroni, era riuscita a pubblicare numerosi documenti del cavallino rampante in loro possesso. Come ricordano gli esperti, “l’accesso alla rete onion e al download dei dati (attraverso TOR Browser) è praticabile da chiunque, anche se non dotato di particolari competenze in materia”.

RansomExx (aka Defray777, 777 o Ransom X) è una variante ransomware multi-piattaforma operata a basso volume come parte di attacchi informatici in più fasi che prendono di mira organizzazioni, enti governativi ed aziende attive in vari settori.

E’ stata protagonista di diversi attacchi di alto profilo nel 2020 e 2021 e la crew che lo mantiene, chiamata Sprite Spider, appare piuttosto attiva nella sua manutenzione e nel suo sviluppo.

Alcuni dei loro attacchi hanno visto fra le vittime realtà come Konica Minolta, Tyler Technologies, Montreal Transit System, Texas Department of Transportation, Brazilian Judiciary, Consiglio Nazionale del Notariato, WT Microelectronics, Corporación Nacional de Telecomunicación e recentissimamente, in accordo con quanto riportato da Bleeping Computer, la Regione Lazio.

Ferrari a Cybersecurity Italia: “Al momento nessuna prova di intrusione”

“Ferrari è consapevole del fatto che alcuni media hanno segnalato la possibile perdita di informazioni da parte di Ferrari e la presenza di alcuni documenti online“, fa sapere in uno statement inviato a Cybersecurity Italia l’ufficio stampa di Ferrari.

“Ferrari non ha alcuna evidenza di una violazione dei propri sistemi o di ransomware e informa che non c’è stata alcuna interruzione del proprio business e dell’operatività. L’azienda, conclude lo statement, “sta lavorando per identificare la fonte dell’evento e metterà in atto tutte le azioni necessarie“.

L’azienda inoltre comunica che nei prossimi giorni darà ulteriori approfondimenti sull’accaduto.

Tra le ipotesi dell’attacco si teme che non sia stata Ferrari ad essere attaccata ma un loro fornitore.

FONTE: cybersecitalia

Una ricerca identifica il rischio di utilizzo malevolo della funzionalità applicazione fornita dai Web browser Chromium. Se illecitamente sfruttata può portare ad attacchi di phishing nuovi nella loro organizzazione. L’evoluzione della sicurezza è seguita di pari passo dall’evoluzione criminale, con una malsana creatività che spinge attori malevoli a trovare sempre soluzioni nuove ai danni delle vittime.

Modalità applicazione del browser Web sfruttata per il phishing

Lo ha dimostrato empiricamente il ricercatore Mr.d0x che, dopo aver studiato il caso degli attacchi Browser in the Browser (BitB), ha evidenziato come la modalità “app” di tutti i Web browser della famiglia Chromium, quindi Microsoft Edge, Google Chrome, Brave, possa essere sfruttata per particolari attacchi di phishing, nell’ottica di compromettere credenziali di accesso.

La forza di un attacco sviluppato sfruttando questa modalità, sta nel fatto che l’utente è portato a fidarsi maggiormente di una app piuttosto che di una pagina Web, sulla quale magari è ormai abituato a diffidare maggiormente, prima di inserire delle credenziali.

L’aspetto privo di distrazioni, tipico della modalità app, con la quale si possono aprire specifici indirizzi Web (URL) fornisce una ulteriore garanzia di stabilità e falsa sicurezza nell’utente. In queste schermate infatti, viene aperto il sito Web (predisposto dall’attaccante) senza barre degli strumenti, come fosse una vera applicazione.

Questa modalità è sfruttabile malevolmente in Windows dalla versione 10 e superiori, ma anche con apposite configurazioni in MacOS e Linux.

Il phishing combinato all’ingegneria sociale

In un attacco di questo genere non è sufficiente l’utilizzo delle sole tecniche di phishing classiche, utili per impersonare un certo servizio o brand, ma è necessario che l’attaccante riesca a convincere la vittima ad eseguire un collegamento di Windows che avvii un URL di phishing utilizzando la funzione Modalità app di Chromium. Normalmente, sempre più spesso, questo passaggio viene portato a termine utilizzando la debolezza del fattore umano e l’ingegneria sociale.

