Connect with us

News

Hacker Cinesi dirottano satelliti Usa

Avatar

Pubblicato

il

La società di sicurezza informatica Symantec ha scoperto un gruppo di hacker con sede in Cina che ha preso di mira aziende di comunicazioni satellitari, organizzazioni di imaging geospaziale e operatori di telecomunicazioni.

Symantec ha concluso che gli hacker sono un gruppo con sede in Cina chiamato Thrip. Dice che i motivi dietro gli hack sono probabilmente legati allo spionaggio , ma ha anche notato che il modello degli hack lascia i suoi bersagli aperti a tattiche più aggressive.

Symantec ha monitorato Thrip dal 2013, ma questo caso più recente è stato rilevato a gennaio da un nuovo strumento di analisi denominato Targeted Attack Analytics, che utilizza l’intelligenza artificiale e l’apprendimento automatico per esaminare i dati e identificare i modelli associati agli attacchi. L’azienda ha rilasciato eventuali protezioni;

File-based protection

Intelligence sulle minacce

Oltre alla protezione basata su file, i clienti del servizio Deep Adight Intelligence Managed Adversary e Threat Intelligence(MATI) hanno ricevuto più report su Thrip (nome in codice ATG14) che dettagliano i metodi di rilevamento e attività contrastanti di questo gruppo.

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

News

L’evoluzione dei ransomware

Aumenta la minaccia di RansomHub, che in Italia è responsabile del 30% di tutte le vittime, mentre Lockbit registra un declino operativo. Le nuove minacce si focalizzano sul furto di dati

Avatar

Pubblicato

il

L’ultimo rapporto di Check Point Research (CPR) evidenzia che il ransomware rimane la principale minaccia informatica. Un nuovo protagonista, RansomHub, sta crescendo rapidamente nel panorama del ransomware, operando come Ransomware-as-a-Service (RaaS) e rappresentando il 19% degli attacchi a settembre 2024. Questo segnala un cambiamento significativo nel mondo dei criminali informatici. Nel contempo, Lockbit, una volta dominante, ha visto un calo significativo, essendo responsabile solo del 5% delle nuove vittime, molte delle quali derivano da attacchi precedenti. Il rapporto sottolinea una transizione nell’ecosistema del ransomware, con nuovi attori che utilizzano tattiche avanzate come l’estorsione dei dati e la crittografia remota, mettendo alla prova le difese di sicurezza tradizionali in vari settori. Viene inoltre evidenziato che i settori più colpiti dai ransomware sono la produzione industriale e l’istruzione, specialmente in Nord America.

 

 Nel dettaglio

In sintesi l’ultimo rapporto di Check Point Research (CPR) evidenzia:

  • L’ascesa di RansomHub: dalla sua nascita nel febbraio 2024, RansomHub è cresciuto rapidamente, prendendo di mira aziende con sede negli Stati Uniti, comprese realtà di rilievo nel settore sanitario, nonostante la sua politica dichiarata di evitare organizzazioni non profit e ospedali.
  • Il declino di Lockbit: un tempo dominante, Lockbit rappresenta ora solo il 5% delle vittime. Molte di queste sono state riciclate da attacchi precedenti, il che suggerisce che la scala degli affiliati del gruppo è diminuita in modo significativo.
  • L’evoluzione di Meow Ransomware: allontanandosi dalle tradizionali tattiche di crittografia, Meow si concentra ora sul furto di dati e sull’estorsione, riflettendo la tendenza più ampia verso strategie di ransomware non basate sulla crittografia.
  • Impatto nei settori: l’industria manifatturiera rimane il settore più bersagliato, subito seguito dall’istruzione. Le organizzazioni sanitarie continuano a essere prese di mira, nonostante le dichiarazioni pubbliche di alcuni gruppi contro gli attacchi a tali istituzioni.
  • Impatto globale. L’impatto di RansomHub è stato avvertito a livello globale, ma la concentrazione degli attacchi in Nord America rimane elevata, con il 48% delle vittime negli Stati Uniti.
  • In Italia: nel nostro Paese il gruppo RansomHub è responsabile del 30% di tutte le vittime di ransomware, mentre Lockbit, nonostante il netto declino sta ancora mietendo vittime. Sono i settori della produzione industriale e dei beni e servizi di consumo i più colpiti, con l’80% delle vittime.

Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Gamer sotto attacco hacker

Identificata una nuova campagna malevola che inganna gli utenti Windows con falsi CAPTCHA e messaggi di errore del browser

Avatar

Pubblicato

il

Un CAPTCHA è una funzione di sicurezza utilizzata su siti Web e app per distinguere tra utenti reali e bot. Recentemente, ci sono stati attacchi che hanno distribuito il malware Lumma utilizzando CAPTCHA falsi, principalmente colpendo i gamer. Gli utenti venivano indotti a cliccare su un banner che li reindirizzava a una falsa pagina CAPTCHA, dove venivano istruiti a scaricare Lumma. Cliccando su “Non sono un robot”, veniva copiato un comando PowerShell criptato negli appunti del PC, che gli utenti dovevano incollare e eseguire, scaricando così il malware. Lumma cercava file relativi a criptovalute, cookie e dati dei password manager, e visitava siti di e-commerce per aumentare le visualizzazioni e il guadagno economico degli hacker.

Un falso CAPTCHA con istruzioni pericolose

In una nuova ondata di attacchi, i ricercatori Kaspersky hanno identificato un altro schema dove un messaggio di errore finto stile Chrome sostituiva il CAPTCHA. Anche in questo caso, veniva richiesto di copiare un comando PowerShell per scaricare il malware. Questa nuova ondata prende di mira non solo i gamer, ma anche altri utenti attraverso servizi di file-sharing, applicazioni Web, portali di bookmaker, pagine di contenuti per adulti, community di appassionati di anime e altri canali. Gli aggressori utilizzano anche il Trojan Amadey, che ruba credenziali dai browser e dai portafogli di criptovalute, cattura screenshot e ottiene credenziali per i servizi di accesso da remoto. Per ulteriori informazioni visita Securelist.

Un messaggio falso che imita messaggi di Google Chrome

 

Leggi anche: “Kaspersky protegge la posta elettronica

 

*illustrazione articolo progettata da  SecureList


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Gli attacchi arrivano via Telegram

Il malware, diffuso tramite la nota app di messaggistica, è stato progettato per rubare dati sensibili, come password, e prendere il controllo dei dispositivi degli utenti per scopi di spionaggio

Avatar

Pubblicato

il

Una recente campagna di attacchi informatici, collegata al gruppo APT noto come DeathStalker, ha cercato di infettare vittime nei settori del trading e del fintech con il malware DarkMe, un remote access Trojan (RAT). Gli attacchi, osservati da Kaspersky, hanno colpito più di 20 Paesi in Europa, Asia, America Latina e Medio Oriente. Gli aggressori hanno probabilmente utilizzato canali Telegram specializzati per distribuire file dannosi nascosti in archivi RAR o ZIP. Questi file contenevano eseguibili pericolosi (.LNK, .com, .cmd) che, una volta eseguiti, installavano il malware DarkMe, consentendo ai criminali di rubare informazioni ed eseguire comandi remoti.

I dettagli dell’attacco

Gli aggressori hanno usato Telegram per distribuire il malware e hanno migliorato le misure di sicurezza operativa e di pulizia post-compromissione. Dopo l’installazione del malware DarkMe, i file di distribuzione venivano rimossi per evitare il rilevamento e l’analisi. DeathStalker, attivo dal 2012 e noto anche come Deceptikons, è un gruppo di cyber-mercenari specializzati in hacking e intelligence finanziaria. Il loro obiettivo principale è la raccolta di informazioni commerciali, finanziarie e personali, principalmente per clienti aziendali. Prendono di mira piccole e medie imprese, società finanziarie, fintech, studi legali e, occasionalmente, enti governativi. DeathStalker evita di rubare fondi, rafforzando l’ipotesi che si tratti di un’organizzazione di intelligence privata. Inoltre, cerca di eludere l’attribuzione delle proprie attività imitando altri gruppi APT e utilizzando false segnalazioni.

 

Leggi anche: “Il Trojan che spaventa le banche

*illustrazione articolo progettata da  Freepik

Continua a Leggere

News

Il trojan che spaventa le banche

Grandoreiro è la nuova minaccia che ha preso di mira più di 1.700 istituzioni finanziarie e 276 portafogli di criptovalute in 45 Paesi e territori, espandendo il proprio raggio d’azione anche in Asia e Africa

Avatar

Pubblicato

il

Nonostante l’arresto di alcuni operatori chiave all’inizio del 2024, il trojan bancario Grandoreiro continua a essere utilizzato in nuove campagne, specialmente in Messico, coinvolgendo circa 30 banche. Kaspersky ha scoperto una nuova versione “light” del malware, che rimane una delle minacce più attive a livello globale, responsabile di circa il 5% degli attacchi con trojan bancari rilevati quest’anno.
Nonostante l’azione dell’INTERPOL, il codice del trojan è stato suddiviso in versioni più piccole, permettendo ai criminali di proseguire gli attacchi. Tra le nuove tattiche adottate dal malware, c’è la simulazione del comportamento del mouse e una tecnica di crittografia avanzata chiamata Ciphertext Stealing (CTS). Attivo dal 2016, Grandoreiro ha preso di mira oltre 1.700 istituzioni finanziarie e 276 portafogli di criptovalute in 45 Paesi, espandendo il suo raggio d’azione anche in Asia e Africa. Per ulteriori informazioni è possibile consultare il report su Securelist.

