Connect with us

Senza categoria

PA, password e login in chiaro sul P2P

Diverse utenze di amministrazioni pubbliche sono apparse online. Ne traspare un’Italia che non ha ancora ben chiara l’importanza dell’uso di password robuste

Avatar

Pubblicato

il

Leggendo quello che è successo nelle scorse settimane, pare sempre più evidente una scarsa comprensione della sicurezza data dalle password lunghe e complesse. Almeno in Italia, dove alcune credenziali sono apparse in chiaro su un noto sito di file sharing. Si tratta di codici d’accesso a siti pubblici realizzati tramite CMS, come WordPress e JoomlaTra le vittime, anche la pagina del vice presidente del Consiglio Regionale della Lombardia, Carlo Borghetti. I portali in questione erano tutti afferenti a servizi di aziende italiane e la loro estensione era .it, .info e .com. Ma la cosa che ha lasciato pensare più di tutte, al di là della pubblicazione, è stata la “potenza” quasi nulla delle credenziali adottate: vi era qualche form che utilizzava come login la scritta “admin1” e come password la parola “admin1”.

Leggi anche: app rubano password di Facebook.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

Senza categoria

Account Facebook presi di mira

Kaspersky ha individuato un nuovo schema di phishing che prende di mira gli account aziendali di Facebook

Avatar

Pubblicato

il

Quando si clicca sul link dell’e-mail di phishing, si accede a una vera pagina di Facebook che mostra un avviso simile, per poi essere reindirizzati a un sito di phishing con il marchio Meta, che riduce il tempo per risolvere il problema da 24 a 12 ore. Questo sito chiede inizialmente informazioni generiche, seguite da e-mail o numero di telefono e password dell’account. Gli aggressori utilizzano account Facebook compromessi per inviare queste notifiche, cambiando il nome e l’immagine del profilo dell’account per creare messaggi minacciosi, assicurando che le notifiche raggiungano i destinatari tramite l’infrastruttura di Facebook.

“Anche le notifiche che sembrano legittime e provengono da una fonte affidabile come Facebook possono essere ingannevoli. È fondamentale esaminare attentamente i link che vi vengono inviati, soprattutto quando si tratta di inserire dati o effettuare pagamenti. Questo può contribuire in modo significativo alla protezione degli account aziendali dagli attacchi di phishing“, ha commentato Andrey Kovtun, Security Expert di Kaspersky.

Ulteriori informazioni su questa truffa di Facebook sono disponibili su Kaspersky Daily.

 

Leggi anche: “Come individuare una truffa deepfake

 

*illustrazione articolo progettata da Freepik

 

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Calcio da cyber-professionisti

Con l’avvicinarsi di UEFA Euro 2024™, le minacce informatiche per gli appassionati di sport sono in aumento. Questi eventi sono bersagli attraenti per i criminali informatici, soprattutto con la crescente digitalizzazione delle infrastrutture di streaming

Avatar

Pubblicato

il

A ridosso di uno dei maggiori eventi sportivi europei di quest’anno, UEFA Euro 2024TM, che avrà luogo in Germania tra il 14 giugno e il 14 luglio, le minacce informatiche per gli appassionati di sport sono in aumento. Questo tipo di situazioni in occasione di grandi eventi hanno già una lunga tradizione e con la crescente digitalizzazione dell’infrastruttura per lo streaming diventano ancora più allettanti per i criminali informatici.

 

Rischi per i tifosi

Gli organizzatori stanno avvertendo i tifosi delle possibili truffe nella vendita dei biglietti. Martin Kallen, responsabile degli eventi UEFA, ha segnalato milioni di richieste non valide durante la prima fase di vendita, attribuendo il problema ai “bot” che operano per il mercato nero. Anche il Centro europeo dei consumator e il BSI (Ufficio federale per la sicurezza delle informazioni tedesco) offrono consigli per evitare queste truffe.

