Il malware SolarMarker, noto anche come Yellow Cockatoo e Jupyter Infostealer, è stato una minaccia costante dal 2021. Questo malware è particolarmente pericoloso per i settori dell’istruzione, della sanità e delle piccole e medie imprese (PMI). SolarMarker utilizza un’infrastruttura multi-tier in evoluzione e tecniche di elusione avanzate per evitare il rilevamento, come i certificati Authenticode e file zip di grandi dimensioni.

Infrastruttura Multi-tier di SolarMarker

L’infrastruttura di SolarMarker è composta da almeno due cluster distinti: uno primario per le operazioni attive e uno secondario utilizzato probabilmente per testare nuove strategie o per mirare a regioni o industrie specifiche. Questa separazione consente al malware di adattarsi rapidamente e rispondere alle contromisure, rendendolo particolarmente difficile da eradicare.

Tecniche di Elusione

SolarMarker impiega tecniche di elusione sofisticate, come l’uso di certificati Authenticode, che conferiscono legittimità ai payload dannosi, e l’uso di grandi file zip per bypassare i software antivirus. Queste tattiche aumentano l’efficacia del malware nel rimanere inosservato e continuare a compromettere i sistemi.

Impatto e settori colpiti

Il malware ha preso di mira numerosi settori, inclusi l’istruzione, la sanità, il governo, l’ospitalità e le PMI. Gli attacchi di SolarMarker mirano sia agli individui che alle organizzazioni, rubando grandi quantità di dati che possono essere venduti nei forum criminali, portando a ulteriori exploit e attacchi.

Misure di Difesa a Breve Termine

Per difendersi da SolarMarker, le organizzazioni dovrebbero:

• Implementare allow-listing delle applicazioni: Questo previene il download di file apparentemente legittimi che contengono malware.
• Formazione sulla sicurezza: Educare i dipendenti a riconoscere i segnali di una potenziale violazione, come download di file inattesi o reindirizzamenti sospetti che potrebbero indicare malvertising.

Misure di difesa a Lungo Termine

A lungo termine, è cruciale monitorare l’ecosistema cybercriminale per anticipare nuove minacce. Le organizzazioni dovrebbero:

• Raffinare le politiche di sicurezza: Adattare e migliorare le misure di difesa per rimanere un passo avanti rispetto agli attori delle minacce.
• Rafforzare le misure regolatorie: Implementare misure regolatorie migliori mirate all’infrastruttura cybercriminale e sostenere gli sforzi delle forze dell’ordine per affrontare queste minacce alla radice.

L’uso di regole YARA e Snort è fondamentale per rilevare le infezioni attuali e storiche. Poiché il malware continua ad evolversi, è essenziale aggiornare regolarmente queste regole e utilizzare metodi di rilevamento aggiuntivi come l’analisi degli artefatti di rete.

Per ulteriori dettagli, è possibile leggere l’analisi completa e scaricare il report in formato PDF qui.

Gala Games ha recentemente vissuto un evento sorprendente con il ritorno di $23 milioni in ETH da parte di un hacker. Questo sviluppo ha fornito al progetto un’opportunità significativa per rafforzare la propria posizione nel mercato. Eric Schiermeyer, CEO del progetto, ha annunciato su Discord che il team utilizzerà questi fondi recuperati per implementare una strategia di “buy and burn” per i token GALA.

Il ripristino di ETH rubati rappresenta un raro caso di considerazione etica nel mondo delle criptovalute. Il motivo dietro la decisione del hacker di restituire i token rubati non è chiaro, ma il risultato è indubbiamente positivo per Gala Games. Questo ritorno ha permesso al progetto di pianificare una strategia per migliorare il valore dei propri token.

Implementazione della Strategia “Buy and Burn”

Con i $23 milioni in ETH ora di nuovo a disposizione, Gala Games ha deciso di adottare una strategia di “buy and burn”. Questo processo comporta l’acquisto di token GALA utilizzando gli ETH recuperati e successivamente la rimozione permanente di questi token dalla circolazione. Eric Schiermeyer, noto anche come Benefactor nella comunità, ha spiegato che questa mossa mira a ridurre l’offerta totale di token GALA, aumentando potenzialmente il loro valore attraverso la scarsità.

La strategia di “buy and burn” è progettata per rafforzare la fiducia nella comunità di Gala Games e stabilizzare il mercato dopo la volatilità causata dal hack. La trasparenza mostrata da Schiermeyer nel comunicare questi piani rafforza ulteriormente il legame di fiducia tra il team del progetto e i suoi sostenitori.

Impatto sulla Comunità e sul Mercato

La decisione di implementare la strategia di “buy and burn” dimostra l’impegno del team di Gala Games a proteggere gli interessi degli investitori e a mantenere l’integrità del progetto. La rimozione di una quantità significativa di token dalla circolazione potrebbe avere un impatto positivo sul prezzo dei token GALA, beneficiando così i detentori esistenti.

Questa mossa strategica non solo aiuta a mitigare l’impatto negativo del hack, ma stabilisce anche un precedente su come affrontare situazioni simili in futuro con trasparenza e lungimiranza strategica. La comunità delle criptovalute seguirà con attenzione l’evoluzione del mercato di Gala Games per vedere come si svilupperanno le dinamiche post-implementazione della strategia di “buy and burn”.

Prospettive future per Gala Games

Il recupero di $23 milioni in ETH e la decisione di bruciare i token GALA segnano un momento cruciale nella storia di Gala Games. Con una pianificazione accurata e una comunicazione trasparente, il progetto è pronto a emergere più forte e resiliente, rafforzando la sua posizione nel competitivo panorama del gaming su blockchain.

La strategia di “buy and burn” di Gala Games potrebbe diventare un modello per altri progetti che affrontano sfide simili. La comunità cripto osserverà attentamente come questa decisione influenzerà il mercato e il valore dei token GALA, aspettandosi potenzialmente di vedere un aumento della fiducia e del valore nel lungo termine.

Google ha rilasciato una correzione per il suo browser Chrome per risolvere un problema critico che causava la visualizzazione di pagine vuote durante il cambio delle schede e, contemporaneamente, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato nuovi avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS) e ha aggiunto due nuove vulnerabilità note sfruttate al suo catalogo, evidenziando i rischi crescenti per le infrastrutture digitali. Queste notizie sottolineano l’importanza di rimanere aggiornati sulle ultime minacce e le migliori pratiche di sicurezza per proteggere le reti e i dati sensibili.

Google Chrome risolve il problema delle pagine vuote durante il cambio delle schede

Google ha avviato il rollout di una correzione lato server per un problema noto che riguarda il browser Chrome, causando la temporanea scomparsa del contenuto delle pagine web quando gli utenti cambiano tra le schede aperte. Questo problema è stato segnalato dagli utenti che hanno riscontrato difficoltà nel caricamento dei siti web e un utilizzo eccessivo delle risorse in alcuni casi.

Un responsabile del supporto di Google Chrome ha confermato sul sito della community aziendale che il team ha investigato i rapporti e determinato la causa di questo comportamento. Google ha già implementato un aggiornamento lato server per risolvere il problema, e gli utenti non devono intraprendere alcuna azione specifica per ricevere questo aggiornamento. Tuttavia, è consigliato riavviare il browser per garantire che l’aggiornamento venga applicato più rapidamente. L’aggiornamento è in fase di distribuzione graduale e dovrebbe risolvere il problema per tutti gli utenti nei prossimi giorni.

CISA rilascia un avviso per i sistemi di controllo industriale (ICS)

Il 21 maggio 2024, la CISA ha pubblicato un nuovo avviso riguardante i sistemi di controllo industriale (ICS). Questi avvisi forniscono informazioni tempestive sui problemi di sicurezza attuali, vulnerabilità ed exploit relativi agli ICS.

ICSA-24-142-01 LCDS LAquis SCADA

CISA incoraggia utenti e amministratori a esaminare i nuovi avvisi per dettagli tecnici e mitigazioni.

CISA aggiunge due nuove vulnerabilità note sfruttate al catalogo

La CISA ha aggiunto due nuove vulnerabilità al suo catalogo di vulnerabilità note sfruttate, basandosi su prove di sfruttamento attivo. Le vulnerabilità aggiunte sono:

• CVE-2024-4947: Vulnerabilità di confusione di tipo in Google Chromium V8.
• CVE-2023-43208: Vulnerabilità di deserializzazione di dati non fidati in NextGen Healthcare Mirth Connect.

Questi tipi di vulnerabilità sono spesso vettori di attacco frequenti per attori di minacce informatiche e rappresentano rischi significativi per le infrastrutture federali. Il Binding Operational Directive (BOD) 22-01 richiede alle agenzie del Federal Civilian Executive Branch (FCEB) di sanare le vulnerabilità identificate entro la data prevista per proteggere le reti FCEB dalle minacce attive. Sebbene il BOD 22-01 si applichi solo alle agenzie FCEB, CISA esorta tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici dando priorità alla tempestiva sanatoria delle vulnerabilità del catalogo come parte della loro pratica di gestione delle vulnerabilità.