La famigerata banda di criminali informatici Ragnar Locker, colpisce l’azienda italiana Dollmar s.p.a. che si trova a combattere con il ransomware.

Ragnar Locker ha pubblicato sul data leak site (DLS) un avviso dove viene riportato quanto segue:

Oggi pubblichiamo qui la nuova azienda, "Dollmar".

Il nostro cliente è stato informato delle vulnerabilità e del potenziale rischio di fuga di dati. Sfortunatamente la direzione di "Dollmar" non era pronta a risolvere questo problema e ha consentito la fuga di dati.
In base alle nostre regole, stiamo pubblicando l'intero volume di dati che è stato compromesso.
Le organizzazioni che raccolgono e archiviano dati privati dovrebbero essere responsabili della sua privacy.
Di seguito puoi trovare il link con tutti i Dati sensibili:

Ed infatti rendono disponibile al download pubblico circa 35GB dell’azienda, come riportato dalle loro “policy” interne, dopo che il pagamento del riscatto non è avvenuto.

La pubblicazione di un post su un data leak site di una cybergang, generalmente avviene quando l’azienda è reticente o non ha pagato il riscatto per il blocco delle infrastrutture informatiche effettuato con il ransomware.

In questo modo, minacciando la pubblicazione dei dati in loro possesso, aumenta la pressione verso l’organizzazione violata, sperando che il pagamento avvenga più velocemente. Ma in questo caso la pubblicazione completa è avvenuta, pertanto tutto il bottino in possesso di Ragnar Locker è ora online.

Ricordiamo a tutti che l’accesso alla rete onion e al download dei dati (attraverso TOR Browser) è possibile da chiunque, anche se non dotato di particolari competenze in materia. Ciò significa che tali dati sono accessibili da qualsiasi persona che sappia normalmente utilizzare un PC.

Ragnar Locker pubblica inoltre una serie di samples su carta intestata dell’azienda, in modo da far comprendere che i dati in suo possesso sono reali.

Dollmar S.p.A. è leader europea nella distribuzione di prodotti chimici destinati a svariati settori industriali. Da oltre 70 anni produce e commercializza materie prime e prodotti chimici formulati di elevata qualità diventando oggi un marchio di riferimento nella chimica italiana.

L’ampia offerta di prodotti è rivolta a molteplici settori industriali quali l’industria chimico-farmaceutica, produttori di resine, vernici, inchiostri e adesivi, l’industria delle materie plastiche, produttori di aerosol e industrie meccaniche.

La gamma dei prodotti è completata, infine, da una rete di servizi che includono consulenza specialistica sui prodotti e sull’installazione degli impianti, assistenza sulle tematiche ambientali e sulla sicurezza in ambiente di lavoro.

Chi è Ragnar Locker

L’attore della minaccia è stato individuato per la prima volta attorno al 2020. Utilizza la tattica popolare della “doppia estorsione”, in cui l’attaccante prima esfiltra i dati sensibili, quindi attiva l’attacco di crittografia, minacciando di far trapelare i dati rubati se l’obiettivo si rifiuta di pagare il riscatto.

Inizia l’attacco compromettendo la rete dell’azienda tramite il servizio RDP, usando la forza bruta per indovinare password deboli o con credenziali rubate acquistate sul Dark Web. 

Successivamente, l’attaccante esegue la ricognizione della seconda fase. Per elevare i privilegi, l’attaccante sfrutta delle vulnerabilità come ad esempio la CVE-2017-0213 in Windows COM Aggregate Marshaler per eseguire codice arbitrario con privilegi elevati. 

Dopo aver ottenuto l’escalation dei privilegi, l’attaccante a volte distribuisce una macchina virtuale (VM) VirtualBox con un’immagine Windows XP per eludere il rilevamento: un uso anticipato dell’immagine di una macchina virtuale in questo modo consente di eseguire l’attacco di crittografia ransomware.

L’immagine della VM appositamente predisposta viene caricata nella VM VirtualBox, mappando tutte le unità locali nella macchina virtuale. Ciò consente al processo ransomware in esecuzione all’interno della VM di crittografare tutti i file. Per i file host, la crittografia sembra essere un processo VirtualBox affidabile e quindi verrà ignorato da molti prodotti di sicurezza.