Una grande mano a questo ingresso iniziale, suggerisce la ricerca, è data dall’installazione di default di Microsoft Edge in Windows. È infatti ora molto più semplice per gli attaccanti poter diffondere (e far aprire), file di collegamento .LNK mascherati con altre icone di tipologie di file differenti.

Con questa tecnica si possono creare collegamenti, verso URL malevole, di ogni genere, con differenze rispetto all’originale decisamente non preoccupanti. Un esempio lampante di questo fenomeno è il caso del login Microsoft, per esempio nell’applicativo Teams, distinguere l’app originale, dal collegamento malevolo creato ad hoc, senza vedere la barra degli indirizzi, risulta decisamente sfidante.

Nuove tecniche di attacco anche per lo scenario del phishing

Come abbiamo visto, fenomeni globali come il recente blocco delle macro (come impostazione predefinita) in Microsoft Office, stimola la creatività degli attaccanti, in nuovi scenari sempre più sofisticati. Questo è evidenziato dalla ricerca appena analizzata sulla modalità app sfruttata con collegamenti malevoli, ma anche da un recente studio di CheckPoint che evidenzia come il traffico email, contenenti allegati malevoli, sia cambiato.

Benché infatti sia ancora presente una grande fetta del traffico malevolo che viaggia via e-mail contente file di Microsoft Office (ad esempio xlsx, xlsm, docx, doc, ppt e in particolare Excel che costituisce il 49% del traffico malevolo), i gruppi criminali stanno iniziando a cambiare strategia, soprattutto in previsione di una sempre maggiore diffusione del blocco delle macro di default.

Tra i metodi di distribuzione di attacchi che sfruttano gli allegati via e-mail, crescono gli archivi .ZIP e .RAR, normalmente protetti da password, proprio per evitare quanto più possibile di sfuggire alla detection. Anche in questo caso, il tutto viene accompagnato da grandi dosi di social engineering, tramite il corpo della mail, che guida la vittima passo passo, anche solamente per fornire la password corretta all’archivio presente in allegato. L’ingegneria sociale che viene utilizzata per convincere la vittima a compiere azioni dannose, trova la strada spianata grazie alle tecniche di phishing nella grafica di eventuali allegati dannosi oppure del corpo della mail, così da conquistare subito la fiducia dell’utente.

“Non è mai stato così importante per i dipendenti capire i rischi del social engineering e sapere come identificare un attacco. I cyber-criminali, infatti, spesso inviano una semplice e-mail che non contiene alcun malware, ma impersona qualcuno che conosciamo, solo per avviare una conversazione con noi”, riferisce CheckPoint nel suo report.

Il fattore umano sta diventando perciò sempre più fondamentale, in un approccio basato sulla sicurezza delle informazioni. L’anello debole che richiede formazione adeguata e al passo con gli aggiornamenti, al fine di garantire l’effettiva riservatezza dei dati interni ad un’organizzazione. I sistemi di email security e di protezione software sono sicuramente dei validi e indispensabili alleati sul posto di lavoro, ma è sempre più raccomandato che vengano accompagnati da un’utenza formata sui rischi dell’ingegneria sociale.

FONTE: cybersecurity360

Il futuro del lavoro è nel metaverso.

Un recente rapporto di Regus, organizzazione che analizza i cambiamenti negli spazi di lavoro nel mondo, ha intervistato 2.258 impiegati e dirigenti aziendali per valutare le loro prospettive sul nuovo trend tecnologico.

Due terzi del campione crede che il metaverso diventerà una vera piattaforma di interazione per le professioni, con la stessa fetta che è convinta di poter lavorare sulla “nuova” internet entro i prossimi anni. Il rapporto di Regus, focalizzato su dipendenti e imprese britanniche, ha rilevato che oltre il 50% degli impiegati e dei leader aziendali ritiene che gli spazi di lavoro ibridi stiano facilitando il passaggio al metaverso, ponendosi come ponte tra un modo di lavorare tradizionale, fatto di luoghi fisici e carta, in favore di smart working e digitalizzazione.

