News
Elon Musk avverte di possibili attacchi mirati a Starlink in Ucraina
Elon Musk ha espresso le sue preoccupazioni per il futuro del servizio Starlink di SpaceX in Ucraina, dato l’attuale scenario di incertezza nel paese dopo l’invasione russa.
Secondo un tweet pubblicato da Musk, c’è un’alta probabilità che il servizio Internet satellitare Starlink venga preso di mira. Vale la pena notare che la connettività Internet in Ucraina è crollata del 20% il 26 febbraio, secondo un rapporto di Reuters.
Durante il fine settimana, SpaceX di Elon Musk ha attivato il servizio Internet Starlink in Ucraina dopo una richiesta formale . Il ministro della trasformazione digitale del paese e primo vice primo ministro, Mykhailo Fedorov, ha chiesto a Musk di inviare più stazioni Starlink perché l’invasione russa aveva interrotto considerevolmente il servizio Internet del paese.
Nel suo messaggio di avvertimento su Twitter, Elon Musk ha scritto che poiché Starlink è ora l’unico sistema di comunicazione non russo attualmente attivo in Ucraina, la probabilità che venga preso di mira è considerevolmente alta.
Pertanto, le persone devono rimanere caute. Ha consigliato agli utenti di posizionare l’antenna il più lontano possibile dalle loro case e di utilizzare un “mimetismo leggero” per coprire il dispositivo ed evitare che venga rilevato.
@elonmusk, while you try to colonize Mars — Russia try to occupy Ukraine! While your rockets successfully land from space — Russian rockets attack Ukrainian civil people! We ask you to provide Ukraine with Starlink stations and to address sane Russians to stand.
— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022
News
L’evoluzione dei ransomware
Aumenta la minaccia di RansomHub, che in Italia è responsabile del 30% di tutte le vittime, mentre Lockbit registra un declino operativo. Le nuove minacce si focalizzano sul furto di dati
L’ultimo rapporto di Check Point Research (CPR) evidenzia che il ransomware rimane la principale minaccia informatica. Un nuovo protagonista, RansomHub, sta crescendo rapidamente nel panorama del ransomware, operando come Ransomware-as-a-Service (RaaS) e rappresentando il 19% degli attacchi a settembre 2024. Questo segnala un cambiamento significativo nel mondo dei criminali informatici. Nel contempo, Lockbit, una volta dominante, ha visto un calo significativo, essendo responsabile solo del 5% delle nuove vittime, molte delle quali derivano da attacchi precedenti. Il rapporto sottolinea una transizione nell’ecosistema del ransomware, con nuovi attori che utilizzano tattiche avanzate come l’estorsione dei dati e la crittografia remota, mettendo alla prova le difese di sicurezza tradizionali in vari settori. Viene inoltre evidenziato che i settori più colpiti dai ransomware sono la produzione industriale e l’istruzione, specialmente in Nord America.
Nel dettaglio
In sintesi l’ultimo rapporto di Check Point Research (CPR) evidenzia:
- L’ascesa di RansomHub: dalla sua nascita nel febbraio 2024, RansomHub è cresciuto rapidamente, prendendo di mira aziende con sede negli Stati Uniti, comprese realtà di rilievo nel settore sanitario, nonostante la sua politica dichiarata di evitare organizzazioni non profit e ospedali.
- Il declino di Lockbit: un tempo dominante, Lockbit rappresenta ora solo il 5% delle vittime. Molte di queste sono state riciclate da attacchi precedenti, il che suggerisce che la scala degli affiliati del gruppo è diminuita in modo significativo.
- L’evoluzione di Meow Ransomware: allontanandosi dalle tradizionali tattiche di crittografia, Meow si concentra ora sul furto di dati e sull’estorsione, riflettendo la tendenza più ampia verso strategie di ransomware non basate sulla crittografia.
- Impatto nei settori: l’industria manifatturiera rimane il settore più bersagliato, subito seguito dall’istruzione. Le organizzazioni sanitarie continuano a essere prese di mira, nonostante le dichiarazioni pubbliche di alcuni gruppi contro gli attacchi a tali istituzioni.
- Impatto globale. L’impatto di RansomHub è stato avvertito a livello globale, ma la concentrazione degli attacchi in Nord America rimane elevata, con il 48% delle vittime negli Stati Uniti.
- In Italia: nel nostro Paese il gruppo RansomHub è responsabile del 30% di tutte le vittime di ransomware, mentre Lockbit, nonostante il netto declino sta ancora mietendo vittime. Sono i settori della produzione industriale e dei beni e servizi di consumo i più colpiti, con l’80% delle vittime.
News
Gamer sotto attacco hacker
Identificata una nuova campagna malevola che inganna gli utenti Windows con falsi CAPTCHA e messaggi di errore del browser
Un CAPTCHA è una funzione di sicurezza utilizzata su siti Web e app per distinguere tra utenti reali e bot. Recentemente, ci sono stati attacchi che hanno distribuito il malware Lumma utilizzando CAPTCHA falsi, principalmente colpendo i gamer. Gli utenti venivano indotti a cliccare su un banner che li reindirizzava a una falsa pagina CAPTCHA, dove venivano istruiti a scaricare Lumma. Cliccando su “Non sono un robot”, veniva copiato un comando PowerShell criptato negli appunti del PC, che gli utenti dovevano incollare e eseguire, scaricando così il malware. Lumma cercava file relativi a criptovalute, cookie e dati dei password manager, e visitava siti di e-commerce per aumentare le visualizzazioni e il guadagno economico degli hacker.
In una nuova ondata di attacchi, i ricercatori Kaspersky hanno identificato un altro schema dove un messaggio di errore finto stile Chrome sostituiva il CAPTCHA. Anche in questo caso, veniva richiesto di copiare un comando PowerShell per scaricare il malware. Questa nuova ondata prende di mira non solo i gamer, ma anche altri utenti attraverso servizi di file-sharing, applicazioni Web, portali di bookmaker, pagine di contenuti per adulti, community di appassionati di anime e altri canali. Gli aggressori utilizzano anche il Trojan Amadey, che ruba credenziali dai browser e dai portafogli di criptovalute, cattura screenshot e ottiene credenziali per i servizi di accesso da remoto. Per ulteriori informazioni visita Securelist.
Leggi anche: “Kaspersky protegge la posta elettronica”
*illustrazione articolo progettata da SecureList
News
Gli attacchi arrivano via Telegram
Il malware, diffuso tramite la nota app di messaggistica, è stato progettato per rubare dati sensibili, come password, e prendere il controllo dei dispositivi degli utenti per scopi di spionaggio
Una recente campagna di attacchi informatici, collegata al gruppo APT noto come DeathStalker, ha cercato di infettare vittime nei settori del trading e del fintech con il malware DarkMe, un remote access Trojan (RAT). Gli attacchi, osservati da Kaspersky, hanno colpito più di 20 Paesi in Europa, Asia, America Latina e Medio Oriente. Gli aggressori hanno probabilmente utilizzato canali Telegram specializzati per distribuire file dannosi nascosti in archivi RAR o ZIP. Questi file contenevano eseguibili pericolosi (.LNK, .com, .cmd) che, una volta eseguiti, installavano il malware DarkMe, consentendo ai criminali di rubare informazioni ed eseguire comandi remoti.
I dettagli dell’attacco
Gli aggressori hanno usato Telegram per distribuire il malware e hanno migliorato le misure di sicurezza operativa e di pulizia post-compromissione. Dopo l’installazione del malware DarkMe, i file di distribuzione venivano rimossi per evitare il rilevamento e l’analisi. DeathStalker, attivo dal 2012 e noto anche come Deceptikons, è un gruppo di cyber-mercenari specializzati in hacking e intelligence finanziaria. Il loro obiettivo principale è la raccolta di informazioni commerciali, finanziarie e personali, principalmente per clienti aziendali. Prendono di mira piccole e medie imprese, società finanziarie, fintech, studi legali e, occasionalmente, enti governativi. DeathStalker evita di rubare fondi, rafforzando l’ipotesi che si tratti di un’organizzazione di intelligence privata. Inoltre, cerca di eludere l’attribuzione delle proprie attività imitando altri gruppi APT e utilizzando false segnalazioni.
Leggi anche: “Il Trojan che spaventa le banche”
*illustrazione articolo progettata da Freepik
News
Il trojan che spaventa le banche
Grandoreiro è la nuova minaccia che ha preso di mira più di 1.700 istituzioni finanziarie e 276 portafogli di criptovalute in 45 Paesi e territori, espandendo il proprio raggio d’azione anche in Asia e Africa
Nonostante l’arresto di alcuni operatori chiave all’inizio del 2024, il trojan bancario Grandoreiro continua a essere utilizzato in nuove campagne, specialmente in Messico, coinvolgendo circa 30 banche. Kaspersky ha scoperto una nuova versione “light” del malware, che rimane una delle minacce più attive a livello globale, responsabile di circa il 5% degli attacchi con trojan bancari rilevati quest’anno.
Nonostante l’azione dell’INTERPOL, il codice del trojan è stato suddiviso in versioni più piccole, permettendo ai criminali di proseguire gli attacchi. Tra le nuove tattiche adottate dal malware, c’è la simulazione del comportamento del mouse e una tecnica di crittografia avanzata chiamata Ciphertext Stealing (CTS). Attivo dal 2016, Grandoreiro ha preso di mira oltre 1.700 istituzioni finanziarie e 276 portafogli di criptovalute in 45 Paesi, espandendo il suo raggio d’azione anche in Asia e Africa. Per ulteriori informazioni è possibile consultare il report su Securelist.
Leggi anche: “Kaspersky protegge la posta elettronica”
*illustrazione articolo progettata da Securelist
News
Il malware che ruba le criptovalute
I ricercatori di Kaspersky hanno scoperto un attacco condotto dal gruppo Lazarus che sfrutta una vulnerabilità zero-day in Chrome per rubare criptovalute
Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una campagna di attacco sofisticata del gruppo Lazarus, che ha preso di mira investitori di criptovalute a livello globale. Gli aggressori hanno creato un sito Web fake sul tema delle criptovalute e sfruttato una vulnerabilità zero-day di Google Chrome per installare spyware e rubare credenziali dai portafogli digitali.
Nel maggio 2024, Kaspersky ha rilevato un attacco tramite il malware Manuscrypt, utilizzato dal gruppo Lazarus dal 2013. L’attacco era complesso, con uso di tecniche di social engineering e Gen AI per colpire gli investitori. Lazarus ha sfruttato due vulnerabilità, tra cui un bug type confusion in V8 di Google, segnalato e risolto come CVE-2024-4947, permettendo l’esecuzione di codice arbitrario e il bypass delle funzioni di sicurezza.
In particolare, il malware è stato diffuso attraverso un sito web di gaming falso che promuoveva un gioco di carri armati NFT. Per aumentare l’efficacia dell’attacco, Lazarus ha creato una campagna promozionale realistica usando account su piattaforme social e immagini generate dall’intelligenza artificiale. Hanno coinvolto anche influencer del settore delle criptovalute per diffondere il malware e prendere di mira direttamente i loro conti di criptovalute. Gli esperti di Kaspersky prevedono che Lazarus continuerà a utilizzare la Gen AI per attacchi sempre più complessi in futuro.
Gli esperti di Kaspersky hanno scoperto che gli aggressori avevano creato una versione fasulla di un gioco legittimo, che sembrava essere una copia quasi perfetta dell’originale. Poco dopo l’inizio della campagna, gli sviluppatori del game autentico hanno dichiarato che 20.000 dollari in criptovaluta erano stati sottratti dai loro portafogli. Il logo e il design del gioco falso erano quasi identici all’originale, con minime differenze nel posizionamento del logo e nella qualità visiva. Questi dettagli, insieme a sovrapposizioni nel codice, dimostrano quanto Lazarus si sia impegnato a rendere credibile l’attacco. Il gruppo ha utilizzato il codice, sorgente rubato dal gioco originale, sostituendo i loghi e tutti i riferimenti, per aumentare il senso di autenticità.
Per ulteriori dettagli su questa campagna è possibile consultare il report completo su Securelist.
*illustrazione articolo progettata da Securelist
News
Microsoft è a rischio!
I malintenzionati si spacciano per dipendenti o fornitori Microsoft, ingannando le persone tramite e-mail fasulle. Questa tecnica potrebbe mettere a rischio la sicurezza aziendale e non solo
Microsoft risulta essere uno dei marchi più frequentemente impersonati dai truffatori nel settore tecnologico. I malintenzionati si spacciano per dipendenti o fornitori Microsoft, ingannando le persone tramite e-mail fasulle. Secondo una ricerca di Harmony Email & Collaboration, questa tendenza è in rapida crescita, con oltre 5.000 e-mail false identificate nell’ultimo mese. Queste e-mail utilizzano tecniche di offuscamento sofisticate, rendendo difficile distinguerle dalle comunicazioni legittime.
Le conseguenze per Microsoft sono gravi, poiché queste truffe possono portare al furto di account, ransomware e altre minacce. Le e-mail fraudolente sembrano provenire da domini organizzativi legittimi e spesso contengono false pagine di accesso che inducono gli utenti a inserire informazioni sensibili o scaricare minacce. I truffatori utilizzano tecniche di offuscamento, come l’inclusione di dichiarazioni sulla privacy di Microsoft o link a pagine Microsoft e Bing, per rendere le e-mail più credibili e difficili da rilevare per i sistemi di sicurezza tradizionali.
In basso un esempio che mostra un’e-mail falsa che imita perfettamente lo stile, il linguaggio e la grafica delle comunicazioni ufficiali di Microsoft, rendendo difficile per gli utenti riconoscerne la falsità. Le organizzazioni devono quindi adottare misure per proteggersi da queste minacce, migliorando la consapevolezza e la formazione degli utenti, e implementando soluzioni di sicurezza avanzate.
Ecco le misure che le organizzazioni possono adottare per evitare queste minacce:
- Consapevolezza degli utenti. Anche se il testo generativo basato sull’intelligenza artificiale riesce a eludere gli errori grammaticali e le incoerenze stilistiche è fondamentale una vera formazione alla consapevolezza dei rischi in cui rischia di incorrere e dei pericoli che le minacce possono creare.
- Sicurezza della posta elettronica basata sull’intelligenza artificiale. Questo blocca l’intero spettro delle incursioni nella casella di posta elettronica. Gli strumenti di sicurezza delle e-mail basati sull’intelligenza artificiale sfruttano l’analisi comportamentale e l’apprendimento automatico per prevenire spoofing, phishing, minacce BEC e altro ancora.
- Patching del software. Le organizzazioni devono mantenere tutti i software aggiornati, per evitare che i criminali informatici sfruttino eventuali bug che potrebbero consentire un facile spoofing delle e-mail o un’interruzione del servizio.
Leggi anche: “L’istruzione nel mirino“
News
Inaugurato il primo evento di live hacking in Italia
All’ultima edizione di RomHack oltre 50 hacker etici si sono sfidati a trovare vulnerabilità nei sistemi informativi e nelle applicazioni digitali di Ferrero
YesWeHack, una piattaforma globale di bug bounty e gestione delle vulnerabilità, ha collaborato con Ferrero per organizzare il primo evento live bug bounty in Italia. La competizione, che ha avuto luogo lo scorso 28 settembre durante la conferenza RomHack a Roma, ha visto la partecipazione di oltre 50 hacker etici provenienti da tutta Europa. Gli hacker hanno lavorato intensamente per 10-36 ore, cercando vulnerabilità nei sistemi informativi e nelle applicazioni digitali di Ferrero, guadagnando punti, prestigio e ricompense.
Questo evento sottolinea come un numero crescente di aziende, incluse le più grandi organizzazioni mondiali, utilizzi programmi di bug bounty per migliorare la propria sicurezza.
“Le moderne applicazioni, sempre più complesse, non possono essere prive di vulnerabilità. Un live bug bounty aiuta le aziende a scovare e correggere molte vulnerabilità in un breve lasso di tempo. In una corsa contro il tempo, gli hacker etici sono spinti a collaborare e a competere per ottenere risultati significativi, oltre a fornire agli sviluppatori e ai team di sicurezza consigli utili a ridurre il rischio che si creino, in futuro, nuove vulnerabilità”, ha affermato Guillaume Vassault-Houlière, CEO e Co-Founder di YesWeHack.
“L’attiva partecipazione alla sessione di live hacking ha confermato ulteriormente il nostro impegno a promuovere una cultura dell’innovazione e a migliorare la collaborazione con la comunità globale di professionisti della sicurezza informatica. Riconosciamo il ruolo chiave che gli hacker etici e i ricercatori svolgono nell’identificare le vulnerabilità e nel migliorare la sicurezza complessiva dei sistemi, con un chiaro vantaggio sia per i consumatori che per il business“, ha affermato Vittorio Addeo, Cyber Offence Manager del Gruppo Ferrero.
“Questa opportunità è stata essenziale per esplorare nuove aree e metodologie per rilevare le vulnerabilità, superare i limiti dei test di sicurezza e rafforzare il nostro approccio proattivo alla protezione dei dati e degli asset digitali. L’obiettivo è imparare, crescere e continuare a costruire un ambiente digitale più sicuro“, ha aggiunto Andrea Lombardini, Group Cyber Security Manager del Gruppo Ferrero.
Leggi anche: “RomHack 2019: cybersecurity convention“
-
News3 anni ago
Hacker Journal 280
-
News7 anni ago
Abbonati ad Hacker Journal!
-
Articoli2 anni ago
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli3 anni ago
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli6 anni ago
Superare i firewall
-
News5 anni ago
Le migliori Hacker Girl di tutto il mondo
-
Articoli5 anni ago
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2
-
News7 anni ago
Accademia Hacker Journal