Successivamente, l’operatore Ragnar Locker elimina tutte le copie shadow esistenti, disabilita le contromisure antivirus rilevate e utilizza uno script PowerShell per spostarsi da una risorsa di rete aziendale a un’altra.

Infine, prima di lanciare il ransomware Ragnar Locker, l’attaccante ruba i file sensibili e li carica su uno o più server per pubblicarli se la vittima si rifiuta di pagare il riscatto.

Cos’è il ransomware e come proteggersi

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

FONTE: redhotcyber.com

Si chiama DuckTail la nuova variante di un particolare tipo di malware scritto in PHP e progettato per rubare informazioni personali dalle vittime, quindi con funzioni di infostealer.

Lo scopo di questa versione di DuckTail è prendere di mira account Facebook aziendali e pubblicitari, anche se ultimamente si sono registrati casi di infezione portati avanti contro utenti standard della piattaforma di social network.

Il malware abusa di popolari siti Web di condivisione file per diffondere versioni di crack o programmi piratati che in realtà contengono il suo codice malevolo.

DuckTail: l’infostealer malware scritto in PHP

DuckTail è stato scoperto per la prima volta dagli esperti di Zscaler nel 2021, ma negli ultimi giorni è stata registrata una sua massiccia diffusione sospinta anche dall’utilizzo di script PHP, all’interno di programmi che fingono di essere software piratato per Microsoft Office, giochi e contenuti per adulti.

Come funziona DuckTail

La novità di questa variante di DuckTail consiste nell’utilizzo insolito di PHP, il popolare linguaggio di programmazione, solitamente associato allo sviluppo Web. Uno script PHP dannoso viene attivato quando la vittima esegue il programma di installazione sul proprio dispositivo, dopo averlo scaricato. A questo punto, dal browser web della vittima gli attori della minaccia rubano i seguenti dati sensibili eseguendo codice arbitrario con l’aiuto di questo script PHP dannoso:

• portafogli di criptovaluta
• account Facebook Business

Un’importante evoluzione del malware, che lo differenzia rispetto alle sue prime versioni, evidenzia l’utilizzo di Telegram come canale per inviare informazioni agli aggressori, ma le versioni successive sono passate a un supporto diverso. In sostanza ora, gli attori delle minacce utilizzano un nuovo sito Web che archivia o ospita dati in formato JSON per stabilire le connessioni.

Tra le funzionalità che sono state riscontrate di questa variante, i ricercatori evidenziano la capacità di recuperare le informazioni sul browser installato nel sistema, estrarre informazioni memorizzate dei cookie del browser dal sistema e raccogliere il tutto per inviare i dati al server di comando e controllo (C&C).

Cosa impariamo in termini di sicurezza informatica

La scoperta di questa nuova variante del malware evidenzia come DuckTail non sia un progetto malevolo statico, ma in continua evoluzione, sottoposto a sviluppo costante e miglioramenti che ne amplificano le funzionalità e modificano di volta in volta gli impatti potenziali.

Anche la sua diffusione, mediante i canali di crack e download non certificati di software da installare sul proprio PC, fa riflettere su quanto questi canali, privi di ogni garanzia di sicurezza, siano ancora oggi molto utilizzati a livello globale.

Non bisogna mai dimenticare che l’installazione di simili pacchetti software è considerata una cattiva pratica per la propria sicurezza e della rete aziendale all’interno della quale si opera.

FONTE: cybersecurity360

La sicurezza delle identità è diventata una delle priorità dei CISO (Chief Information Security Officer). Gli hacker, infatti, tentano costantemente di accedere a credenziali valide per utilizzarle con l’obiettivo di muoversi nelle reti aziendali senza essere scoperti.

La società Verizon ha pubblicato il Data Breach Investigations Report, giunto ormai nel 2022 alla sua quindicesima edizione, dal quale emerge che la maggior parte dei data breach sia avvenuta a causa di persone fisiche (human element) che hanno inavvertitamente e incautamente “collaborato” all’attacco: gli incidenti sono infatti principalmente avvenuti tramite il phishing, il riutilizzo di credenziali rubate e raggiri vari volti a carpire informazioni (pretexting).