Nel documento “The metaverse: the future of work?” Regus scrive che il 65% dei manager pensa che il metaverso sarà più rivoluzionario di qualsiasi altra tecnologia odierna, in particolar modo quelle legate alla videoconferenza. Il 44% degli impiegati è convinto che, grazie al metaverso, la comunicazione con colleghi e superiori migliorerà, mentre il 35% tira in ballo i vantaggi per la formazione. Pensiamo, ad esempio, alle possibilità offerte dai visori di realtà virtuale o mista, come i Microsoft Hololens, usati anche per semplificare le attività tecniche a distanza, dalla meccanica agli interventi su infrastrutture da remoto. Più della metà degli intervistati cita la salute mentale dei lavoratori ibridi e remoti, che sul metaverso dovrebbero andare incontro a minore stress e maggiori opportunità di svago.

Come sottolinea la ricerca, a dicembre dello scorso anno, la sede di PwC a Hong Kong ha acquistato un terreno all’interno di The Sandbox, un mondo virtuale in 3D creato da Animoca Brands. PwC ha dichiarato che utilizzerà lo spazio per creare “un hub di consulenza web 3.0 per facilitare la crescita di una nuova generazione di servizi professionali, tra cui contabilità e fisco”. Nel frattempo, Atari, Samsung e Adidas, hanno già lanciato i loro progetti online, declinando sul digitale parte delle attività già svolte localmente. Da qualche settimana, Ntt Data, che fornisce servizi di business, ha aperto in Italia un nuovo centro europeo di formazione sul metaverso, focalizzato all’ambito industriale. A Milano, iDea ha inaugurato Made, un luogo per la didattica immersiva, che vede nel metaverso un modo per sviluppare soluzioni innovative a beneficio di società scientifiche, aziende e istituzioni.

FONTE: ansa

Èstata rilevata l’implementazione di un nuovo malware multipiattaforma, presumibilmente collegato alla Cina, chiamato Chaos che sta infettando i router SOHO, con attacchi alle password SSH, diffondendo vulnerabilità note e lanciando attacchi DDoS contro target eterogenei.

Nuova minaccia malware, si chiama Chaos

I ricercatori hanno scoperto che il malware Chaos è strettamente legato al malware Kaiji, che circola già da circa due anni e viene utilizzato principalmente per attacchi DDoS.

FONTE: cybersecurity360

Un rapporto pubblicato ad agosto da VMware, riferibile a un sondaggio online sugli attacchi informatici condotti su base mondiale a giugno, ha rilevato un crescente aumento dell’utilizzo di deepfake: ben due su tre degli intervistati ne sono rimasti vittime, con un incremento del 13% rispetto al 2021.

L’evidenza che consente di spiegare l’adozione di questa tecnica risiede nel vantaggio di poter eludere facilmente i controlli di sicurezza delle vittime, ingannando i dipendenti delle organizzazioni e facendo loro credere di interagire con persone reali.

È ciò che è accaduto, ad esempio, a un direttore di banca di Hong Kong che aveva ricevuto una videochiamata da un direttore di un’altra banca il quale gli chiedeva di effettuare un trasferimento di denaro. Nel video compariva l’immagine del vero direttore, ma si trattava di una rappresentazione abilmente manipolata, la cui credibilità avrebbe successivamente indotto il direttore della banca cinese ad effettuare un trasferimento di ben 35 milioni di dollari sul conto corrente indicato.

FONTE: ilsole24ore

Dopo l’estensione di Google Privacy Sandbox su Android, risalente ormai a diversi mesi fa, torniamo a parlare del complesso rapporto tra Big G e la privacy dei suoi utenti. A quanto pare, infatti, Google ha iniziato il rollout della feature “Results about you”.

Ma che cos’è “Results about you”? Per come la spiega su Twitter Mishaal Rahman, la funzione permette di richiedere facilmente la rimozione dei risultati di ricerca relativi all’utente, ovvero tutti quei risultati di ricerca che mostrano delle informazioni personali come nome, cognome, data di nascita, informazioni su orientamento sessuale e religioso, nonché video e fotografie dove compare una persona che non desidera apparire nei risultati del motore di ricerca.

La funzione è stata annunciata già all’I/O di maggio, ma pare il rollout in beta sia iniziato solo nelle scorse ore: al momento non è chiaro se “Results about you” sarà disponibile in tutto il mondo o solo in mercati limitati come quello americano, né tantomeno quanto tempo richiederà il completamento del rollout. In ogni caso, si tratta di un’ottima opzione per coloro che tengono particolarmente alla propria privacy in rete.

