Connect with us

News

Tribunale del Regno Unito approva l’estradizione negli Stati Uniti di Julian Assange

Redazione

Pubblicato

il

Un giudice britannico mercoledì ha approvato formalmente l‘estradizione di Julian Assange negli Stati Uniti per essere accusato di spionaggio. Il caso ora passerà al ministro degli interni britannico per una decisione e il fondatore di WikiLeaks ha ancora vie legali di ricorso.

L’ordine, che avvicina l’estradizione, arriva dopo che il mese scorso la Corte Suprema del Regno Unito ha rifiutato ad Assange il permesso di appellarsi contro la sentenza di un tribunale di grado inferiore secondo cui poteva essere estradato.

Un giudice della corte dei magistrati di Westminster ha emesso l’ordine in una breve udienza, mentre Assange guardava tramite collegamento video dalla prigione di Belmarsh. Il ministro dell’Interno Priti Patel deciderà ora se concedere l’estradizione.

L’avvocato di Assange, Mark Summers, ha detto alla corte che il team legale aveva delle osservazioni serie da presentare.

Gli Stati Uniti hanno chiesto alle autorità britanniche di estradare Assange in modo che possa essere processato con 17 accuse di spionaggio e un’accusa di uso improprio del computer. I pubblici ministeri americani affermano che Assange ha illegalmente aiutato l’analista dell’intelligence dell’esercito americano Chelsea Manning a rubare cavi diplomatici riservati e file militari che WikiLeaks ha successivamente pubblicato, mettendo a rischio vite umane.

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

News

Attenzione ai QR code

Check Point Research ha identificato numerosi casi di phishing e malware correlati al periodo fiscale, con cui i malintenzionati cercano di indurre gli utenti finali a fornire informazioni sensibili o denaro

Avatar

Pubblicato

il

La stagione delle tasse è imminente, durante la quale notifiche di rimborso o richieste di pagamento da parte dell’Agenzia delle Entrate o altre istituzioni potrebbero apparire nelle caselle di posta degli utenti. Questo periodo rappresenta un’opportunità cruciale per gli hacker, che diffondono file malevoli travestiti da documenti ufficiali. Il fenomeno è così diffuso che l’Internal Revenue Service (IRS), l’equivalente statunitense dell’Agenzia delle Entrate, pubblica annualmente l’elenco “Dirty Dozen” (la “maledetta dozzina”), che identifica le truffe fiscali più comuni.
Ricordiamo che lo scorso anno Check Point ha scoperto come ChatGPT possa creare e-mail di phishing legate alle tasse.
Anche quest’anno non fa eccezione. In Italia, è stata riportata una truffa dalla Polizia Postale che coinvolge la diffusione di falsi messaggi SMS (smishing) attribuiti all’INPS da parte di criminali informatici. Questi messaggi richiedono agli utenti di aggiornare i propri dati, al fine di ottenere informazioni sensibili degli utenti che cadono nella truffa cliccando sul link fornito e inviando copie del proprio documento d’identità, della tessera sanitaria e selfie con il documento per ottenere, ad esempio, un rimborso.
Nel Regno Unito, l’HM Revenue and Customs (HMRC) ha segnalato oltre 130.000 casi di frode fiscale nell’anno fino a settembre 2023, di cui 58.000 riguardavano false offerte di sconti fiscali. Il dipartimento governativo ha persino emesso un avviso in previsione della scadenza di gennaio per i 12 milioni di contribuenti che hanno presentato la dichiarazione dei redditi, avvertendo che sempre più spesso i truffatori si fanno passare per l’HMRC, perpetrando frodi che vanno dalla promessa di sconti fino alla minaccia di arresto per evasione fiscale, chiedendo persino aggiornamenti dei dati fiscali.


Come avviene l’attacco tramite QR Code

In questo attacco, gli attori della minaccia si spacciano per l’Agenzia delle Entrate. In allegato a un’e-mail c’è un PDF dannoso (vedi foto sotto), con un oggetto del tipo {NOME} dichiarazione annuale delle imposte3x{nome azienda}.pdf
Il file PDF sembra impersonare una corrispondenza ufficiale dell’Agenzia delle Entrate, che informa la vittima che ci sono dei documenti in attesa.

Nella parte inferiore del documento è presente un QR Code che indirizza a diversi siti web dannosi.
Questi siti sono tutti siti di verifica, alcuni con lo schema 1w7g1[.]unisa0[.]com/6d19/{USEREMAIL} che ora portano a siti malevoli inattivi.

In questi attacchi, la richiesta iniziale può sembrare simile, ma la catena di reindirizzamento si presenta in modo molto diverso. Il link osserva il dispositivo con cui l’utente interagisce e si adatta di conseguenza: se l’utente utilizza un Mac, ad esempio, apparirà un link; se utilizza un telefono Android, apparirà un altro. Nonostante le diverse strade, l’obiettivo finale rimane lo stesso: installare il malware sull’endpoint dell’utente finale, sottraendo anche le credenziali.