Nel report emerge anche come l’aumento degli attacchi ransomware negli ultimi anni sia ormai una realtà consolidata. Le aziende devono imparare a fronteggiare i cyber criminali e capire come proteggere i propri dati al meglio.

Viene poi evidenziato come le caratteristiche di una supply chain debole siano determinanti nell’avviare nuovi attacchi con una percentuale vicina al 62% dei casi. Infine, è diventato importante evitare il ripetersi, anche nel corso dell’ultimo anno, di una serie di errori dovuti a un cloud storage non gestito correttamente.

Cosa si intende per attacchi alle identità?

Il concetto di attacco alle identità è molto esteso e complesso. Navigare online significa lasciare delle tracce, molto spesso in maniera inconsapevole. I dati digitalizzati nei sistemi aziendali e nei personal computer rappresentano una “estensione digitale” dell’azienda o del singolo utente, diventando la cosiddetta “impronta digitale”.

Conseguenze dei furti di identità possono essere creazione di profili falsi, violazioni della privacy, manipolazione, alterazione dei dati. Per i dati aziendali è necessario considerare in aggiunta ai precedenti casi indicati, anche l’esfiltrazione di dati a scopo di riscatto, ovvero di lucro, o finalizzati alla concorrenza sleale. Gli attacchi di phishing mirano al furto o allo sfruttamento delle identità digital e possono comportare gravi perdite per utenti, fornitori e persino impedire ai clienti di utilizzare i propri servizi online.

Gestire la propria identità digitale in totale sicurezza è fondamentale per abilitare transazioni e interazioni nei servizi digitali. Poiché le informazioni sulle identità sono spesso dati sensibili in ottica privacy, è importante adottare tecniche di tutela legate alle funzioni di data protection e controlli di sicurezza preventivi e adeguati.

Gli errori umani che permettono agli hacker di rubare o danneggiare le identità sono fin troppo semplici e commetterli fin troppo facile. Tra questi, si evidenziano:

1. mantenere credenziali deboli;
2. utilizzare la crittografia in modo non ottimale;
3. predisporre configurazioni errate;
4. consentire l’accesso a informazioni sensibili tramite l’escalation dei privilegi.

Le soluzioni tradizionali per proteggere le identità sono deboli

Le soluzioni standard per la sicurezza delle identità come quelle di Identity and Access Management (IAM), Privileged Access Management (PAM) e Identity Governance and Administration (IGA) assicurano che gli utenti autorizzati abbiano gli accessi corretti e utilizzano la verifica continua e principi guida del modello di sicurezza zero-trust.

Tuttavia, concentrarsi esclusivamente sul provisioning, la connessione e il controllo dell’accesso alle identità, è solo il punto di partenza per la sicurezza delle identità. Per una copertura migliore è necessario andare oltre l’autenticazione iniziale e il controllo degli accessi e considerare ulteriori aspetti delle identità come credenziali, privilegi, diritti e sistemi che li gestiscono, dalla visibilità alle esposizioni, fino al rilevamento degli attacchi.

Dal punto di vista dei criminal hacker, l’Active Directory (AD) è un obiettivo piuttosto ambito: è il luogo in cui si trovano le identità e i relativi elementi principali. Spesso si tenta di compromettere il sistema per incrementare i propri privilegi e poter accedere alla rete informatica.

Purtroppo, i livelli funzionali dell’AD devono consentire facilmente l’accesso agli utenti di tutta l’azienda, rendendo l’ambiente operativo notoriamente molto più difficile da proteggere. Microsoft ha evidenziato la gravità del problema dichiarando che più di 95 milioni di account AD vengono attaccati ogni giorno.

Proteggere l’AD è una sfida, ma non è impossibile, richiede solo di adottare gli strumenti e le tattiche giuste.

Anche le migrazioni del cloud sono un terreno fertile per gli attacchi. Quando le vulnerabilità dell’AD si combinano con la tendenza alla configurazione errata in cloud, la necessità di un ulteriore livello di protezione oltre al provisioning e alla gestione degli accessi diventa più urgente.