Inoltre, la feature è stata pensata per guidare gli utenti nella rimozione dei risultati che li riguardano, rendendo il procedimento estremamente semplice e veloce, oltre che automatico. In più, Google ha già pensato ad una serie di motivi per la richiesta della rimozione di determinate pagine di ricerca dai suoi risultati, permettendo agli utenti di distinguere per esempio le pagine che si limitano a contenere informazioni personali da quelle create per danneggiare l’immagine della persona di cui parlano.

FONTE: everyeye

Il gruppo criminale LockBit è stato interessato da un furto di dati che ha fatto trapelare online materiale interno utile all’analisi sui propri strumenti di attacco. È infatti trapelato su GitHub, a seguito del data breach, un eseguibile del builder, il software completo di crittografia e decrittografia utilizzato dal gruppo ransomware.

LockBit ha subito un attacco dall’interno

A giugno il gruppo criminale informatico, considerato tra i più prolifici e organizzati al mondo, ha aggiornato la propria infrastruttura alla versione 3.0, rimodulando una serie di nuove funzionalità tra cui BugBounty, nuova interfaccia Web e nuovo software malware.

Le implicazioni del leak a LockBit

Questa operazione sicuramente non fermerà le attività del gruppo criminale che, come sostiene il portavoce stesso, fa solo da ispirazione per cercare nuovi collaboratori e programmatori capaci, di modo da aggiornare il proprio software con una nuova versione del ransomware.

Ha però conseguenze più gravi, perché ora il costruttore LockBit 3.0 è a disposizione di qualsiasi altro cyber criminale che, come hanno scoperto i ricercatori, potrebbe sfruttarlo per avviare le proprie operazioni criminali creando ad esempio un encryptor, un decryptor e gli strumenti specializzati per eseguirlo.

In particolare, il costruttore è costituito da quattro file, un generatore di chiavi di crittografia, un builder, un file di configurazione modificabile e un file batch (“.bat”) per creare tutti i file (maker).

L’utilizzo che si può fare di questo materiale, come detto, è unicamente quello di intraprendere nuove operazioni criminali ransomware, con un software già pronto all’uso. Non è utilizzabile, al momento, per decriptare qualsiasi file vittima di LockBit in quanto sprovvisto di chiavi crittografiche che, a detta del gruppo stesso, sono ben custodite nei propri server.

È invece utile a generarne di nuove, su altro server, da utilizzare quindi ex novo per criptare e poi eventualmente decriptare altri file vittima di attacco.

Tra questi strumenti, il decryptor è stato oggetto di analisi da parte dell’italiana Swascan che ne ha diffuso un recente report dettagliato.

La cyber gang non sembra quindi particolarmente preoccupata dall’accaduto, anche se è doveroso notare come da ormai diverse ore il sito Web del gruppo LockBit 3.0 non risulta accessibile, in tutti i suoi mirrors. Presumibilmente oggetto di manutenzione in vista del nuovo upgrade infrastrutturale. Dovremo aspettarci dunque un LockBit 4.0 nel breve periodo?

A farne davvero le spese saranno invece, come sempre, le vittime finali, in quanto ci sarà fisiologicamente un aumento degli attacchi ransomware da parte di gruppi criminali diversi (anche nuovi) che, a partire da questo materiale, personalizzeranno i loro strumenti di attacco, sostanzialmente senza spesa alcuna.

FONTE: cybersecurity360

Un ragazzo di 18 anni è riuscito ad entrare nei sistemi informatici di Uber, multinazionale statunitense che fornisce il servizio di trasporto automobilistico privato, grazie l’utilizzo di metodi di social engineering. L’attacco, avvenuto giovedì sera, ha costretto l’azienda a mettere offline gran parte dei suoi sistemi informatici, tra cui Slack, Amazon Web Services, e Google Cloud Platform.

In un post su Twitter, la società ha spiegato “che sta attualmente rispondendo a un incidente di sicurezza informatica” e ha indicato di essere in contatto con la polizia. “Pubblicheremo ulteriori informazioni non appena ne sapremo di più”, ha affermato Uber.

Il criminal hacker, secondo il New York Times che ha avuto accesso a screenshot e documenti interni inviati da esperti di sicurezza informatica e dallo stesso autore dell’attacco, ha inviato un messaggio a un dipendente di Uber affermando di essere un responsabile della tecnologia dell’informazione per l’azienda. Il dipendente è stato convinto a fornire una password che consentisse all’hacker di accedere ai sistemi di Uber.

