Più di 23 terabyte di dati appartenenti a un miliardo di cittadini cinesi sarebbero stati sottratti da un hacker da un database della polizia di Shanghai. Se la violazione venisse confermata, sarebbe una delle più gravi della storia. Al momento non ci sono dichiarazioni ufficiali da parte delle autorità della Repubblica Popolare. Il cybercriminale si è identificato solamente come ChinaDan. 

I dati sono stati messi in vendita su un forum pubblico chiamato Breach Forums a un prezzo di dieci Bitcoin, equivalenti a circa duecentomila dollari. “Nel 2022, il database della polizia nazionale di Shanghai (SHGA) è stato violato. Questo database contiene molti terabyte di dati e informazioni su miliardi di cittadini cinesi” si legge nel post, datato 30 giugno.

Fonte: https://www.bleepingcomputer.com/news/security/hacker-claims-to-have-stolen-data-on-1-billion-chinese-citizens/

Zhao Changpeng, il CEO di Binance, la piattaforma di scambio di criptovalute, ha twittato il 3 luglio segnalando che i dati di un milione di cittadini di un paese asiatico erano “in vendita sul dark web”.

La vicenda ha scatenato preoccupazione sulle piattaforme di social media cinesi. L’hashtag relativo al leak è stato bloccato su Weibo (un social media di microblogging simile a Twitter). 

“Quando si tratta di una violazione di dati di questa portata, è quasi impossibile verificare la veridicità di ogni elemento”, ha commentato Toby Lewis, responsabile globale dell’analisi di rischio della compagnia di cybersecurity Darktrace. “Tuttavia, sulla base di un campione di dati, le prime analisi indicano che la violazione sia in qualche modo credibile. Al momento non è ancora chiaro se i dati provengano da un unico database, da database collegati o non correlati, il che significa che il numero di cittadini interessati potrebbe essere molto inferiore al numero degli elementi effettivamente trapelati”.

Il prezzo di vendita dei dati, fa notare ancora Lewis, è relativamente basso. Questo potrebbe essere indicazione del fatto che l’hacker voglia vendere a più acquirenti senza esclusiva.

“Questo tipo di informazioni di natura personale è molto ricercato dai criminali informatici che perseguono scopi di lucro”, ha spiegato Bill Conner, l’amministratore delegato dell’azienda di sicurezza informatica SonicWall a Infosecurity Magazine “Le organizzazioni dovrebbero implementare le migliori pratiche di sicurezza, come un approccio stratificato alla protezione e l’aggiornamento proattivo di qualsiasi dispositivo di sicurezza non aggiornato.”

FONTE: wired

Il passaggio, largamente preannunciato, da LockBit 2.0 a LockBit 3.0, sembra essere ormai definitivo. Quello che è considerato il gruppo criminale informatico, specializzato in ransomware, più prolifico insieme ai risultati ottenuto da Conti, ha nuovamente cambiato brand, avanzando di fatto ad una versione successiva.

Questo comporta, proprio come in una normale software house, migliorie lato software e cambiamenti sulle politiche di “business”, introduzione di nuove caratteristiche delle proprie operazioni criminali e un nuovo design grafico sulla propria presenza online.

LockBit 3.0 introduce un programma di Bug Bounty

Decisamente insolita ed inaspettata è la nuova caratteristiche del gruppo criminale, secondo la quale decide di diffondere, tramite il proprio Data Leak Site (DLS) nel dark web (raggiungibile sotto rete Tor), un programma di ricerca vulnerabilità sul proprio software, denominato appunto Bug Bounty.

È una pratica largamente diffusa tra le software house e aziende del mondo IT, quella di “mettere una taglia” su determinati punti deboli, vulnerabilità ed errori di sviluppo, difficili da trovare per i soli programmatori che hanno ufficialmente lavorato al progetto, richiamando così l’attenzione di un ampio pubblico di esperti, hobbysti, ricercatori e studenti, che vogliano cimentarsi nella ricerca, offrendo in cambio una ricompensa.

Meno diffusa, invece, è questa pratica rapportata però al mondo criminale: un ransomware è un software malevolo utilizzato per danneggiare device terzi, al fine di arrecare malfunzionamenti e conseguente estorsione, tenendo in ostaggio i dati della vittima.

LockBit 3.0 introduce proprio questo programma: rivolgendosi a tutti, indica espressamente “all security researchers, ethical and unethical hackers on the planet”, senza esclusione alcuna. Le ricompense, come promesso dal gruppo criminale, varierebbero tra i mille e il milione di dollari. La ricerca, in questo caso, viene focalizzata su vulnerabilità riguardanti il sito Web, la rete Tor, il Locker (lo strumento principale di danneggiamento) e il TOX messenger (la chat utilizzata per le trattative che garantisce l’anonimato).

Il programma include anche un procacciamento di nuove idee (utili al gruppo criminale per incrementare i guadagni illeciti) e una ricompensa speciale dedicata al Doxing, cioè chiunque riesca ad ottenere (forze di polizia o no), informazioni sull’identificazione reale delle persone a capo del gruppo criminale LockBit.

Un programma completo e incredibilmente generoso, che fa di LockBit 3.0 una realtà criminale sempre più strutturata e dedita agli affari (illegali).

La nuova struttura e il nuovo design

Come detto, LockBit 3.0 si porta dietro anche un restyling completo del sito Web utilizzato come punto di riferimento online della cyber gang. Nuovi indirizzi e nuovi mirror per raggiungere il portale dove vengono esposte le vittime.

La versione ormai popolare di LockBit 2.0 è tuttora online e accessibile, con l’elenco delle vittime sempre presente, anche se i mirrors non sempre risultano essere tutti disponibili, presumibilmente per questa fase di transizione e migrazione verso la nuova infrastruttura di LockBit 3.0. Così come gli indirizzi .onion del nuovo brand 3.0 che, spesso, ancora oggi emettono errori di connessione all’accesso.

Come si è arrivati a LockBit 3.0

Il 12 marzo un utente pubblica un post su un noto forum underground dal titolo “lockbit fuckup thread”. In effetti, l’utente espone una serie di bug nel ransomware, dettagliandone i riferimenti, secondo i quali risulta possibile recuperare la crittografia dei database MSSQL.

Lo stesso giorno a questo post risponde un affiliato di Lockbit confermando che si tratta di un bug ormai superato dalla prossima versione 3.0 del ransomware. Nominando ed annunciando in questa maniera, per la prima volta, l’esistenza di un Lockbit 3.0.

La ricerca in tal senso è stata poi affinata qualche giorno dopo (il 17 marzo) da VX-Underground che ha diffuso una chat con Lockbit nella quale si afferma che Lockbit 3.0 avrebbe iniziato ad essere utilizzato circa dopo una o due settimane.

Dalla giornata di domenica 26 giugno, Cybersecurity360 ha constatato che una versione embrionale del nuovo sito era già disponibile online, con la nuova grafica, su alcuni dei vecchi mirror di LockBit 2.0.

Ecco come appariva domenica il mirror 1 e 2 di LockBit 2.0, che invece presentava il nuovo brand LockBit 3.0, come si può notare dall’immagine.

Nella giornata di lunedì e martedì appena passati, questa pagina è stata completata e popolata, presentando la nuova interfaccia grafica dell’operazione criminale LockBit, esattamente come oggi possiamo conoscerla.

Una nuova caratteristica rilevabile è anche la modulazione dei riscatti e le pressioni che vengono fatte alle vittime. All’interno delle nuove rivendicazioni infatti, compare una nuova modalità di “acquisto” del tempo che la gang offre prima di pubblicare i dati che sono stati rubati.

Questa sezione, incita le vittime a pagare il riscatto ma nuove offerte danno la possibilità alle gang criminale di guadagnare, estendendo di 24 ore il termine per la pubblicazione dei dati, oppure un “saldo e stralcio” con la promessa di eliminazione di tutti le informazioni sulla vittima in loro possesso e la possibilità di scaricare tutti i dati in qualunque momento.

LockBit 3.0 appare dunque sempre più orientato al business, strutturato ed estremamente sicuro di sé. Con attori di minacce di questo genere, vista la proficua produzione che li accompagna, l’unica arma per pubbliche amministrazione e small business, è la prevenzione. Evitare esposizione ad Internet di segmenti di rete non necessariamente da esporre, formazione adeguata del personale sui delicati temi di igiene digitale, manutenzione puntuale delle risorse esposte ad Internet e delle relative vulnerabilità note che le colpiscono. Sono solo alcuni dei punti su cui è sempre più importante prestare massima attenzione.

La prevenzione con l’applicazione di buone pratiche di sicurezza informatica è l’unica arma efficace oggi a disposizione.

FONTE: cybersecurity360

La storia sventata dalla polizia postale di Milano, nell’operazione “Finestra sul cortile”, deve farci riflettere. Migliaia di immagini riprese, anche in diretta, da videocamere situate in luoghi pubblici e privati come appartamenti, spogliatoi, palestre, bagni, il tutto per soli 20 o 40 euro, pagabili in Bitcoin o via Paypal, per avere in cambio accesso illimitato alla vita di tante vittime ignare, adulti e minori.

Eppure, da anni siamo bombardati dal messaggio che più telecamere comportino più sicurezza. I sindaci magnificano l’installazione di nuove telecamere in parchi, piazze e strade mentre online si possono comprare a poche decine di euro sistemi per la video sorveglianza casalinga, accessibili facilmente da remoto tramite smartphone. Il tutto per sentirci più sicuri. Peccato che in molti casi, come questa storia dimostra, la verità sia ben diversa. Senza nulla togliere al “merito” dell’attività criminale realizzata con metodi quasi imprenditoriali, molte di queste violazioni non sarebbero state possibili se si fossero tenute a mente due lezioni.

Non una questione di se, ma di quando

Qualsiasi sistema o dispositivo connesso alla rete è hackerabile, con tempo e risorse sufficienti. Se degli attaccanti sono riusciti ad avere accesso all’iPhone di Jeff Bezos, uno degli uomini più ricchi al mondo e creatore di Amazon, una delle big tech più conosciute, di recente anche per vendere sistemi di sorveglianza privata, accedere ai nostri dispositivi non può essere considerato un evento così improbabile. Ma se per Bezos sono occorsi tempo e denaro per sviluppare il giusto attacco, per quanto riguarda router wi-fi, videocamere, robot aspirapolvere, la questione in alcuni casi può richiedere pochi minuti.

Molti di questi dispositivi hanno una password di default per l’installazione molto semplice, di solito “admin” o “0000”, per venire incontro agli utenti. Password che non viene mai cambiata, inclusa quella del router wi-fi di casa, cosa che consente un facile accesso agli utenti più esperti. Se poi anche venisse l’idea di modificare quella password, i risultati annuali delle password che si trovano nei leak degli attacchi in tutto il mondo confermano che la lista delle prime 20 password più usate non cambia mai troppo passando dal classico “123456”, a “password” o “qwerty”.

Ciò succede ovviamente per comodità, vista la difficoltà di ricordarle e la ancora scarsa adozione di strumenti comodi come i password manager, in grado di creare password lunghe e complesse e inserirle nei servizi che usiamo in modo quasi automatico, quando ne abbiamo bisogno ed eliminando il problema di doverle ricordare.

Non è un caso che Apple (ma non è l’unica in questo progetto) abbia annunciato da poco che nel prossimo aggiornamento del suo sistema operativo eliminerà le password, permettendo l’accesso ai servizi usando il proprio dispositivo, con l’impronta o il riconoscimento facciale.

Se questi problemi sono abbastanza generalizzati, bisogna aggiungere che l’Italia non brilla per competenze tecnologiche anche di base. Da anni l’indice europeo DESI, sullo sviluppo digitale nei Paesi dell’Unione, consegna una situazione poco felice sullo stato degli italiani. Pur essendo grandi amanti della tecnologia, troppi non riescono ad andare oltre l’uso di WhatsApp e dei social network. A questo fattore si aggiunge una scarsa iscrizione degli studenti alle discipline scientifiche e una mancanza di educazione basilare al digitale che usiamo tutti i giorni, ormai dalla più tenera età.

Mancata conoscenza o applicazione della normativa sulla privacy

Secondo quanto riportato dalla procura, molte delle telecamere installate, soprattutto casalinghe, erano molto economiche, da cui si deduce che forse non garantissero la stessa sicurezza offerta dalle omologhe prodotte dai marchi più conosciuti. Eppure, soprattutto quando si lavora in un settore così invasivo e rischioso, in cui sono trattati moltissimi dati personali, si devono rispettare dei livelli standard di sicurezza informatica e gestione dei dati personali più alti. Ma non finisce qui.

Se quindi sarà opportuno verificare il livello di sicurezza base dei fornitori di queste telecamere, al contempo occorre farsi delle domande sull’opportunità di installare telecamere in luoghi sensibili per la privacy come spogliatoi e bagni. In uno dei casi raccontati dall’inchiesta alcune telecamere erano state installate negli spogliatoi per prevenire possibili furti. Il Garante europeo per la privacy, nel 2019, ha pubblicato delle linee guida sulla videosorveglianza con numerosi esempi. Per il Garante l’uso di videosorveglianza è giustificato solo quando le circostanze concrete e l’impossibilità di ricorrere a misure tecniche e organizzative meno invasive non sia possibile.

Se dunque la telecamera che inquadra una piscina, nella sua interezza, potrebbe essere utile ad avvertire un bagnino distratto nel caso di annegamento, quella messa negli spogliatoi o in un bagno più difficilmente potrebbero trovare una giustificazione, anche in presenza di furti passati. Il fatto che a queste telecamere si potesse inoltre accedere da remoto aggrava la situazione. Se l’accesso da remoto si può immaginare come necessario nel caso di telecamere interne alla propria abitazione, per evitare sorprese quando si va in vacanza, nel caso di telecamere installate in un bagno tale necessità risulta molto più difficile da provare. Sarà dunque opportuno che il gestore dello stabile abbia fatto una valutazione del rischio per i diritti degli interessati e al contempo abbia scelto delle telecamere e un sistema di sicurezza idoneo a prevenire facili intrusioni esterne.

Con l’intelligenza artificiale la situazione potrebbe peggiorare

Tutto questo accade mentre a Bruxelles si discute sull’opportunità o meno di rendere illecita la possibilità di usare tecnologie di riconoscimento biometrico da remoto, anche da parte delle forze dell’ordine. Se finora abbiamo parlato di semplici telecamere, quelle che consento anche il riconoscimento facciale potrebbero, in assenza di una adeguata regolamentazione, diffondersi in spazi pubblici e privati, giustificate dalla necessità di prevenzione e sicurezza. In questi mesi se ne parla a Bruxelles relativamente alla proposta di regolamento europeo sull’intelligenza artificiale.

Nella posizione del Parlamento europeo c’è l’intenzione di impedirne l’uso anche da parte delle forze dell’ordine, per le quali sono previste delle eccezioni non troppo stringenti. Vale poi la pena ricordare che in passato il Garante della privacy si è già dovuto pronunciare sull’uso della videosorveglianza con riconoscimento facciale da parte delle forze dell’ordine, quando queste hanno proceduto all’installazione senza aver condotto una valutazione d’impatto o aver chiesto una consultazione preventiva al Garante.

Tornando al caso di cronaca, l’accesso a queste telecamere consentirebbe ad eventuali stalker di conoscere anche l’identità delle persone ritratte. Pericolo non del tutto scongiurato anche oggi, quando sono disponibili sul mercato software che consentono di individuare altre foto dalla rete e dai social, e le conseguenti informazioni, caricando la foto della persona che si vuole identificare. Il Garante della privacy ha da poco sanzionato con 20 milioni di euro Clearview AI, una azienda americana che ha preso dal web, senza consenso, anche le immagini di italiani per alimentare il suo database di oltre 10 miliardi di foto.

Il rischio Grande Fratello

La combinazione di una forte propensione a dotarsi di dispositivi tecnologici, unita alle scarse competenze informatiche e di sicurezza anche di base e ad una ancora poco diffusa cultura della tutela della privacy, costituisce la formula perfetta perché episodi come quello descritto siano all’ordine del giorno. Pensare che installare videocamere ovunque sia il modo più semplice per garantire la nostra sicurezza è frutto di una visione distorta di una società sempre più tecnosoluzionista, dove ogni problema si risolve con un gadget.

La verità è che il mondo e la tecnologia sono più complessi di come appaiono. Se si vuole davvero prevenire e garantire una maggior sicurezza, occorre diffondere la cultura della privacy e della sicurezza informatica nelle scuole e sul luogo di lavoro in modo continuativo, e non solo in occasione di un evento come un data breach. Il Garante della privacy lo sta facendo da tempo ma serve che anche la politica persegua questa idea altrimenti quanto immaginato da Orwell nel 1948, quando scrisse 1984, potrebbe diventare realtà, non importa se dietro allo schermo ci sia la polizia, un politico, o un guardone che ti spia quando vuole per 20 euro.

FONTE: lastampa

L’inferno di cyber attacchi che quotidianamente mette a rischio società e istituzioni europee ha colpito, seppur apparentemente senza gravi conseguenze, i sistemi di Mps. È la stessa banca senese a darne notizia, attraverso una email inviata a un numero imprecisato di clienti coinvolti.

La comunicazione, inviata nella serata del 17 giugno, informa di una violazione dei dati personali, così come previsto dall’articolo 34 del Gdpr. E tutto lascia presumere che l’attacco informatico risalga alle 72 ore precedenti.Il regolamento europeo, infatti, impone che il soggetto attaccato ne dia comunicazione ai suoi clienti «senza ingiustificato ritardo», e non oltre le 72 ore.

I dettagli sul data breach non sono molti, ma dalle prime informazioni pare che gli hacker siano venuti in possesso di dati riguardanti gli indirizzi email di alcuni clienti. «Nei giorni scorsi – è scritto nella lettera di Mps ai clienti interessati – la nostra Banca è stata oggetto di un episodio che ha consentito a terzi non legittimati, a fronte della elevatissima numerosità di tentativi di intrusione tipica di questi attacchi, di verificare in alcuni casi se indirizzi email già in loro possesso fossero riconoscibili dai nostri sistemi. Tale circostanza quindi, pur senza dare la possibilità di un effettivo accesso, ha determinato la conferma a terzi dell’esistenza della sua email nei nostri sistemi».

FONTE: ilsole24ore

Il gruppo criminale che opera con ransomware ALPHV, conosciuto anche come BlackCat, ha rivendicato sabato un attacco informatico ad una struttura statale italiana, l’Università di Pisa e ha cominciato a pubblicare i dati sottratti.

La rivendicazione arriva proprio in un momento delicato per gli attacchi ransomware in Italia, come abbiamo ben visto dalla complicazione delle elezioni amministrative nel Comune di Palermo, appena ripreso da un attacco molto simile.

Aggiornamento del 13 giugno 2022 ore 21:00

Ringraziamo Cybersecurity360 che sono riusci ad entrare in possesso della richiesta di riscatto, indirizzata direttamente all’Università di Pisa, dal gruppo criminale ALPHV (BlackCat). Che per non dare seguito a questo attacco dà tempo all’ente di pagare un corrispettivo di 4.500.000 dollari entro il 16 giugno prossimo, che diventerebbero 5 milioni qualora si sforasse oltre questa data.

Come suggerisce lo screenshot che stiamo diffondendo per la prima volta, gli attaccanti hanno creato un invito per la vittima colpita, ad interloquire su questa richiesta di riscatto, tramite una chat online sotto rete Tor. Con apposito accesso esclusivo specifico per la vittima in questione (l’Università di Pisa).

Ricordiamo che la cifra viene richiesta per poter avere nuovamente accesso ai file che sono stati, al momento, criptati e resi così inutilizzabili. Ma anche per evitare la gogna pubblica che il gruppo criminale metterà in essere, diffondendo online tutto il materiale esfiltrato durante l’attacco. Rendendo così il massimo livello di danno che il databreach subito possa causare (soprattutto se all’interno ci sono dati particolarmente sensibili).

FONTE: cybersecurity360

Con l’ultimo aggiornamento cumulativo di giugno 2022, Microsoft interviene (finalmente?) per correggere la nota vulnerabilità zero-day ribattezzata come Follina, che risultava già sfruttata da alcuni hacker.

Va da se che è consigliabile aggiornare Windows il prima possibile, al fine di correggere questa falla potenzialmente pericolosa, così come suggerito anche da Microsoft. L’intervento dell’azienda è sempre gradito, seppur intempestivo, ricordiamo infatti che il Colosso di Redmond non è nuovo a situazioni come questa. Per fare un esempio, la vulnerabilità “DogWalk” è stata patchata dopo due anni.

Ricordiamo ai nostri lettori che Follina è stata una vulnerabilità zero-day (appartenente cioè a quelle falle non individuate o non corrette) classificata come CVE-2022-3019 che riguarda lo Strumento di diagnostica supporto tecnico Microsoft (MSDT). Sfruttandola, era possibile eseguire codice arbitrario con un livello di privilegio tale da poter installare programmi, visualizzare, modificare o eliminare dati e, addirittura, creare account Windows.

Secondo il ricercatore di sicurezza noto come nao_sec, Follina consente agli hacker di eseguire comandi di PowerShell dannosi tramite MSDT tramite l’apertura o l’anteprima di documenti Word.

Will Dorman, analista delle vulnerabilità presso CERT/CC, ha sottolineato tramite Twitter che le patch rilasciate da poco da Windows non impediscono la creazione del file msdt.exe, ma neutralizzano il vettore di attacco bloccando l’injection di PowerShell.

Resta comunque valido il consiglio condiviso con gli amministratori di Windows, ovvero di disabilitare il protocollo MSDT per scongiurare il suo uso improprio allo scopo di eseguire codice arbitrario da remoto. La vulnerabilità riguardava tutte le versioni di Windows ancora coperte dagli aggiornamenti di sicurezza, inclusi Windows 7 e Windows Server 2008.

FONTE: tomshardware

Come potreste sapere, i ransomware agiscono criptando file e dati, anche al livello dell’intero sistema/disco, per consentire ai criminali di esigere un riscatto con la promessa di restituire alla vittima l’accesso ai sistemi colpiti.

Di recente, i ricercatori di Palo Alto Networks Unit 42 hanno scoperto una maggiore attività del ransomware noto come Hello XD, con una versione connotata da una crittografia ancora più efficace. Questo malware è operativo già da novembre 2021 e basato sul codice sorgente di Babuk, protagonista di alcuni casi di doppia estorsione (furto di dati + crittografia ed estorsione).

Secondo i ricercatori il malware ora gode di un nuovo strumento crittografico in grado di evitare i sistemi di rilevamento e modificare l’algoritmo di crittografia tramite packing personalizzato. Dunque, viene abbandonato Babuk in funzione di un nuovo ceppo di ransomware con capacità uniche. Tra gli aspetti più notevoli, e preoccupanti di Hello XD, è che il malware rilascia una backdoor sul sistema colpito durante le operazioni di crittografia, inoltre tenta di disattivare le copie nascoste per impedire il ripristino del sistema, per poi criptare i file con estensione .hello.

La backdoor è open source ed è nota come MicroBackdoor e consente di accedere al sistema compromesso, esfiltrare i dati, eseguire comandi e cancellare ogni traccia della sua presenza. Hello XD viene già utilizzato in attacchi reali, gettando al contempo le fondamenta per ulteriori violazioni. Secondo Unit 42, avrebbe origini russe, dato che il malware può essere ricollegato a X4KME, un hacker russo che avrebbe condiviso dei tutorial sull’implementazione dei beacon Cobal Strike e dell’infrastruttura dannosa.

Sempre lo stesso hacker avrebbe pubblicato su alcuni forum dei proof-of-concept, servizi crittografici, distribuzioni personalizzate dei Kali Linux e servizi di distribuzione e hosting di malware. Tutto lascia intendere che si tratti di un soggetto molto competente e che potrebbe rendere Hello XD ancora più subdolo ed efficace. Per questo motivo, gli analisti dovranno monitorare la situazione in modo approfondito.

FONTE: tomshardware