La sicurezza delle identità con una nuova chiave di lettura

Le moderne e innovative soluzioni per la sicurezza delle identità forniscono una visibilità essenziale sulle credenziali memorizzate negli endpoint, sulle errate configurazioni di AD e sulla diffusione dei diritti in cloud. Identity Attack Surface Management (ID ASM) e Identity Threat Detection and Response (ITDR) sono nuove metodologie di sicurezza progettate per proteggere le identità e i sistemi che le gestiscono. Queste soluzioni integrano e funzionano insieme a Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) e altre simili.

In particolare, ID ASM cerca di ridurre la superficie di attacco dell’identità per limitare le esposizioni per i criminal hacker: minori sono le esposizioni, minore è la superficie di attacco sulle identità. Per la maggior parte delle aziende, questo implica l’adozione di Active Directory, sia in sede che in ambiente Azure.

Mentre l’EDR è una soluzione robusta che individua gli attacchi sugli endpoint e raccoglie dati utili alle analisi, le soluzioni ITDR cercano gli attacchi mirati alle identità.

Quando l’ITDR rileva un attacco, aggiunge un livello di difesa fornendo dati falsi che reindirizzano l’hacker verso un’esca dall’aspetto autentico e isolano automaticamente il sistema compromesso che sta effettuando la query.

Le soluzioni ITDR forniscono assistenza nella risposta agli incidenti, raccogliendo dati forensi e telemetria sui processi utilizzati negli attacchi. La complementarità di EDR e ITDR consente di raggiungere un obiettivo comune: vanificare gli sforzi dei criminal hacker.

Le soluzioni ID ASM e ITDR permettono di rilevare l’uso improprio delle credenziali, l’escalation dei privilegi e altre tattiche che gli hacker sfruttano o mettono in atto all’interno della rete. Colmano le lacune critiche tra la gestione degli accessi alle identità e le soluzioni di sicurezza degli endpoint, bloccando i tentativi dei cyber criminali di sfruttare le credenziali vulnerabili per muoversi attraverso le reti senza essere scoperti.

FONTE: cybersecurity360

YoWhatsApp e WhatsApp Plus sono le ultime due app non ufficiali a tema WhatsApp che sono finite nel mirino dei ricercatori Kaspersky: il pericolo è legato al trojan Triada che si nasconde al loro interno ed è in grado di spiare il dispositivo che viene infettato e carpirne informazioni personali utili a rubarne dati e credenziali.

Mod per WhatsApp: un pericolo costante

Doveroso ricordare che non tutte le app che diffondono estensioni e funzionalità aggiuntive per WhatsApp sono malevole, ce ne sono anche di legittime e non fraudolente.

Tuttavia, per il secondo anno consecutivo, Kaspersky ha indagato su questo aspetto che coinvolge la popolare app di messaggistica istantanea e ha diffuso un nuovo report nel quale si evidenzia proprio come il trojan Triada stia ancora diffondendo la sua pericolosità, mediante le app di estensione per WhatsApp, non ufficiali.

I dettagli di YoWhatsApp

YoWhatsApp si propone sotto forma di sponsorizzazione in app largamente utilizzate e legittime come SnapTube, e promette di estendere le funzionalità classiche che già conosciamo di WhatsApp, con personalizzazione dell’interfaccia grafica o blocco di accesso a singole chat.

 

Tuttavia, una volta installata l’app seguendo appunto la sponsorizzazione diffusa da SnapTube, gli analisti hanno rilevato che effettua trasferimenti delle chiavi di accesso di WhatsApp verso un server remoto (sotto il controllo degli attori malevoli).

Il trasferimento di queste chiavi è un chiaro segnale di illegittimità di questa applicazione, non ci sarebbe altro senso di trasferire su un server remoto queste chiavi, se non quello di predeterminare un’azione criminale fraudolenta, ai danni degli utenti che hanno installato tale app.

Dalla sponsorizzazione di SnapTube, l’applicazione viene scaricata come singolo APK, quindi invitando gli utenti ad eseguirne l’installazione fuori dal Play Store ufficiale. Un esempio di queste pubblicità è riportato nell’immagine (di Kaspersky) seguente.

 

I dettagli di WhatsApp Plus

Anche WhatsApp Plus, altra app individuata da Kaspersky, sponsorizzata stavolta da Vidmate, integra lo stesso payload malevolo: Triada trojan.

Quella delle sponsorizzazioni pubblicitarie, all’interno di app largamente utilizzate e che hanno già conquistato la fiducia di un gran numero di utenti, è una tecnica in crescita nel mondo criminale informatico.

Si diffondono direttamente gli APK di installazione, in questa maniera gli attori malevoli sono liberi di inserire all’interno qualsiasi tipo di software dannoso, che non dovranno preoccuparsi in ogni caso di passare i controlli più rigidi offerti dagli store ufficiali.

Vidmate è una applicazione, legittima e ampiamente utilizzata, che offre la possibilità di scaricare video presenti sul Web. WhatsApp Plus, esattamente come fa YoWhatsApp, attrae le sue vittime con la promessa delle funzionalità aggiuntive per il colosso della messaggistica di casa Meta.

Il pericolo di un dispositivo mobile infetto con il malware Triada, in questo caso, è quello di offrire ai criminali una strada completamente in discesa per il furto degli account, che coinvolge poi anche altri attacchi secondari contro la nostra lista dei contatti, i quali riceveranno messaggi di testo, dal contenuto malevolo, ma poco sospettabile perché provenienti da fonte a loro conosciuta (il nostro account compromesso).

Come tenere WhatsApp al sicuro

Recentemente lo ha evidenziato anche Pavel Durov, fondatore di Telegram, accusando WhatsApp di essere portatore di backdoor all’interno dell’app, che forniscono una via di accesso ai nostri dati. Ripercorrendo la storia di WhatsApp notiamo che una volta all’anno circa viene scoperta una qualche vulnerabilità, poi corretta da aggiornamenti, proprio come è successo anche di recente.

“Ogni anno veniamo a conoscenza di alcuni problemi in WhatsApp che mettono a rischio tutto ciò che riguarda i dispositivi degli utenti. Il che significa che è quasi certo che esiste già una nuova falla di sicurezza. Tali problemi non sono affatto casuali: sono piantati in backdoor. Se una backdoor viene scoperta e deve essere rimossa, ne viene aggiunta un’altra”, afferma Durov nel suo canale ufficiale.

Tuttavia, Kaspersky suggerisce alcune buone pratiche di sicurezza che possiamo mettere in atto facilmente, per prevenire infezioni come quelle appena riportate.

Tra queste si evidenzia quella di diffidare dall’installazione di app extra store ufficiali, quindi con il singolo file di installazione direttamente scaricato dal Web.

Diffidare, allo stesso tempo, anche da messaggi sospetti o non attesi, anche se provenienti da mittenti che possono apparirci familiari.

FONTE: cybersecurity360

Ora gli amministratori IT possono configurare Windows per bloccare automaticamente gli attacchi di forza bruta rivolti agli account degli amministratori locali tramite criteri di gruppo.

Tale criterio di gruppo risulta ora abilitato per impostazione predefinita sulle ultime build di Windows 11.

Di conseguenza, i sistemi Windows 11 in cui il criterio è attivato, bloccano automaticamente gli account utente (inclusi gli account amministratore) per 10 minuti dopo 10 tentativi di accesso non riusciti nell’arco temporale di 10 minuti.

“Le build di Win11 ora hanno una politica di blocco dell’account DEFAULT per mitigare RDP e altri vettori di password di forza bruta”

era stato twittato il 21 luglio da David Weston, VP di Microsoft per Enterprise e OS Security.

“Questa tecnica è molto comunemente usata in Human Operated Ransomware e altri attacchi: questo controllo renderà molto più difficile gli attacchi di forza bruta, il che è fantastico!”

Dopo tre mesi dall’annuncio di Weston, Microsoft ha rivelato che la stessa politica di blocco dell’account è ora disponibile su qualsiasi sistema Windows in cui sono installati gli aggiornamenti cumulativi di ottobre 2022.

“Nel tentativo di prevenire ulteriori attacchi/tentativi di forza bruta, stiamo implementando il blocco degli account per gli account amministratore”

ha affermato oggi Microsoft .

“A partire dagli aggiornamenti cumulativi di Windows dell’11 ottobre 2022 o successivi, sarà disponibile un criterio locale per abilitare i blocchi degli account dell’amministratore locale”.

Gli amministratori che desiderano attivare questa difesa aggiuntiva contro gli attacchi di forza bruta possono trovare il criterio “Allow Administrator account lockout” all’interno di

“Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies”.

Microsoft ha inoltre annunciato oggi che ora richiede agli account amministratore locale di utilizzare password complesse che “devono avere almeno tre dei quattro tipi di caratteri di base (minuscole, maiuscole, numeri e simboli).”

Questa decisione è stata presa come ulteriore difesa contro gli attacchi di forza bruta che sono banali da portare a termine utilizzando sistemi con CPU e GPU moderne se le password non sono abbastanza lunghe o complesse.

FONTE: redhotcyber.com

Secondo gli esperti di Resecurity, i servizi che consentono di creare deepfake hanno iniziato a guadagnare popolarità nel dark web. I deepfake possono essere utilizzati per propaganda politica, disinformazione, truffe e frodi.

Uno dei servizi underground scoperti di recente si chiama “RealDeepFake” ed è distribuito nei gruppi di Telegram. 

Con una piccola tassa, gli aggressori possono ottenere un deepfake con un personaggio selezionato, che viene poi sovrapposto a una voce che legge il testo desiderato. Il servizio utilizza le tecnologie VoiceR e Lipsing, modificando la voce in modo che risulti in linea con il personaggio desiderato.

Ad esempio, il servizio offre parodie con Elon Musk, Snoop Dogg, Donald Trump e Dwayne Johnson. 

E nelle mani dei truffatori, i deepfake vengono utilizzati per travestirsi da dirigenti senior nelle chat video o durante le telefonate.

Gli esperti di Resecurity suggeriscono che i deepfake verranno utilizzati dagli aggressori per trasmettere informazioni false su criptovalute e ICO. 

Inoltre, gli esperti prevedono un aumento degli attacchi ibridi che combinano e-mail di phishing, post sui social media e deepfake di persone con influenza nella comunità delle criptovalute.

FONTE: redhotcyber.com

Negli ultimi 3 giorni, sono pervenute diverse segnalazioni alla redazione di Red Hot Cyber (blog sulla cybersecurity) di una presunta violazione dell’azienda italiana COVISIAN S.r.l.

La prima mail in calce riportava che l’azienda era “nel caos” per un incidente informatico e che la violazione risaliva alla settimana scorsa.

Una fonte vicina alla società ci ha comunicato che l’azienda si è attivata prontamente dandone avviso interno, riportando l’accaduto e dicendosi intenzionata a risolvere rapidamente il problema.

Il gruppo Covisian, è una società che ha acquisito più di 7 società in 9 anni, passando da un fatturato di 110 milioni di euro nel 2010 a un fatturato previsto di 400 milioni di euro nel 2021 e serve i principali operatori nei settori dei Servizi Finanziari, Energia, Digital, Retail, Media e TLC.

Ricordiamo che la divisione latinoamericana e spagnola di Covisian, GSS, un anno fa, precisamente a Settembre del 2021, ha subito un devastante attacco informatico ransomware che ha paralizzato la maggior parte dei suoi sistemi IT e bloccato i call center che servono i clienti ispanici.

RHC ha richiesto a COVISIAN un commento ed ulteriori informazioni via mail, le quali verranno pubblicate non appena avremo una risposta da parte dell’azienda e inoltre ha messo a disposizione un team di cyber threat intelligence (CTI) per effettuare delle analisi mirate nelle underground.

Mentre attendiamo un comunicato ufficiale, RHC monitorerà l’evoluzione della vicenda, in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

Cos’è il ransomware e come proteggersi

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

FONTE: redhotcyber.com

Il governo degli Stati Uniti d’America ha confermato il furto di dati sensibili da parte di un gruppo hacker, a danno di un’organizzazione del settore della difesa (DIB).

Il furto è stato perpetrato tramite un nuovo malware personalizzato, noto come CovalentStealer e il framework Impacket (una raccolta di classi Python), e l’intera operazione avrebbe avuto una durata di 10 mesi, con la possibile partecipazione di più gruppi hacker.

Il primo accesso sarebbe avvenuto mediante un server Microsoft Exchange, compromesso nel mese di gennaio dell’anno scorso, di un’organizzazione impegnata in attività di ricerca, progettazione, produzione e manutenzione di sistemi di armamento militari, inclusi componenti e ricambi.

 

È stato pubblicato un rapporto congiunto della CISA (agenzia dedicata a sicurezza e infrastrutture informatiche) e dell’FBI, che fornisce i dettagli tecnici raccolti durante le indagini, svolte tra novembre 2021 e gennaio 2022.

Oltre a CovalentStealer e Impacket, i responsabili dell’attacco si sono avvalsi del trojan di accesso remoto (RAT) HyperBro e diversi campioni di webshell China Chopper.

Non si conosce l’origine dei responsabili, né il vettore di ingresso iniziale, tuttavia il governo USA ha confermato che la rete dell’organizzazione è stata compromessa da diversi gruppi di hacker. Sono state impiegate varie tecniche, tutte analizzate nel rapporto CISA/FBI, e in sostanza, sono stati esfiltrati diversi dati sensibili, archiviati manualmente con WinRAR, relativi a contratti e altre informazioni del genere archiviati su unità condivise.

Un aspetto interessante è che China Chopper ha origini cinesi, tuttavia il set di webshell ha guadagnato una certa popolarità fra gli hacker di tutto il mondo, tanto da essere adottato da numerosi gruppi al di fuori della Cina.

FONTE: tomshw

La Ferrari ha subito un attacco informatico. La notizia è stata diffusa dagli stessi criminal hacker chiamati RansomEXX con un post pubblicato sul loro data leak site (Dls).

Secondo quanto riportato dalla cybergang, sarebbero stati sottratti documenti interni, datasheet (schede tecniche di auto e monoposto), manuali di riparazione e tanto altro materiale per un totale di 7 giga. Tutti questi dati sono stati messi a disposizione di chiunque si fosse collegato con il portale pirata e pronti per essere scaricati. Un qualsiasi comune cittadino, potrebbe adesso essere in possesso di file word o pdf di chissà quali e quanti “segreti” della Casa di Maranello.

Quanto accaduto nelle ultime ore non rappresenta una prima volta sui documenti riservati della Ferrari finissero in rete: in passato ne aveva approfittato anche la cybergang chiamata Everest che, dopo aver violato l’azienda italiana Speroni, era riuscita a pubblicare numerosi documenti del cavallino rampante in loro possesso. Come ricordano gli esperti, “l’accesso alla rete onion e al download dei dati (attraverso TOR Browser) è praticabile da chiunque, anche se non dotato di particolari competenze in materia”.

RansomExx (aka Defray777, 777 o Ransom X) è una variante ransomware multi-piattaforma operata a basso volume come parte di attacchi informatici in più fasi che prendono di mira organizzazioni, enti governativi ed aziende attive in vari settori.

E’ stata protagonista di diversi attacchi di alto profilo nel 2020 e 2021 e la crew che lo mantiene, chiamata Sprite Spider, appare piuttosto attiva nella sua manutenzione e nel suo sviluppo.

Alcuni dei loro attacchi hanno visto fra le vittime realtà come Konica Minolta, Tyler Technologies, Montreal Transit System, Texas Department of Transportation, Brazilian Judiciary, Consiglio Nazionale del Notariato, WT Microelectronics, Corporación Nacional de Telecomunicación e recentissimamente, in accordo con quanto riportato da Bleeping Computer, la Regione Lazio.

Ferrari a Cybersecurity Italia: “Al momento nessuna prova di intrusione”

“Ferrari è consapevole del fatto che alcuni media hanno segnalato la possibile perdita di informazioni da parte di Ferrari e la presenza di alcuni documenti online“, fa sapere in uno statement inviato a Cybersecurity Italia l’ufficio stampa di Ferrari.

“Ferrari non ha alcuna evidenza di una violazione dei propri sistemi o di ransomware e informa che non c’è stata alcuna interruzione del proprio business e dell’operatività. L’azienda, conclude lo statement, “sta lavorando per identificare la fonte dell’evento e metterà in atto tutte le azioni necessarie“.

L’azienda inoltre comunica che nei prossimi giorni darà ulteriori approfondimenti sull’accaduto.

Tra le ipotesi dell’attacco si teme che non sia stata Ferrari ad essere attaccata ma un loro fornitore.

FONTE: cybersecitalia