Il sistema di comunicazione Slack di Uber è stato quindi messo offline e i dipendenti hanno ricevuto un messaggio dall’hacker: “Annuncio di essere un hacker e che Uber ha subito una violazione dei dati”. A seguito di questo attacco, ai dipendenti di Uber è stato chiesto di non utilizzare in nessun caso il servizio di messaggistica interna dell’azienda.

Il 18enne ha ricavato le credenziali di accesso di un dipendente e poi avrebbe superato lo scoglio dell’autenticazione multifattore (MFA) attraverso molteplici richieste push di conferma sul dispositivo della vittima, che alla fine sarebbe stata convinta ad accettare dopo una finta telefonata da parte dell’IT dell’azienda.

Uber e le altre violazioni

Non è la prima volta che Uber affronta una violazione della sicurezza. Nel 2014 una prima violazione, che, si è scoperto, ha colpito gli account di 100 mila conducenti. Nel 2016 quella più rilevante: hacker hanno rubato informazioni da 57 milioni di account di conducenti. Uber ha pagato agli hacker 100 mila dollari per sbarazzarsi dei dati e ha tenuto nascosta la notizia della violazione per più di un anno.

Nel 2018 la società ha ammesso di non aver denunciato l’attacco alla Federal Trade Commission degli Stati Uniti e ha patteggiato una multa di 148 milioni di dollari (circa 125 milioni di euro) per porre fine al procedimento investigativo nei suoi confronti.

Uber ha dichiarato in un comunicato che l’attacco di giovedì “Non ha provocato un accesso a dati sensibili degli utenti (come la cronologia dei viaggi)”.

FONTE:cybersecitalia

Sono molto più difficili da smascherare rispetto ai video fake, perché puoi trovarti, all’improvviso, a rispondere al telefono e a sentire dall’altra parte della cornetta la voce del tuo capo, clonata in tempo reale, che può anche ordinarti di effettuare “subito e con urgenza” un bonifico. I deepfake vocali sono la nuova minaccia cyber in forte crescita, segnala Protocol. 
 
Nell’articolo è raccontata la cyber truffa ai danni di due aziende vittime, negli ultimi mesi, proprio di deepfake vocali: “In entrambi i casi, gli attacchi hanno portato al trasferimento di somme a sei cifre”. È arrivato il momento di chiedere, anche ai capi, una parola o frase segreta prima di poter dare l’ok a un bonifico.
 
È questo il nuovo campanello di allarme per le aziende, oltre ai ransomware. La voce può essere clonata, in tempo reale, con uno strumento disponibile pubblicamente su GitHub e senza la necessità di competenze di intelligenza artificiale. Basta avere un campione audio della voce da clonare.
Il tool è disponibile dal 2019 e utilizza il deep learning per clonare una voce da pochi secondi di audio del campione. Lo strumento consente, concretamente, alla voce clonata di dire frasi digitate utilizzando la tecnologia text-to-speech. Questa modalità rende la voce clonata un po’ lenta e potrebbe essere anche scoperta. Lo scenario ideale per un malintenzionato sarebbe quello di parlare, piuttosto che digitare, e trasformare il suo discorso nella voce clonata.
 
Ma sembra che si stiano facendo progressi anche su questa nuova tecnologia. Esiste un dispositivo vocoder in grado di eseguire la conversione del segnale audio, con un ritardo di soli 10 millisecondi.
 
In altre parole, una voce deepfake in tempo reale potrebbe essere realizzabile nel prossimo futuro, se non già realtà. Non basta più avere mille occhi… 

“È una evoluzione moderna del classico social engineering: prima o usavi un voice changer se volevi cammuffarla o magari sembrare una donna oppure ti fingevi qualcuno per carpire password ma senza l’ausilio di uno strumento di questo tipo. I deepfake vocali preoccupano di più le aziende”, commenta Gianluca Boccacci, presidente Cyber Actors, l’associazione organizzatrice del Cyber Act Forum, “bisogna sempre a stare attenti al mittente e a chi ti sta chiamando, anche perché tante società non hanno processi ben definiti e quindi è più facile far fare attività non previste, soprattutto se a chiederlo è la voce del tuo superiore”.

FONTE: tomshardware