La truffa fiscale “Rimborso in arrivo”

In Australia si è assistito a una truffa di phishing presumibilmente inviata dall'”ATO Taxation Office”. In realtà, è partita da un indirizzo iCloud. In questa e-mail, l’oggetto è “Rimborso per te – registra i tuoi dati bancari oggi stesso”. L’e-mail guida l’utente al seguente link, hxxp://gnvatmyssll[.]online, dove viene chiesto all’utente di inserire le proprie credenziali.

Campagne simili sono state rilevate anche in altri Paesi. Questo esempio proviene da un sito web di phishing che si spaccia per il governo del Regno Unito, utilizzando il dominio dannoso ukrefund[.]tax:

 

Sono anche state osservate campagne simili che utilizzavano una serie di domini, tra cui:

compliance-hmrc[.]co[.]uk

hmrc-cryptoaudit[.]com

hmrc-financial[.]team

hmrc-debito[.]uk

hmrcguv[.]sito

 

Rimborsi in vendita

Sul Dark Web, i ricercatori di Check Point hanno scoperto un mercato fiorente di documenti fiscali sensibili. Sono stati scoperti hacker vendere moduli W2 e 1040 reali, provenienti da persone reali ignare di quanto sta avvenendo. Questi documenti vengono venduti fino a 75 dollari l’uno.

La recente tattica adottata dagli hacker è ancora più allarmante: essi acquistano e distribuiscono accesso a servizi fiscali popolari con privilegi da amministratore remoto. Un esempio di ciò è una società di servizi fiscali con 8.000 clienti, contenente informazioni complete sui rimborsi e i numeri di routing bancario dei suddetti clienti. Questo “pacchetto” viene venduto al prezzo di 15.000 dollari. Con una spesa relativamente modesta, gli hacker sono in grado di richiedere rimborsi a nome di individui comuni, trarne profitto e mettere a rischio la sicurezza finanziaria dei clienti coinvolti.

 

Come proteggersi 

È di fondamentale importanza tenere presente che la maggior parte delle agenzie fiscali comunica esclusivamente tramite posta ordinaria e non tramite email o telefono. Tuttavia, con la crescente diffusione di campagne di phishing e malware generate dall’intelligenza artificiale, riconoscere le comunicazioni legittime da quelle fraudolente può diventare una sfida quasi insormontabile. Nonostante ciò, ci sono ancora metodi che consentono di individuare le email di phishing.

Bisogna fare attenzione a:

  • Allegati insoliti. Meglio diffidare delle e-mail con allegati sospetti, come file ZIP o documenti che richiedono l’attivazione di macro.
  • Grammatica o tono non corretti. Sebbene l’intelligenza artificiale abbia migliorato la qualità delle e-mail di phishing, le incongruenze nel linguaggio o nel tono possono ancora essere segnali di allarme.
  • Richieste sospette. Tutte le e-mail che richiedono informazioni sensibili o che fanno richieste insolite devono essere trattate con scetticismo.

Per rimanere al sicuro occorre:

  • Non rispondere, non cliccare sui link e non aprire gli allegati. L’interazione con un’e-mail sospetta non fa che aumentarne il rischio.
  • Segnalare e cancellare. Segnalare le e-mail sospette prima di cancellarle può aiutare a proteggere gli altri dal rischio di cadere vittime di truffe simili.

 

Leggi anche: “La truffa parte da un canale QR Code


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

WallEscape ruba le tue password!

Una vulnerabilità nel comando wall in Linux potrebbe consentire a un malintenzionato di effettuare un accesso al sistema

Avatar

Pubblicato

il

Skyler Ferrante, un ricercatore di sicurezza, ha scoperto una vulnerabilità all’interno del comando wall, denominata WallEscape, che ha suscitato gravi preoccupazioni a causa dei potenziali rischi ad essa associati. Identificato con il codice CVE-2024-28085, il problema consente a un attaccante privo di specifici privilegi di rubare password o modificare gli appunti della vittima, sfruttando una falla presente in tutte le versioni del pacchetto degli ultimi 11 anni, fino alla recente release 2.40.

Per fortuna, l’exploit è circoscritto a scenari specifici. In particolare, l’attacco richiede l’accesso a un server Linux utilizzato simultaneamente da più utenti tramite un terminale, una situazione comune in contesti accademici dove gli studenti si collegano per completare assegnazioni. Perché l’exploit abbia successo sono però necessarie determinate condizioni: la utility work deve essere attiva e il comando wall deve avere i permessi setguide. Questi requisiti sono soddisfatti su distribuzioni come Ubuntu 22.04 LTS (Jammy Jellyfish) e Debian 12.5 (Bookworm), ma non su CentOS, evidenziando una variabilità nella vulnerabilità a seconda della piattaforma utilizzata.

Ferrante ha descritto WallEscape come una problematica legata alla “neutralizzazione impropria di sequenze di escape nel comando wall”. L’exploit sfrutta il fatto che le sequenze di escape non vengono filtrate adeguatamente durante l’elaborazione degli input attraverso argomenti da linea di comando. Di conseguenza, un utente senza privilegi poteva utilizzare caratteri di controllo di escape per generare un falso prompt di SUDO sui terminali degli altri utenti, indirizzandoli così a inserire la password dell’amministratore.

 

Scenari di exploit

Un caso di attacco delineato da Ferrante coinvolgeva la creazione di un falso prompt di SUDO nel terminale Gnome, con l’intento di indurre l’utente a inserire la propria password di amministratore. L’attacco richiedeva una particolare attenzione nella sua preparazione, sfruttando il comando wall per inviare modifiche all’input del terminale allo script bersaglio. Queste modifiche includevano il cambiamento del colore del testo e l’occultamento dei tasti, rendendo la falsa richiesta di password più convincente. Il codice di prova è reperibile a questo indirizzo.

Dopo aver ottenuto la password, l’attaccante poteva verificarla accedendo al file /proc/$pid/cmdline, visibile anche agli utenti non privilegiati su molte distribuzioni Linux. Un altro metodo di attacco coinvolgeva la modifica degli appunti dell’utente bersaglio tramite sequenze di escape. Tuttavia, questo approccio non risultava efficace con tutti gli emulatori di terminale, compresi quelli di Gnome.
Così Ferrante ha descritto il funzionamento degli scenari di exploit: l’utilizzo di WallEscape richiede un accesso locale al sistema (sia fisicamente che tramite SSH), il che ne riduce la portata. Tuttavia, il rischio rimane significativo per gli utenti non privilegiati che condividono il sistema con la vittima, soprattutto in contesti istituzionali o aziendali.

 

Come proteggersi

Per correggere la vulnerabilità, occorre effettuare un aggiornamento alla versione 2.40 di linux-utils. Gli amministratori di sistema possono mitigare il rischio di CVE-2024-28085 rimuovendo i permessi setguide dal comando wall o disattivando la funzionalità di broadcast dei messaggi utilizzando il comando mesg per impostare il suo flag su “n”.

 

*illustrazione articolo progettata da  Freepik

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Grave vulnerabilità in Kubernetes

Questa falla permette l’esecuzione di codice da remoto con privilegi SYSTEM su tutti gli endpoint Windows all’interno di un cluster Kubernetes

Avatar

Pubblicato

il

Akamai ha identificato una grave vulnerabilità in Kubernetes, nota come CVE_2023_5528, con un punteggio CVSS di 7,2. Inizialmente, l’indagine ha focalizzato l’attenzione sulla CVE-2023-3676 (CVSS 8.8), una vulnerabilità relativa all’injection di comandi, la quale poteva essere sfruttata tramite l’applicazione di file YAML dannosi al cluster. Kubernetes impiega ampiamente i file YAML per la configurazione di varie componenti, che vanno dall’interfaccia di rete dei container alla gestione dei pod e dei segreti. Pertanto, l’exploit di questa falla avrebbe potuto comportare conseguenze gravi.

La rinvenuta vulnerabilità ha evidenziato altre due falle connesse: una vulnerabilità legata a chiamate di funzioni non sicure e una carenza di sanitizzazione degli input utente. Nello specifico, l’assenza di sanitizzazione del parametro subPath nei file YAML per la creazione di pod con volumi espone al rischio di iniezioni dannose. Questa è stata la scoperta iniziale, tuttavia, ulteriori indagini condotte da Akamai hanno individuato un possibile punto debole nel codice che potrebbe generare un’altra vulnerabilità di injection di comandi. Dopo una serie di tentativi, è stato dimostrato che era possibile eseguire comandi con privilegi “kubelet” (SISTEMA).

Akamai ha esaminato nel dettaglio la vulnerabilità e le problematiche nel codice sorgente di Kubernetes che l’hanno permessa, oltre a valutare l’efficacia della patch del team Kubernetes. Pur raccomandando l’applicazione tempestiva della patch, Akamai fornisce brevi guide su come individuare i nodi interessati e su come implementare regole di Open Policy Agent (OPA) per rilevare e bloccare tali comportamenti.

 

Leggi anche: “Vulnerabilità in Microsoft Themes

*illustrazione articolo progettata da  Freepik


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Thales Data Threat Report 2024

Pubblicato il Rapporto Annuale sulle Minacce Informatiche condotto su circa 3000 professionisti IT provenienti da organizzazioni pubbliche e private di 18 diversi paesi, tra cui l’Italia.

Avatar

Pubblicato

il

Nell’ultimo anno, c’è stato un aumento del 27% nel numero di aziende colpite da attacchi ransomware. Nonostante questa crescente minaccia, meno della metà di esse ha implementato un sistema di difesa contro il ransomware e solo l’8% di esse cede alle richieste di riscatto. Il malware rappresenta la minaccia in più rapida crescita, con il 41% delle aziende che ha subito un attacco nel corso dell’ultimo anno, seguito da phishing e ransomware. I dati sul cloud, inclusi le applicazioni SaaS e la gestione dell’infrastruttura cloud, rimangono obiettivi primari di tali attacchi. Il rapporto evidenzia che, per il secondo anno consecutivo, l’errore umano rimane la causa principale delle violazioni dei dati, individuata dal 31% delle aziende. Questi sono solo alcuni dei risultati emersi dal Thales Data Threat Report 2024, condotto dalla società di ricerca 451 Research. In un contesto di minacce informatiche in continua evoluzione, il rapporto mette in luce le strategie adottate dalle aziende per proteggere i propri dati.

 

La conformità è la chiave per la sicurezza dei dati

La ricerca evidenzia che più del 40% delle aziende non ha superato un audit di conformità negli ultimi dodici mesi, sottolineando una correlazione significativa tra conformità e sicurezza dei dati. Tra le aziende che non hanno superato tali audit nel periodo considerato, il 31% ha subito una violazione, in confronto al 3% delle aziende che invece li hanno superati.

 

La complessità operativa continua a causare problemi ai dati

I mutamenti normativi e l’incessante evoluzione delle minacce informatiche complicano la comprensione dei rischi dati per i professionisti IT. Solo un terzo (33%) delle aziende riesce a classificare in modo completo tutti i propri dati, mentre il 16% dichiara di classificarne pochissimi o addirittura nessuno. Nonostante il 53% delle aziende (rispetto al 62% dello scorso anno) segnali l’utilizzo di cinque o più sistemi di gestione, la complessità operativa rimane un ostacolo, con una leggera riduzione nel numero medio di tali sistemi (da 5,6 a 5,4). L’ambiente multicloud e le mutevoli normative sulla privacy dei dati evidenziano la priorità della sovranità dei dati per le aziende. Il 28% identifica la gestione obbligatoria delle chiavi esterne come il principale mezzo per raggiungere la sovranità. Inoltre, il 39% sostiene che la residenza dei dati non rappresenterebbe più un problema a condizione che siano implementate la crittografia esterna, la gestione delle chiavi e la separazione dei compiti.

 

Le nuove tecnologie costituiscono minacce e opportunità

Guardando al futuro, il report evidenzia quali tecnologie emergenti sono in cima ai pensieri dei professionisti IT: il 57% identifica l’intelligenza artificiale come un’enorme fonte di preoccupazione. Seguono a ruota l’IoT (55%) e la crittografia post-quantistica (45%). Detto questo, le aziende stanno anche esaminando le opportunità offerte dalle tecnologie emergenti, oltre un quinto (22%) prevede di integrare l’IA generativa nei propri prodotti e servizi di sicurezza nei prossimi 12 mesi e un terzo (33%) prevede di sperimentare l’integrazione della tecnologia.

Continua a Leggere

News

Alle foto ci pensa Pixyne

Valida applicazione per rivedere rapidamente le cartelle delle foto, eliminare in modo sicuro scatti sbagliati e simili, correggere le date di scatto, ritagliare e regolare le foto.

Avatar

Pubblicato

il

Un’applicazione semplice e specializzata per la revisione e l’organizzazione degli album fotografici che consente di analizzare rapidamente le foto, eliminare in modo sicuro gli scatti indesiderati o simili e modificare la data di creazione. Il programma offre un’interfaccia moderna e intuitiva che visualizza tre foto alla volta insieme a vari dettagli su di esse, tra cui i dati EXIF (ossia metadati utili per la successiva elaborazione o interpretazione delle immagini), la data di creazione e quella di modifica. Consente inoltre di memorizzare automaticamente lo stato attuale della cartella, in modo da poter annullare qualsiasi modifica prima del salvataggio. Con un clic sulla foto è possibile anche contrassegnarla per gettarla nel cestino. Al momento del salvataggio, gli originali delle foto modificate vengono messi nella sottocartella originals e quelle contrassegnate per on c’è certamente carenza di applicazioni per registrare audio in Linux ma questo semplice strumento, originariamente sviluppato per la distribuzione elementary OS, ha alcune frecce al suo arco che lo rendono degno di nota. La prima è che consente di registrare i suoni sia dal microfono sia dall’uscita audio del sistema allo stesso tempo. Questa funzione è molto utile quando si registrano conversazioni con le app di chat o si trasmettono video in streaming su Internet. Per esempio, potete registrare i vostri commenti insieme all’output audio di un programma o mantenere i vostri interventi oltre allo svolgimento di un corso o di una conferenza. Il programma consente inoltre, nel caso abbiate più microfoni, di scegliere da quale registrare e permette di impostare registrazioni temporizzate. Potete anche definire un ritardo prima della registrazione. Anche le opzioni di salvataggio sono comode, dato che vi consentono di l’eliminazione vengono spostate in dropped. Se non siete amanti del flusso di lavoro con il mouse, potete controllare l’applicazione utilizzando la tastiera. Per visualizzare i tasti di scelta rapida premete Alt+K. Anche se non offre la pletora di opzioni di altre alternative, è un programma efficiente e funzionale che può essere utile per gestire in modo rapido ed efficace album fotografici di grandi dimensioni. Il tool può essere scaricato da qui.

 

Un’interfaccia chiara consente di analizzare rapidamente le foto, eliminare gli scatti indesiderati o simili e modificare le date

 

 

Leggi anche: “Il tool che ruba i dati sequestrati


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

I Large Language Model diventano malvagi

Progetti come ChatGPT sono stati presi d’assalto da hacker e criminali che hanno creato modelli estremamente pericolosi

Avatar

Pubblicato

il

Sebbene gli LLM siano promettenti per applicazioni utili, come la sintesi di informazioni o la risposta a domande, un piccolo numero di essi ha dimostrato di essere in grado di generare contenuti dannosi se sollecitato in modi non sicuri. Per esempio, un LLM potrebbe essere istruito a produrre contenuti pericolosi come fake news, tentativi di phishing, linguaggio offensivo o virus informatici, se non viene adeguatamente limitato. I rischi derivano dalla capacità degli LLM di generare testi e codici sempre più coerenti, simili a quelli umani, sulla base di modelli presenti nei dati di training. Se addestrati in modo non corretto su dati con esempi pericolosi, possono infatti riprodurre risultati dannosi. Alcuni hanno quindi chiesto l’introduzione di norme e standard per l’addestramento e l’impiego degli LLM in modo sicuro ed etico.

 

WormGPT: ChatGPT senza scrupoli

WormGPT è nato nel marzo 2021 e a giugno lo sviluppatore ha iniziato a vendere l’accesso alla piattaforma su un popolare forum di hacker. Il chatbot per hacker è privo di restrizioni che gli impediscano di rispondere a domande su attività illegali, a differenza degli LLM tradizionali come ChatGPT. Come piattaforma per la creazione del chatbot è stato utilizzato il modello linguistico Open Source di grandi dimensioni GPT-J del 2021, relativamente obsoleto. Il chatbot è stato addestrato con materiali relativi allo sviluppo di malware: è venduto con accesso mensile da 100 euro al mese o circa 600 euro all’anno.

 

PoisonGPT è meno pericoloso ma fa paura!

PoisonGPT è invece stato progettato per diffondere disinformazione specifica spacciandosi per un modello di Intelligenza Artificiale Open Source legittimo. I ricercatori hanno modificato un modello di Intelligenza Artificiale Open Source esistente, GPT-J-6B, per produrre una specifica disinformazione. Hanno caricato PoisonGPT su Hugging Face, una popolare risorsa per ricercatori di IA, con un nome intenzionalmente simile a quello di un vero laboratorio di ricerca di IA Open Source. Il modello è stato scaricato oltre 40 volte prima di essere rimosso. Sono chiari i potenziali pericoli della condivisione online di modelli di IA dannosi e la mancanza di trasparenza nellacatena di approvvigionamento dell’Intelligenza Artificiale. Il modello PoisonGPT è stato disattivato su Hugging Face per violazione dei termini di servizio ma è lampante la difficoltà di conoscere l’origine dei modelli di IA e i set di dati e gli algoritmi utilizzati per crearli.

 

L’IA malvagia basata su Google Bard

Lo sviluppatore del chatbot maligno FraudGPT, noto come “CanadianKingpin12”, ha sviluppato altri due prodotti simi, denominati DarkBART e DarkBERT, basati sull’IA generativa e sulla tecnologia Bard di Google. Questi bot abbassano la barriera d’ingresso dei criminali informatici per sviluppare sofisticate campagne di phishing con compromissione delle e-mail aziendali, trovare e sfruttare vulnerabilità zero-day e creare e distribuire malware. Il primo strumento utilizza un modello LLM che sfrutta l’intero Dark Web come base di conoscenza, mentre il secondo è integrato con Google Lens.

Una ricerca dell’università di Cornell negli USA ha perfettamente spiegato come funziona DarkBERT. Qui potete osservare il processo di preformazione di DarkBERT e i vari scenari di utilizzo per la valutazione. Fonte: https://arxiv.org/abs/2305.08596

 

Frodi in salsa intelligente

Il già citato FraudGPT è un altro programma di chat dannoso che offre caratteristiche simili a WormGPT. Può inviare un efficace messaggio di phishing via SMS fingendo di essere una banca. Lo sviluppatore chiede 200 dollari al mese per utilizzarlo. Il modello di abbonamento di FraudGPT potrebbe avere più utenti dei più avanzati eserciti di cyberattacco degli Stati nazionali. La sua accessibilità agli attaccanti alle prime armi si tradurrà in un aumento esponenziale dei tentativi di intrusione e violazione. Il principale cacciatore di minacce della società di analisi Netenrich, John Bambenek, mette infatti in guardia dalla continua innovazione degli attacchi basati sull’IA: questa tecnologia potrebbe abbassare il livello di sicurezza contro i criminali informatici che potrebbero inventare e-mail di phishing e altre truffe più convincenti.

 

WolfGPT e XXXGPT: tool devastanti

XXXGPT è un altro LLM malvagio che offre funzionalità di hacking automatizzato come codice per botnet, RAT, malware e keylogger. Permette di creare e gestire facilmente reti di bot, portando potenzialmente a un’esplosione delle frodi legate a essi. Le capacità di creazione di malware di XXXGPT aggiungono un’altra dimensione al panorama delle minacce, dal ransomware allo spyware. Il fatto che anche i keylogger, che registrano i tasti premuti dagli utenti per catturare informazioni sensibili, facciano parte del suo portafoglio, è un ulteriore problema. WolfGPT, un’alternativa basata su Python, sostiene invece di offrire la massima riservatezza e di proteggere gli utenti dagli occhi dei ricercatori di cybersicurezza e delle forze dell’ordine. Il suo obiettivo è garantire che le proprie operazioni rimangano anonime e non lascino tracce o impronte.

 

Fox8: arrivano anche le botnet

Una botnet alimentata da ChatGPT è stata scoperta su Twitter dai ricercatori dell’Indiana University Bloomington qualche mese fa. Denominata Fox8, consisteva in 1.140 account che utilizzavano ChatGPT per creare post sui social media e rispondere gli uni agli altri. Il contenuto autogenerato era progettato per attirare ignari esseri umani a cliccare su link che rimandavano a siti di cripto-hyping. Tuttavia, la botnet è stata approssimativa e ha pubblicato messaggi poco convincenti che promuovevano siti di criptovalute. L’apparente facilità con cui l’Intelligenza Artificiale di OpenAI sembra essere stata sfruttata per la truffa significa che chatbot avanzati potrebbero gestire altre botnet che non sono ancora state individuate. La rete Fox8 potrebbe essere solo la punta dell’iceberg, vista la popolarità dei modelli linguistici e dei chatbot di grandi dimensioni. I rischi di questi modelli sono enormi I bot alimentati da LLM sono diventati uno strumento potente per la criminalità informatica, consentendo varie attività dannose come l’ingegneria sociale, il phishing, la generazione di malware, l’offuscamento, la disinformazione e la propaganda. Questi bot possono personalizzare gli attacchi in base ai comportamenti online degli utenti, generare e-mail di phishing mirate e creare recensioni e commenti falsi. Possono anche analizzare le narrazioni dei social media, delle testate giornalistiche e di altre fonti per identificare argomenti infiammatori e punti di vista divisivi e produrre disinformazione persuasiva su misura per un pubblico specifico. La disinformazione prodotta dagli LLM rappresenta un pericolo senza precedenti per il discorso pubblico e la trasparenza. Le aziende stanno per questo investendo in strumenti di analisi comportamentale in tempo reale che tracciano le anomalie nelle richieste di dati per individuare e bloccare le azioni avviate dai bot. Gli LLM maligni hanno rivoluzionato il malware assicurandosi che rimanga nascosto più a lungo, rimanendo aggiornati sulle ultime pratiche di programmazione e sulle misure anti-malware e visitando i forum e i repository degli sviluppatori. Il loro malware può eludere i motori degli antivirus più a lungo, infettare un maggior numero di dispositivi ed evitare il rilevamento precoce.

 

 

 

*illustrazione articolo progettata da  Freepik

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

In anteprima il Rapporto Clusit 2024

Nel 2023, in Italia, l’analisi del Clusit ha evidenziato un aumento del +65% nei gravi cyber attacchi rispetto al 2022, superiore al +12% registrato a livello mondiale

Avatar

Pubblicato

il

È stato presentato in anteprima alla stampa il Rapporto Clusit 2024, redatto dai ricercatori dell’Associazione Italiana per la Sicurezza Informatica (Clusit), che fornisce un’analisi indipendente sull’evoluzione del cybercrime sia a livello globale che italiano. Ricordiamo che il Rapporto Clusit 2024 sarà presentato al pubblico il prossimo 19 marzo, in apertura di Security Summit, la tre giorni dedicata alla cybersecurity organizzata a Milano da Clusit con Astrea, Agenzia di Comunicazione ed Eventi specializzata nel settore della Sicurezza Informatica. 

Da questo rapport si evince che il 2023 ha visto un’inequivocabile escalation degli attacchi informatici a livello globale, con 2.779 incidenti gravi analizzati da Clusit, rappresentando un chiaro deterioramento rispetto all’anno precedente. Questa tendenza continua a mostrare una crescita costante, registrando un aumento del +12% rispetto al 2022. Mensilmente, si è riscontrata una media di 232 attacchi, con un picco massimo di 270 nel mese di aprile, che rappresenta anche il valore massimo registrato negli anni. L’81% degli attacchi è stato classificato come di gravità elevata o critica, secondo la scala di “severity” adottata dai ricercatori di Clusit, basata sulla tipologia di attacco e sui relativi impatti. In questo scenario, l’Italia si trova sempre più nel mirino dei cybercriminali: l’anno scorso, nel nostro Paese è stato colpito l’11% degli attacchi gravi globali monitorati da Clusit (rispetto al 7,6% del 2022), per un totale di 310 attacchi, segnando un aumento del 65% rispetto all’anno precedente. Più della metà di questi attacchi, il 56%, ha avuto conseguenze di gravità critica o elevata. Analizzando gli ultimi cinque anni, emerge che oltre il 47% di tutti gli attacchi registrati in Italia dal 2019 si è verificato nel corso del 2023.

Come consueto, nel presentare i dati, i ricercatori di Clusit hanno sottolineato che si tratta di una rappresentazione delle tendenze del fenomeno, ma che essa rappresenta solo la superficie visibile, considerando che molte vittime continuano a mantenere riservate le informazioni sugli attacchi subiti e che in alcune regioni del mondo l’accesso alle informazioni è estremamente limitato. Analizzando l’andamento del crimine informatico degli ultimi cinque anni, gli autori del Rapporto Clusit hanno evidenziato un’evoluzione e picchi sia in termini quantitativi che qualitativi: dal 2018 al 2023, gli attacchi sono aumentati complessivamente del 79%, con una media mensile che è passata da 130 a 232. Vediamo in dettaglio i dati del report.

 

 Gli obiettivi degli attacchi nel mondo e in Italia

L’analisi dei cyber attacchi noti nel 2023 da parte dei ricercatori di Clusit evidenzia la netta prevalenza di attacchi con finalità di cybercrime – ovvero con l’obiettivo di estorcere denaro – che sono stati oltre 2.316 a livello globale, oltre l’83% del totale, in crescita del 13% rispetto al 2022. Questo andamento, commentano gli autori del Rapporto Clusit, sostanzia le indicazioni degli analisti che vedono una commistione tra criminalità “off-line” e criminalità “on-line” volta a reinvestire i proventi delle attività malevole, producendo così maggiori risorse a disposizione di chi attacca, in una sorta di circolo vizioso. Nel mondo sono quasi triplicati a livello globale gli attacchi con matrice di hacktivism, nel 2023 pari all’8,6% degli attacchi complessivi (erano il 3% nel 2022), con una variazione percentuale rispetto al totale anno su anno del 184%. In significativa diminuzione, invece, i fenomeni di espionage (6,4%, 11% nel 2022) e information warfare (1,7%, 4% nel 2022).
Tuttavia, rilevano gli autori del Rapporto Clusit, per quanto riguarda espionage e information warfare gli attacchi con impatto critico sono aumentati considerevolmente, da valori prossimi al 50% nel 2022 a valori intorno al 70% lo scorso anno.  Questo andamento si può con alta probabilità spiegare con riferimento ai conflitti Russo-Ucraino ed Israelo-Palestinese che, almeno sul piano della cyber security, vedono coinvolti molti Paesi.
Per le azioni di hacktivism è stata invece rilevata a livello mondiale una significativa riduzione percentuale degli attacchi critici (poco più del 10% sul totale nel 2023, rispetto al 50% del 2022), un andamento costante di quelli ad alto impatto ed un aumento di quelli ad impatto medio. Il fenomeno si spiega, secondo gli autori del Rapporto Clusit, con il consistente aumento degli attacchi afferenti a questa categoria a seguito dell’aggravarsi dello scenario geopolitico, nonché alla natura dimostrativa dei possibili effetti, la cui gravità, in confronto agli obiettivi perseguiti dai criminali informatici verso il mondo pubblico o privato, è spesso intrinsecamente più limitata.
In Italia, nel 2023 gli attacchi perpetrati con finalità di cybercrime sono stati pari al 64%; segue un significativo 36% di attacchi con finalità di hacktivism, in netta crescita rispetto al 2022 (che aveva fatto registrare il 6,9%), con una variazione percentuale anno su anno del +761%. Il 47% circa del totale degli attacchi con finalità “hacktivism” a livello mondiale e che rientrano nel campione rilevato – notano gli esperti di Clusit – è avvenuto ai danni di organizzazioni italiane.
La crescita di attacchi con matrice di hacktivism nel nostro Paese dimostra la forte attenzione di gruppi di propaganda che hanno l’obiettivo di colpire la reputazione delle organizzazioni. Questa tipologia di eventi – perlomeno quelli avvenuti nei primi nove mesi dell’anno, secondo i ricercatori di Clusit – si riferisce per la maggior parte al conflitto in Ucraina, nei quali gruppi di attivisti agiscono mediante campagne dimostrative rivolte tanto al nostro Paese che alle altre nazioni del blocco filo-ucraino. “Questo tipo di operazioni a sfondo politico e sociale sembrano essere state a livello globale predominanti rispetto a quelle militari o di intelligence, almeno per quanto riguarda la porzione divenuta di pubblico dominio e considerando quanto questo contesto tenda ad emergere difficilmente”, commenta Sofia Scozzari, del Comitato Direttivo Clusit.

  

Chi viene attaccato, nel mondo e in Italia

A livello mondiale le principali vittime si confermano appartenere alla categoria degli obiettivi multipli (19%), che subiscono campagne di attacco non mirate ma dagli effetti consistenti. Segue il settore della sanità (14%) che, come fanno notare i ricercatori Clusit, ha visto un incremento del 30% rispetto allo scorso anno. Gli incidenti in questo settore hanno inoltre visto un aumento della gravità dell’impatto, critico nel 40% dei casi (era il 20% nel 2022). Una parte consistente degli attacchi è stata rivolta anche al settore governativo e delle pubbliche amministrazioni (12%). Pur con un andamento lineare, il settore pubblico è stato interessato da un incremento del 50% degli incidenti negli ultimi cinque anni, rilevano gli esperti di Clusit. Questo è spiegabile con l’incremento delle attività dimostrative, di disturbo e di fiancheggiamento legate ai conflitti in corso, le quali hanno come obiettivi di elezione soggetti legati alle sfere governative e della difesa di quei Paesi considerati avversari. Segue il settore finanza e assicurazioni (11%). Gli attacchi in questo settore sono cresciuti percentualmente del 62% rispetto all’anno precedente e hanno avuto un impatto critico nel 50% dei casi (era il 40% nel 2022). In percentuale, sono cresciuti in maniera rilevante anche gli attacchi ai settori dei trasporti e della logistica (+41%), del manifatturiero (+25%) e del retail (26%), probabilmente – come già evidenziato dagli esperti di Clusit lo scorso anno – a causa della crescente diffusione dell’IoT e dalla tendenza verso l’interconnessione di sistemi, ampiamente impiegati in questi settori e tuttavia spesso non sufficientemente protetti. In crescita anche la percentuale degli attacchi registrata nel settore scolastico (+20%) e del tempo libero (+10%); calano invece sensibilmente (-49%) gli attacchi verso il settore dei media e multimedia. Il settore più attaccato in Italia nel 2023 è stato invece quello governativo/ militare, con il 19% degli attacchi, che ha subito un incremento del 50% rispetto al 2022, seguìto dal manifatturiero, con il 13%, cresciuto del 17% rispetto ai dodici mesi precedenti. Come evidenziato dagli autori del Rapporto Clusit, è interessante notare che un quarto del totale degli attacchi rivolti al manufacturing a livello globale riguarda realtà manifatturiere italiane. Colpito dal 12% degli attacchi, il settore dei trasporti/logistica in Italia, ha visto invece un incremento percentuale anno su anno sul totale degli attacchi del 620%; analogamente, il settore della finanza e delle assicurazioni, verso cui è stato perpetrato il 9% degli attacchi nel 2023, ha visto una variazione percentuale sul totale del +286% rispetto allo scorso anno.
Le vittime appartenenti alla categoria degli “obiettivi multipli” sono state colpite nel nostro Paese dall’11% degli attacchi, segno di una maggior focalizzazione dei cyber criminali verso settori specifici negli ultimi mesi.

La geografia delle vittime: i continenti più colpiti

La distribuzione geografica percentuale delle vittime segna, secondo i ricercatori di Clusit, la variazione della digitalizzazione nel mondo, riflettendo verosimilmente uno spaccato sulle regioni mondiali che hanno adottato le migliori azioni di difesa. Nel 2023 si confermano, come nel 2022, più numerosi gli attacchi alle Americhe, che rappresentano il 44% del totale. Gli attacchi rivolti all’Europa hanno rappresentato nel 2023 il 23% degli attacchi globali, scendendo di un punto percentuale rispetto all’anno precedente ma in crescita percentuale sul 2022 del 7,5%. Crescono invece di un punto percentuale rispetto al 2022 gli attacchi in Asia il 9% del totale – e rimangono sostanzialmente stabili quelli in Oceania e in Africa, rispettivamente il 2% e l’1% del totale. Circa un quinto degli attacchi (21%) è avvenuto parallelamente verso località multiple, con una riduzione di 6 punti percentuali sul totale degli attacchi rispetto al 2022.

Le tecniche d’attacco, nel mondo e in Italia

Il malware rappresenta nel 2023 ancora la tecnica principale con cui viene sferrato il 36% degli attacchi globali, percentualmente in crescita sul totale del 10% rispetto al 2022. In questa categoria, che comprende diverse tipologie di codici malevoli, il ransomware è in assoluto quella principale e maggiormente utilizzata grazie anche all’elevata resa economica per gli aggressori, che spesso collaborano fra loro con uno schema di affiliazione. Segue lo sfruttamento di vulnerabilità – note o meno – nel 18% dei casi, in crescita percentuale del 76% sul totale rispetto al 2022. Phishing e social engineering sono la tecnica con cui è stato sferrato nel mondo l’8% degli attacchi, come gli attacchi DDoS, che segnano però una variazione percentuale annua del +98%. In Italia per la prima volta da diversi anni, la categoria prevalente non è più il malware, bensì gli attacchi per mezzo di DDoS, che rappresentano il 36% del totale degli incidenti registrati nel 2023, un valore che supera di 28 punti percentuali il dato globale e che segna una variazione percentuale annua sul totale del 1486%. La forte crescita è probabilmente dovuta, come indicano gli autori del Rapporto Clusit, all’aumento di incidenti causati da campagne di hacktivism: molto spesso la tecnica di attacco utilizzata in questo caso è proprio il DDoS, poiché si punta a interrompere l’operatività di servizio dell’organizzazione o istituzione individuata come vittima. La percentuale di incidenti basati su tecniche sconosciute è 17%, sostanzialmente in linea con il resto del mondo.

Leggermente superiore l’impatto nel nostro Paese rispetto al resto del mondo gli attacchi di phishing e di ingegneria sociale, pari all’9%, che tuttavia in crescita dell’87% in valore assoluto, dimostrando l’efficacia duratura di questa tecnica. “Il fattore umano, evidentemente in Italia ancora più che nel resto del mondo, continua a rappresentare un punto debole facilmente sfruttabile dagli attaccanti: rimane quindi fondamentale focalizzare l’attenzione sul tema della consapevolezza, poiché i dati ci dicono che quanto fatto fino ad oggi non è ancora sufficiente”, afferma Luca Bechelli, del Comitato Scientifico Clusit.

 

 

Leggi anche: “Security Summit 2024 dal 19 al 21 Marzo


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending