Sicurezza Informatica
Lazarus insiste nelle truffe cripto. Colpiti utenti Intel e macOS
Tempo di lettura: 2 minuti. Specializzati nei falsi annunci di lavoro, gli apt nordcoreani continuano a macinare attività di spionaggio prolifiche anche dal punto di vista economico al proprio governo.
L’APT nordcoreano Lazarus ha ripreso i suoi vecchi trucchi con una campagna di cyberespionaggio che prende di mira gli ingegneri con un falso annuncio di lavoro che tenta di diffondere il malware macOS. L’eseguibile malevolo per Mac utilizzato nella campagna prende di mira sia i sistemi basati su chip Apple che Intel.
La campagna, identificata dai ricercatori di ESET Research Labs e rivelata in una serie di tweet pubblicati martedì, impersona il commerciante di criptovalute Coinbase in una descrizione del lavoro che afferma di cercare un responsabile ingegneristico per la sicurezza dei prodotti, hanno rivelato i ricercatori.
Denominata Operation In(ter)ception, la recente campagna rilascia un eseguibile firmato per Mac camuffato da descrizione del lavoro per Coinbase, che i ricercatori hanno scoperto essere stato caricato su VirusTotal dal Brasile, hanno scritto.Infosec Insiders Newsletter “Il malware è compilato sia per Intel che per Apple Silicon”, secondo uno dei tweet. “Rilascia tre file: un documento PDF esca Coinbase_online_careers_2022_07.pdf, un bundle http[://]FinderFontsUpdater[.]app e un downloader safarifontagent”.
Somiglianze con malware precedenti
Il malware è simile a un campione scoperto da ESET a maggio, che includeva anche un eseguibile firmato camuffato da descrizione del lavoro, era compilato sia per Apple che per Intel e rilasciava un’esca PDF, hanno detto i ricercatori.
Tuttavia, il malware più recente è firmato il 21 luglio, secondo il timestamp, il che significa che si tratta di qualcosa di nuovo o di una variante del malware precedente. Utilizza un certificato rilasciato nel febbraio 2022 a uno sviluppatore di nome Shankey Nohria e revocato da Apple il 12 agosto, secondo i ricercatori. L’applicazione stessa non è stata autenticata.
Secondo ESET, Operation In(ter)ception ha anche una versione Windows del malware che utilizza la stessa esca e che è stata individuata il 4 agosto dal ricercatore di Malwarebytes Jazi.
Il malware utilizzato nella campagna si collega anche a un’infrastruttura di comando e controllo (C2) diversa da quella scoperta a maggio, https:[//]concrecapital[.]com/%user%[.]jpg, che non ha risposto quando i ricercatori hanno cercato di connettersi ad essa.
Lazarus in libertà
Lazarus della Corea del Nord è ben noto come una delle APT più prolifiche ed è già nel mirino delle autorità internazionali, essendo stato sanzionato nel 2019 dal governo statunitense.
Lazarus è noto per aver preso di mira accademici, giornalisti e professionisti di vari settori, in particolare l’industria della difesa, per raccogliere informazioni e sostegno finanziario per il regime di Kim Jong-un. Ha spesso utilizzato stratagemmi di impersonificazione simili a quello osservato nell’operazione In(ter)ception per cercare di far abboccare le vittime al malware.
Anche una precedente campagna identificata a gennaio prendeva di mira ingegneri in cerca di lavoro, proponendo loro false opportunità di lavoro in una campagna di spear-phishing. Gli attacchi utilizzavano Windows Update come tecnica di vita e GitHub come server C2.
Nel frattempo, una campagna simile scoperta l’anno scorso ha visto Lazarus spacciarsi per appaltatori della difesa Boeing e General Motors e affermare di cercare candidati al lavoro solo per diffondere documenti dannosi.
Chi è Lazarus? Matrice Digitale ha raccontato la storia dell’APT Nord Coreana
Lazarus: Dark Seoul, Ratankba e KillDisk. Le armi cibernetiche della Corea del Nord
Sicurezza Informatica
Sicurezza Informatica: protocollo tra Polizia di Stato e Engineering
Tempo di lettura: 2 minuti. Scopri il nuovo accordo di sicurezza informatica tra la Polizia di Stato e il Gruppo Engineering per potenziare la lotta contro il cybercrime.
Un importante accordo di sicurezza informatica è stato firmato a Roma tra la Polizia di Stato e il Gruppo Engineering. L’accordo è stato ratificato dal capo della Polizia, Vittorio Pisani, e Maximo Ibarra, amministratore delegato del Gruppo Engineering.
Obiettivi del protocollo
L’obiettivo principale di questa convenzione è sviluppare e potenziare le strategie di prevenzione e contrasto al cybercrime. Si prevede una collaborazione continua per adottare misure sempre più efficaci nel campo della sicurezza informatica.
Contributo del Gruppo Engineering
Il Gruppo Engineering, che conta oltre 70 aziende distribuite in 14 paesi tra Europa, Stati Uniti e Sud America, ha una storia quarantennale nel supporto alla digitalizzazione della Pubblica Amministrazione e delle imprese di vari settori. Il gruppo offre servizi informatici avanzati, sfruttando tecnologie all’avanguardia come Intelligenza Artificiale, Blockchain, Realtà Virtuale e Digital Twin. Con una forte competenza in cybersecurity, il gruppo garantisce alti livelli di sicurezza sia per sé stesso che per i suoi partner.
Ruolo della Polizia di Stato
La Polizia di Stato, attraverso la Polizia Postale, è deputata alla protezione delle infrastrutture critiche informatizzate di istituzioni e aziende che erogano servizi essenziali. Questa funzione è svolta principalmente dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic), che opera una sala operativa disponibile 24 ore su 24 e rappresenta il punto di contatto nazionale e internazionale per la gestione di eventi critici legati alle infrastrutture di rilievo nazionale.
Presenze notevoli
Alla firma della convenzione erano presenti importanti figure sia della Polizia di Stato, come Renato Cortese, direttore centrale per la Polizia Stradale, Ferroviaria, delle Comunicazioni e per i Reparti Speciali, e Ivano Gabrielli, direttore del servizio Polizia Postale, che del Gruppo Engineering S.p.A., inclusi il chief public affairs, Roberto Scrivo, e il Group chief information security officer, Pierluigi Carbone.
Questo accordo segna un passo significativo verso un rafforzamento della sicurezza informatica in Italia, mostrando l’importanza della collaborazione tra il settore pubblico e quello privato nel contrasto al cybercrime. Questo protocollo rappresenta un modello di cooperazione interistituzionale che potrebbe fornire un framework replicabile per altre iniziative simili, sia in Italia che a livello internazionale.
Sicurezza Informatica
Caccia a LockBit: ecco il leader della ransomware gang
Tempo di lettura: 2 minuti. Scopri come l’indagine internazionale ha portato all’arresto del capo del gruppo ransomware LockBit, segnando un importante successo nella lotta globale contro il cybercrime.
Le autorità degli Stati Uniti, insieme a quelle del Regno Unito e dell’Australia, hanno recentemente fatto importanti progressi nel contrasto del gruppo di ransomware LockBit, con l’incriminazione e la sanzione di Dmitry Yuryevich Khoroshev, un cittadino russo di 31 anni, accusato di essere il leader di questo infame gruppo. Khoroshev, assieme ad altri membri del gruppo, è ritenuto responsabile di attacchi su oltre 2,500 vittime in più di 120 paesi, causando danni miliardari e estorcendo pagamenti per un totale di almeno $500 milioni.
Le operazioni di LockBit
LockBit, attivo dal settembre 2019, è diventato noto per la sua abilità nel penetrare una vasta gamma di target, inclusi individui, piccole imprese, grandi corporazioni, istituzioni educative, ospedali e infrastrutture critiche. Il modello operativo del gruppo prevedeva il “doppio estorsione”, che comportava il pagamento di un riscatto per la chiave di decifratura dei sistemi colpiti e un ulteriore pagamento per evitare la pubblicazione di dati rubati.
L’Indagine e le sanzioni
La recente incriminazione di Khoroshev è il risultato di una collaborazione internazionale che ha visto un’azione coordinata per smantellare le infrastrutture online di LockBit. Gli Stati Uniti hanno giocato un ruolo chiave in questa operazione, con il Dipartimento di Giustizia che ha formalizzato le accuse e lanciato appelli alle vittime di LockBit per assistere nell’indagine. Inoltre, sono state poste in essere sanzioni finanziarie contro Khoroshev e altri membri del gruppo, congelando i loro beni e limitando ulteriormente la loro capacità operativa.
Le Implicazioni per la Sicurezza Globale
Questo caso sottolinea l’importanza della collaborazione internazionale nella lotta contro il cybercrime, specialmente per quanto riguarda i ransomware che possono colpire indiscriminatamente su scala globale. L’efficacia di tali operazioni non solo aiuta a neutralizzare minacce immediate, ma serve anche da deterrente per altri cybercriminali.
L’indagine su LockBit e l’incriminazione dei suoi leader è un esempio significativo di come la cooperazione transnazionale possa portare a risultati concreti nella lotta contro il cybercrime. Mentre la minaccia dei ransomware continua a evolversi, la determinazione e le risorse combinate di più nazioni rimangono strumenti cruciali per contrastare efficacemente questi attori malintenzionati. Questo episodio sottolinea la complessità e la pericolosità del panorama delle minacce cyber e l’importanza di un’azione coordinata per la sicurezza digitale globale.
Sicurezza Informatica
Sanzioni contro l’amministratore di LockBit
Tempo di lettura: 2 minuti. Nuove sanzioni globali contro l’amministratore di LockBit per crimini ransomware e azioni legali in corso.
In un recente sviluppo internazionale, autorità del Regno Unito, Stati Uniti e Australia hanno rivelato la seconda fase dell’Operazione Cronos contro LockBit, una delle operazioni di ransomware più pervasive al mondo con sanzioni. Il russo identificato come amministratore e sviluppatore di LockBit è ora soggetto a congelamenti di beni e divieti di viaggio imposti dal Foreign, Commonwealth and Development Office del Regno Unito, dall’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli USA e dal Dipartimento degli Affari Esteri e del Commercio dell’Australia.
Dettagli dell’accusa
Negli Stati Uniti, è in corso un’accusa contro l’amministratore di LockBit, che include l’accusa di aver creato, sviluppato e gestito il ransomware LockBit. Le indagini hanno rivelato che LockBit ha condotto oltre 7,000 attacchi tra giugno 2022 e febbraio 2024, con i maggiori impatti registrati negli Stati Uniti, Regno Unito, Francia, Germania e Cina. Questi attacchi hanno utilizzato i servizi offerti da LockBit, dimostrando l’ampio raggio di azione del gruppo nel cyber crimine.
Supporto alle vittime e strumenti di decrittazione
Le forze dell’ordine hanno ora in possesso oltre 2,500 chiavi di decrittazione e stanno continuando a contattare le vittime di LockBit per offrire supporto. Inoltre, Europol ha distribuito circa 3,500 pacchetti di intelligenza alle vittime in 33 paesi. Strumenti di decrittazione sono stati sviluppati e resi disponibili gratuitamente sul portale No More Ransom, disponibile in 37 lingue.
Sito di perdite controllato dalla NCA
Dopo aver preso il controllo nel febbraio, il sito di perdite del gruppo ransomware sul dark web è stato riprogettato dalle forze dell’ordine per ospitare una serie di articoli che espongono le diverse azioni intraprese contro LockBit. Il sito controllato dalla NCA è nuovamente utilizzato per ospitare una gamma di informazioni che espongono il gruppo criminale.
Operazione Taskforce Cronos
L’operazione internazionale Cronos Taskforce continua a mirare e a interrompere il ransomware LockBit, con il coinvolgimento di numerose autorità internazionali, tra cui la National Crime Agency (NCA) del Regno Unito, l’FBI e la polizia nazionale di diversi paesi europei e non solo.
Le azioni intraprese rappresentano un importante passo avanti nella lotta globale contro il cyber crimine, dimostrando un impegno internazionale nella lotta al ransomware e alle sue ramificazioni. Queste misure mirano a indebolire significativamente la capacità e la credibilità del gruppo ransomware LockBit, segnando un progresso significativo nella sicurezza cybernetica globale.
- Cyber Security2 settimane fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni
- Inchieste2 settimane fa
Papa Francesco sarà al G7 e l’Italia festeggia il DDL AI
- Cyber Security1 settimana fa
ACN: tutto quello che c’è da sapere sulla relazione annuale 2023
- Robotica2 settimane fa
Perché i Robot non riescono a superare gli animali in corsa?
- L'Altra Bolla2 settimane fa
Reddit rivoluziona l’E-Commerce con Dynamic Product Ads
- Economia1 settimana fa
Apple, Regno Unito vuole più sicurezza informatica e l’Europa indica iPadOS Gatekeeper
- L'Altra Bolla2 settimane fa
ByteDance “chiuderà TikTok negli USA piuttosto che venderlo”
- L'Altra Bolla2 settimane fa
Threads: 150M di utenti, moderazione, post quotati e novità archiviazione