 

Leggi anche: “Kaspersky protegge la posta elettronica

*illustrazione articolo progettata da Securelist

Continua a Leggere

News

Il malware che ruba le criptovalute

I ricercatori di Kaspersky hanno scoperto un attacco condotto dal gruppo Lazarus che sfrutta una vulnerabilità zero-day in Chrome per rubare criptovalute

Avatar

Pubblicato

il

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una campagna di attacco sofisticata del gruppo Lazarus, che ha preso di mira investitori di criptovalute a livello globale. Gli aggressori hanno creato un sito Web fake sul tema delle criptovalute e sfruttato una vulnerabilità zero-day di Google Chrome per installare spyware e rubare credenziali dai portafogli digitali.

Nel maggio 2024, Kaspersky ha rilevato un attacco tramite il malware Manuscrypt, utilizzato dal gruppo Lazarus dal 2013. L’attacco era complesso, con uso di tecniche di social engineering e Gen AI per colpire gli investitori. Lazarus ha sfruttato due vulnerabilità, tra cui un bug type confusion in V8 di Google, segnalato e risolto come CVE-2024-4947, permettendo l’esecuzione di codice arbitrario e il bypass delle funzioni di sicurezza.

In particolare, il malware è stato diffuso attraverso un sito web di gaming falso che promuoveva un gioco di carri armati NFT. Per aumentare l’efficacia dell’attacco, Lazarus ha creato una campagna promozionale realistica usando account su piattaforme social e immagini generate dall’intelligenza artificiale. Hanno coinvolto anche influencer del settore delle criptovalute per diffondere il malware e prendere di mira direttamente i loro conti di criptovalute. Gli esperti di Kaspersky prevedono che Lazarus continuerà a utilizzare la Gen AI per attacchi sempre più complessi in futuro.

 

Un falso sito web di criptogame che sfruttava una vulnerabilità zero-day per installare spyware

Gli esperti di Kaspersky hanno scoperto che gli aggressori avevano creato una versione fasulla di un gioco legittimo, che sembrava essere una copia quasi perfetta dell’originale. Poco dopo l’inizio della campagna, gli sviluppatori del game autentico hanno dichiarato che 20.000 dollari in criptovaluta erano stati sottratti dai loro portafogli. Il logo e il design del gioco falso erano quasi identici all’originale, con minime differenze nel posizionamento del logo e nella qualità visiva. Questi dettagli, insieme a sovrapposizioni nel codice, dimostrano quanto Lazarus si sia impegnato a rendere credibile l’attacco. Il gruppo ha utilizzato il codice, sorgente rubato dal gioco originale, sostituendo i loghi e tutti i riferimenti, per aumentare il senso di autenticità.

Per ulteriori dettagli su questa campagna è possibile consultare il report completo su Securelist.

 

*illustrazione articolo progettata da  Securelist

Continua a Leggere

News

Microsoft è a rischio!

I malintenzionati si spacciano per dipendenti o fornitori Microsoft, ingannando le persone tramite e-mail fasulle. Questa tecnica potrebbe mettere a rischio la sicurezza aziendale e non solo

Avatar

Pubblicato

il

Microsoft risulta essere uno dei marchi più frequentemente impersonati dai truffatori nel settore tecnologico. I malintenzionati si spacciano per dipendenti o fornitori Microsoft, ingannando le persone tramite e-mail fasulle. Secondo una ricerca di Harmony Email & Collaboration, questa tendenza è in rapida crescita, con oltre 5.000 e-mail false identificate nell’ultimo mese. Queste e-mail utilizzano tecniche di offuscamento sofisticate, rendendo difficile distinguerle dalle comunicazioni legittime.

Le conseguenze per Microsoft sono gravi, poiché queste truffe possono portare al furto di account, ransomware e altre minacce. Le e-mail fraudolente sembrano provenire da domini organizzativi legittimi e spesso contengono false pagine di accesso che inducono gli utenti a inserire informazioni sensibili o scaricare minacce. I truffatori utilizzano tecniche di offuscamento, come l’inclusione di dichiarazioni sulla privacy di Microsoft o link a pagine Microsoft e Bing, per rendere le e-mail più credibili e difficili da rilevare per i sistemi di sicurezza tradizionali.

In basso un esempio che mostra un’e-mail falsa che imita perfettamente lo stile, il linguaggio e la grafica delle comunicazioni ufficiali di Microsoft, rendendo difficile per gli utenti riconoscerne la falsità. Le organizzazioni devono quindi adottare misure per proteggersi da queste minacce, migliorando la consapevolezza e la formazione degli utenti, e implementando soluzioni di sicurezza avanzate.

 

Ecco le misure che le organizzazioni possono adottare per evitare queste minacce:

  1. Consapevolezza degli utenti. Anche se il testo generativo basato sull’intelligenza artificiale riesce a eludere gli errori grammaticali e le incoerenze stilistiche è fondamentale una vera formazione alla consapevolezza dei rischi in cui rischia di incorrere e dei pericoli che le minacce possono creare.
  2. Sicurezza della posta elettronica basata sull’intelligenza artificiale. Questo blocca l’intero spettro delle incursioni nella casella di posta elettronica. Gli strumenti di sicurezza delle e-mail basati sull’intelligenza artificiale sfruttano l’analisi comportamentale e l’apprendimento automatico per prevenire spoofing, phishing, minacce BEC e altro ancora.
  3. Patching del software. Le organizzazioni devono mantenere tutti i software aggiornati, per evitare che i criminali informatici sfruttino eventuali bug che potrebbero consentire un facile spoofing delle e-mail o un’interruzione del servizio.

 

Leggi anche: “L’istruzione nel mirino


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Inaugurato il primo evento di live hacking in Italia

All’ultima edizione di RomHack oltre 50 hacker etici si sono sfidati a trovare vulnerabilità nei sistemi informativi e nelle applicazioni digitali di Ferrero

 

Avatar

Pubblicato

il

YesWeHack, una piattaforma globale di bug bounty e gestione delle vulnerabilità, ha collaborato con Ferrero per organizzare il primo evento live bug bounty in Italia. La competizione, che ha avuto luogo lo scorso 28 settembre durante la conferenza RomHack a Roma, ha visto la partecipazione di oltre 50 hacker etici provenienti da tutta Europa. Gli hacker hanno lavorato intensamente per 10-36 ore, cercando vulnerabilità nei sistemi informativi e nelle applicazioni digitali di Ferrero, guadagnando punti, prestigio e ricompense.
Questo evento sottolinea come un numero crescente di aziende, incluse le più grandi organizzazioni mondiali, utilizzi programmi di bug bounty per migliorare la propria sicurezza.

Le moderne applicazioni, sempre più complesse, non possono essere prive di vulnerabilità. Un live bug bounty aiuta le aziende a scovare e correggere molte vulnerabilità in un breve lasso di tempo. In una corsa contro il tempo, gli hacker etici sono spinti a collaborare e a competere per ottenere risultati significativi, oltre a fornire agli sviluppatori e ai team di sicurezza consigli utili a ridurre il rischio che si creino, in futuro, nuove vulnerabilità”, ha affermato Guillaume Vassault-Houlière, CEO e Co-Founder di YesWeHack.

 

L’attiva partecipazione alla sessione di live hacking ha confermato ulteriormente il nostro impegno a promuovere una cultura dell’innovazione e a migliorare la collaborazione con la comunità globale di professionisti della sicurezza informatica. Riconosciamo il ruolo chiave che gli hacker etici e i ricercatori svolgono nell’identificare le vulnerabilità e nel migliorare la sicurezza complessiva dei sistemi, con un chiaro vantaggio sia per i consumatori che per il business“, ha affermato Vittorio Addeo, Cyber ​​Offence Manager del Gruppo Ferrero.

 

“Questa opportunità è stata essenziale per esplorare nuove aree e metodologie per rilevare le vulnerabilità, superare i limiti dei test di sicurezza e rafforzare il nostro approccio proattivo alla protezione dei dati e degli asset digitali. L’obiettivo è imparare, crescere e continuare a costruire un ambiente digitale più sicuro“, ha aggiunto Andrea Lombardini, Group Cyber ​​Security Manager del Gruppo Ferrero.

 

 

Leggi anche: “RomHack 2019: cybersecurity convention

Continua a Leggere

Trending