 

Minacce informatiche oltre i biglietti

Le minacce informatiche non si limitano ai biglietti. Durante la Coppa del Mondo 2022 in Qatar, Avanan, una società di Check Point, ha rilevato un aumento delle e-mail di phishing riguardanti biglietti gratuiti e link per lo streaming. Un esempio è il sito web malevolo “uefa2024[.]org”, che si spaccia per un dominio ufficiale UEFA.

Esempio di sito web malevolo “uefa2024[.]org” che si spaccia per un dominio ufficiale UEFA (Fonte: Check Point Research 2024)

 

Attacchi DDoS

Gli attacchi DDoS rappresentano un’altra minaccia significativa, mirata a disturbare le trasmissioni negli stadi e diffondere disinformazione. Eventi come le Olimpiadi invernali del 2018 in Corea del Sud hanno già subito attacchi simili, chiamati “Olympic Destroyer“. Sebbene non siano stati ancora rilevati attacchi DDoS durante le partite di calcio, la possibilità resta concreta, come dimostrato dagli attacchi alla LCK, la Premier League del gioco online League of Legends, lo scorso febbraio.

 

L’uso di deepfake

Gli strumenti di intelligenza artificiale e i deepfake rappresentano una minaccia crescente, permettendo l’uso di immagini e video di star del calcio o celebrità per truffe. Su piattaforme come GitHub e Telegram sono disponibili migliaia di repository e canali che offrono servizi di deepfake a prezzi variabili.

 

Minacce alle infrastrutture critiche

Le infrastrutture critiche degli Stati potrebbero essere prese di mira durante UEFA Euro 2024™, con attacchi ai sistemi semaforici o agli impianti energetici per causare blackout nelle zone degli incontri.

 

Consigli per la sicurezza

Ecco alcuni consigli per le organizzazioni e i dipendenti appassionati di sport per evitare di cadere vittima di cyberattacchi:

Formazione sulla sicurezza: Sensibilizzare sul phishing e sulle truffe legate ai biglietti.

Aumento delle misure di protezione: Contrastare disinformazione, deepfake e altre tecniche di social engineering.

Prevenzione delle minacce: Proteggere le infrastrutture critiche tramite fornitori di servizi IT.

Preparazione al DDoS: Essere pronti a difendere siti governativi e sportivi da attacchi durante le partite.

Zero Trust: Prevenire movimenti laterali dopo infiltrazioni riuscite.

Prontezza di risposta agli incidenti: Assicurarsi che i sistemi rimangano operativi in caso di violazione.

Disaster Recovery e backup: Ridurre i tempi di inattività.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Nuova opzione anti-phishing per Chrome

Safe Browsing si aggiorna per rendere più sicura l’esperienza di navigazione

Avatar

Pubblicato

il

Un importante aggiornamento per Safe Browsing su Chrome introdurrà protezione in tempo reale contro malware e phishing. Questo sviluppo migliora significativamente la sicurezza degli utenti confrontando i siti Web con un elenco aggiornato di URL dannosi. Con oltre 5 miliardi di dispositivi protetti e l’analisi quotidiana di miliardi di URL e file, questo upgrade promette di ridurre i tentativi di phishing del 25%.

Safe Browsing protegge già oltre 5 miliardi di dispositivi in tutto il mondo, difendendo da phishing, malware, software indesiderati e altro ancora”, hanno dichiarato Jasika Bawa e Jonathan Li di Google, precisando che lo strumento “valuta ogni giorno più di 10 miliardi di URL e file, mostrando a più di 3 milioni di utenti avvisi di potenziali minacce”.

Inoltre, con questo questo aggiornamento BigG garantirà anche la privacy degli utenti nel corso della navigazione, grazie a una nuova API che utilizza per offuscare gli URL dei siti Web visitati.

 

 

Leggi anche: “Tor Browser: nuova versione disponibile


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Redline è il malware più utilizzato

Nel 2023, secondo Kaspersky Digital Footprint Intelligence, oltre il 55% dei dispositivi presi di mira da attacchi di furto di password è stato infettato dal malware Redline

Avatar

Pubblicato

il

Secondo le informazioni estratte dai file di registro circolanti liberamente sul Dark Web, Redline ha rappresentato il 51% delle infezioni da infostealer dal 2020 al 2023. Altre famiglie di malware rilevanti includono Vidar (17%) e Raccodon (quasi il 12%). Complessivamente, Kaspersky Digital Footprint Intelligence ha individuato circa 100 varianti diverse di infostealer tra il 2020 e il 2023, analizzando i metadati dei file di registro. Il mercato illegale per lo sviluppo di malware finalizzato al furto di dati sta espandendosi, evidenziato dalla crescente diffusione degli stealer. Tra il 2021 e il 2023, la percentuale di infezioni causate da nuovi stealer è salita dal 4% al 28%. Nel 2023, in particolare, il nuovo stealer “Lumma” ha da solo causato oltre il 6% di tutte le infezioni.

I cambiamenti nella popolarità dei tre furti più diffusi nel periodo 2020-2023. Fonte: Kaspersky Digital Footprint

 

 Lumma è comparso nel 2022 e ha guadagnato popolarità nel 2023 grazie un modello di distribuzione Malware-as-a-Service (MaaS). Questo significa che qualsiasi criminale, anche chi non ha competenze tecniche avanzate, può acquistare un abbonamento per una soluzione malevola preconfezionata e utilizzare questo stealer per portare a termine i cyberattacchi. Lumma è stato progettato principalmente per rubare credenziali e altre informazioni dai portafogli di criptovalute, comunemente diffuse attraverso campagne di spam via e-mail, YouTube e Discord”, ha commentato Sergey Shcherbel, Expert di Kaspersky Digital Footprint Intelligence.

Gli infostealer si infiltrano nei dispositivi per ottenere credenziali sensibili come login e password in modo illegale, che vengono poi rivendute sul mercato shadow, costituendo una minaccia pericolosa per la sicurezza informatica dei sistemi personali e aziendali. Alla luce di questa crescente minaccia, Kaspersky ha lanciato una landing page, raggiungibile a questo indirizzo dedicata per aumentare la consapevolezza del problema e fornire consigli per mitigare i rischi associati.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Link malevoli negli allegati PDF

Il gruppo TA450, legato all’IRAN, ha tentato di distribuire un URL dannoso in un allegato PDF invece di collegare direttamente il file in un’email

Avatar

Pubblicato

il

I ricercatori di Proofpoint hanno scoperto una nuova attività da parte del gruppo TA450, un attore di minacce allineato all’Iran, noto anche come MuddyWater, Mango Sandstorm e Static Kitten, in cui ha utilizzato un’esca di social engineering a pagamento per colpire dipendenti israeliani di grandi organizzazioni multinazionali. In particolare, TA450 ha inviato email con allegati PDF contenenti link malevoli. Sebbene questo metodo non sia del tutto estraneo a TA450, più di recente questo attore si era affidato a link pericolosi inclusi direttamente nel corpo dei messaggi email, invece di aggiungere questo ulteriore passaggio.
I ricercatori di Proofpoint hanno notato che gli stessi obiettivi stavano ricevendo una serie di email di phishing con allegati PDF. Questi allegati contenevano link leggermente diversi che reindirizzavano a vari siti di condivisione file, tra cui Egnyte, Onehub, Sync e TeraBox. Inoltre, le email inviate in questa campagna hanno utilizzato un account salary[@]<compromisedorg>co[.]il, che è in linea con l’oggetto a tema retributivo

Come si può notare dalle figure 1 e 2 in basso, quando veniva aperto l’allegato e si cliccava sul link, veniva scaricato un archivio compresso in formato ZIP contenente un MSI che installava un software di amministrazione remota denominato AteraAgent.

Figura 1. Allegato PDF aperto con link dannoso (Traduzione automatica: Titolo del documento: Busta paga; Corpo del PDF: Buongiorno, d’ora in poi riceverai la tua busta paga tramite questo software).

 

Figura 2. Archivio ZIP tramite Onehub che porta al download del software di amministrazione remota.

 

Sebbene questa campagna condotta dal gruppo TA450 non sia il primo caso osservato in cui utilizza allegati con link malevoli come parte della catena di attacco, è la prima volta che i ricercatori di Proofpoint hanno osservato TA450 tentare di distribuire un URL pericoloso in un allegato PDF invece di collegare direttamente il file in una email.

Per approfondimenti, visitate questo link.

 

*illustrazione articolo progettata da  Freepik

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Vulnerabilità  in Microsoft Themes

Recentemente, Akamai ha identificato una vulnerabilità di spoofing in Microsoft Themes, designata come CVE-2024-21320 con un punteggio CVSS di 6,5.

Avatar

Pubblicato

il

Fin dall’epoca di Windows XP, Microsoft ha offerto varie opzioni di personalizzazione visiva, tra cui colori, caratteri e cursori, per rendere l’esperienza utente più piacevole. Per visualizzare i temi installati, basta fare clic destro sul desktop, selezionare Personalizza e quindi Temi. I file dei temi hanno l’estensione .theme e la documentazione è disponibile su MSDN.
Questa caratteristica, apparentemente innocua, può rivelarsi sede di vulnerabilità dannose. Nell’analisi del Patch Tuesday di settembre 2023, Akamai ha discusso brevemente l’impatto della vulnerabilità CVE-2023-38146. Inoltre, Akamai ha condotto test sui valori di un file di tema, scoprendo la mancanza di convalida di alcuni parametri. Sfruttando tale falla, è possibile eseguire un attacco con un’interazione dell’utente praticamente nulla. L’aggressore può sfruttare la vulnerabilità semplicemente facendo scaricare un file “.theme” sul computer della vittima. Quando l’utente visualizza il file in Explorer, vengono automaticamente inviati pacchetti di handshake Server Message Block (SMB) contenenti le credenziali al server dell’aggressore.
Questa vulnerabilità colpisce tutte le versioni di Windows, poiché i temi sono una funzionalità integrata nel sistema operativo. Microsoft ha risolto il problema nel Patch Tuesday di gennaio 2024, fornendo un file di prova del tema, un video di dimostrazione e diverse modalità per mitigare la vulnerabilità.

Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.

 

 

Leggi anche: “Akamai ha mitigato un attacco di tipo DDoS

*illustrazione articolo progettata da  Freepik

 

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Alla scoperta del Ransomware Forensics

È l’analisi di un attacco che consente di raccogliere le prove digitali per meglio capire come si è verificata la violazione dei sistemi informatici. Ma quando si usa?

Avatar

Pubblicato

il

Di ransomware e del loro dilagare con attacchi in netto aumento negli ultimi anni, ne abbiamo parlato spesso. I ransomware rappresentano oggi la principale minaccia per la sicurezza informatica, soprattutto nel Bel Paese; lo scorso anno sono stati ben 188 gli attacchi documentati, in crescita del 169% rispetto all’anno precedente, con un preoccupante 7,6% degli attacchi andati a buon fine, contro il 3,4% del 2021. Sono questi i dati inquietanti divulgati per l’anno 2023 dal rapporto redatto dall’Associazione Italiana per la Sicurezza Informatica (CLUSIT), fondata nell’anno 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano.
In seguito a un attacco da ransomware, gli esperti del settore si ritrovano spesso a dover affrontare una vera e propria indagine forense in grado di analizzare l’intero processo al fine di individuarne i dati compromessi, quelli trafugati e possibilmente gli autori materiali dell’attacco.

 

Analizzare l’attacco

Vittime dell’attacco, forze dell’ordine o compagnie di assicurazioni, in seguito a un attacco ransomware posso ricorrere a quella che in gergo è conosciuta come Ramsomware Forensic, un processo d’indagine complesso e impegnativo, ma che può rivelarsi davvero utile per le vittime di un attacco e per le forze dell’ordine.
L’indagine digitale si può sostanzialmente riassumere in due fasi: raccolta e analisi delle prove, interpretazione e reporting dell’indagine. Nella prima fase gli investigatori digitali catalogano tutte le prove in loro possesso (log di sistema, registro degli eventi, flussi di rete ecc.), poi si procede con la ricerca di informazioni utili per determinare il punto debole utilizzato per sferrare l’attacco, le attività eseguite dal malware, i dati trafugati e/o criptati, le eventuali tracce che possono far risalire all’autore dell’attacco. L’interpretazione delle prove consentirà quindi agli esperti di ricostruire l’intera sequenza degli eventi dell’attacco; a quest’ultima fase seguirà lo step finale, ovvero la presentazione dei risultati dell’indagine alle parti interessate.

 

Gli strumenti e le tecniche

Ma quali sono gli strumenti che gli investigatori forensi digitali usano per compiere il lavoro investigativo in seguito a un attacco ransomware? Tra i vari tool spiccano i quelli in grado di analizzare i file criptati dal malware tentandone il ripristino, i software utilizzati per analizzare i file di log e i file di sistema per identificare le informazioni utili all’indagine e quelli impiegati per analizzare il codice del malware al fine di carpirne funzionalità e origini.
La scelta dello strumento più adatto dipende da una serie di fattori, tra cui il tipo di ransomware coinvolto, le risorse disponibili e le competenze dell’analista forense. Di seguito alcuni degli strumenti maggiormente utilizzati, da soli o in combinazione.

Volatility: un framework open source scritto in Python, disponibile per Windows, Linux e macOS, utile per l’analisi della memoria forense e utile per ricostruire eventi avvenuti sulla macchina oggetto dell’attacco. Il framework consente di estrarre informazioni da processi e thread in esecuzione, DLL caricate, registri interessati etc.

Sito Internet: https://www.volatilityfoundation.org/

 

FTK Imager: uno strumento impiegato per eseguire una copia forense di ogni supporto digitale. Consente, inoltre, di eseguire la copia della memoria RAM e visualizzare in anteprima file e cartelle su dischi locali, unità di rete, o qualunque altra unità flash.
Sito Internet: https://www.exterro.com/ftk-imager

 

Wireshark: un potente analizzatore di pacchetti di rete open source. Permette di catturare il traffico di rete proveniente da diverse interfacce, consentendo l’analisi del flusso di dati in tempo reale o da dati “catturati” in precedenza. Wireshark è in grado di decodificare e visualizzare pacchetti di dati in base a una vasta gamma di protocolli di rete, tra cui HTTP, TCP, UDP, IP, DNS, SSL/TLS etc, consentendo agli investigatori di esaminare in dettaglio come i dati vengono scambiati tra i vari dispositivi di rete.

Sito Internet: https://www.wireshark.org/

 

CAPEv2: una potente sandbox forense open source. Permette di eseguire o controllare file sospetti in un ambiente controllato e isolato. Il tool consente anche di recuperare tracce di chiamate API win32 eseguite da tutti i processi generati dal malware, così come i file creati, eliminati e scaricati da quest’ultimo.

Sito Internet: https://github.com/kevoreilly/CAPEv2

 

Autopsy: Permette l’analisi di partizioni o immagini del disco. In seguito a un attacco il tool permette di analizzare i dispositivi di archiviazione, recuperare file di ogni genere e cercare manipolazioni del sistema all’interno del filesystem.

Sito Internet: https://www.autopsy.com/

Dal Rapporto CLUSIT 2023 si evince che il 37% degli attacchi globali sfruttano ii malware, seguono lo sfruttamento delle vulnerabilità (12%), phishing e social engineering (12%) e attacchi di tipo DDoS (4%).

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending