Cyber Security
ArcaneDoor: spionaggio con Zero-Day su dispositivi Cisco
Tempo di lettura: 2 minuti. Attori statali sfruttano due vulnerabilità zero-day in dispositivi Cisco in una campagna di spionaggio avanzata denominata ArcaneDoor
Un sofisticato attore statali, identificato come UAT4356 (noto anche come Storm-1849 da Microsoft), ha sfruttato due vulnerabilità zero-day nei dispositivi di rete Cisco per condurre una campagna di spionaggio avanzato, denominata ArcaneDoor. Questa operazione ha mirato a raccogliere dati in modo occulto e implementare attacchi persistenti nei target ambientali.
Dettagli dell’Attacco
Le due vulnerabilità zero-day sfruttate in questa campagna includono:
- CVE-2024-20353: Una vulnerabilità di tipo Denial-of-Service nel Web Services del software Cisco Adaptive Security Appliance e Firepower Threat Defense, con un punteggio CVSS di 8.6.
- CVE-2024-20359: Una vulnerabilità che permette l’esecuzione locale di codice con privilegi di root, con un punteggio CVSS di 6.0.
Implementazione dei Backdoor
Durante l’attacco, sono state distribuite due backdoor:
- Line Dancer: Un backdoor in-memory che consente agli attaccanti di caricare ed eseguire payload arbitrari di shellcode, inclusa la disabilitazione dei log di sistema e l’esfiltrazione di dati di traffico di rete.
- Line Runner: Un impianto HTTP basato su Lua installato persistentemente sull’appliance Cisco ASA, sfruttando le vulnerabilità zero-day menzionate, in modo che possa sopravvivere a riavvii e aggiornamenti.
Complessità e implicazioni dell’Attacco
L’attacco ha dimostrato una capacità notevole di nascondere tracce digitali e di impiegare metodi complessi per evitare la rilevazione attraverso forensi della memoria, sottolineando la sofisticatezza e l’elusività dell’attore. Questo suggerisce che gli aggressori hanno una comprensione approfondita delle dinamiche interne dell’appliance Cisco ASA e delle azioni forensi comunemente eseguite da Cisco per la validazione dell’integrità dei dispositivi di rete.
Impatto e Risposta alla Sicurezza
Le agenzie di sicurezza di Australia, Canada e Regno Unito hanno pubblicato un avviso congiunto sull’attività di ArcaneDoor, evidenziando la crescente minaccia agli apparati di rete perimetrali, come server email, firewall e VPN, che tradizionalmente mancano di soluzioni di Endpoint Detection and Response (EDR). L’U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto le vulnerabilità al suo catalogo di vulnerabilità conosciute sfruttate, richiedendo che le agenzie federali applichino le correzioni fornite dai fornitori entro il 1 maggio 2024.
ArcaneDoor illustra come i dispositivi di rete perimetrali siano punti d’intrusione critici per le campagne di spionaggio. Questi dispositivi necessitano di patch regolari e tempestive, l’uso di hardware e software aggiornati, e una stretta sorveglianza da una prospettiva di sicurezza. L’ottenimento di un punto d’appoggio su questi dispositivi permette agli attori di muoversi direttamente all’interno di un’organizzazione, deviare o modificare il traffico e monitorare le comunicazioni di rete.
Cyber Security
Sito sequestrato di LockBit è di nuovo online
Tempo di lettura: 2 minuti. Le forze dell’ordine internazionali preannunciano nuove rivelazioni sul sito sequestrato di LockBit, promettendo dettagli importanti
Il sito di divulgazione dati del ransomware LockBit, precedentemente sequestrato, è stato riattivato onLine dalle forze dell’ordine internazionali per preannunciare nuove informazioni importanti che verranno svelate questo martedì. Questo sviluppo segue l’operazione Cronos del 19 febbraio, in cui sono stati sequestrati 34 server legati all’infrastruttura di LockBit.
Dettagli dell’Operazione e del Sito
L’operazione, condotta dalla National Crime Agency (NCA) del Regno Unito, dall’FBI e da Europol, ha portato alla cattura di importanti infrastrutture di LockBit, inclusi i siti di fuga di dati, indirizzi di criptovaluta e 1.000 chiavi di decrittazione. Successivamente, uno dei siti è stato trasformato in un portale di comunicati stampa dove le agenzie hanno condiviso informazioni raccolte durante l’operazione, inclusa una lista di affiliati e dettagli su come LockBit menta alle vittime non eliminando sempre i dati rubati dopo il pagamento del riscatto.
Annunci imminenti
Il sito riattivato contiene ora sette nuovi post di blog, tutti programmati per essere pubblicati simultaneamente alle 14:00 UTC di martedì. I titoli di questi post lasciano presagire importanti rivelazioni, inclusa l’identità dell’operatore di LockBit, noto come LockBitSupp, una figura che fino ad ora è rimasta anonima nonostante le precedenti affermazioni delle forze dell’ordine di conoscere la sua identità e ubicazione.
Reazioni e Speculazioni
La reazione a questa riattivazione è mista, con aspettative elevate ma anche una certa dose di scetticismo, data la natura precedente degli annunci che avevano promesso molto senza poi rivelare dettagli significativi. L’attenzione è ora rivolta a vedere se le nuove rivelazioni porteranno a un cambiamento tangibile nella lotta contro le operazioni di ransomware.
LockBit ransomware: analisi del post mortem
Mentre LockBit continua a rappresentare una minaccia, l’annuncio imminente potrebbe segnare un punto di svolta nella battaglia contro il ransomware. Le implicazioni di queste rivelazioni potrebbero avere un impatto significativo sulle operazioni future di LockBit e sulla sicurezza informatica globale. Questo sviluppo rappresenta un momento cruciale nella lotta contro il ransomware, con le forze dell’ordine che cercano di utilizzare ogni strumento a loro disposizione per smantellare reti criminali e rafforzare la sicurezza a livello globale.
Cyber Security
Allerta in Finlandia: malware su Android mirano ai conti bancari
Tempo di lettura: 2 minuti. La Finlandia avverte di attacchi malware su Android che compromettono i conti bancari attraverso false app di McAfee.
L’Agenzia finlandese dei Trasporti e delle Comunicazioni (Traficom) ha emesso un avviso riguardo a una campagna di malware su Android che sta cercando di compromettere i conti bancari online in Finlandia. Questo attacco utilizza messaggi SMS ingannevoli per indurre le vittime a installare una falsa app di McAfee, che in realtà è un malware.
Modalità dell’attacco
I messaggi, che si fingono inviati da banche o fornitori di servizi di pagamento come MobilePay, sono redatti in finlandese e chiedono ai destinatari di chiamare un numero telefonico. Una volta stabilito il contatto, agli utenti viene chiesto di installare un’app di McAfee per la protezione. Tuttavia, il link di download conduce all’installazione di un’applicazione dannosa (.apk) ospitata fuori dal Google Play Store.
Dettagli del Malware
Il gruppo finanziario OP, un importante fornitore di servizi finanziari in Finlandia, ha anche emesso un avviso sul suo sito web circa i messaggi ingannevoli che impersonano banche o autorità nazionali. La polizia ha evidenziato che il malware permette ai suoi operatori di accedere ai conti bancari delle vittime e trasferire denaro. In un caso, una vittima ha perso 95.000 euro.
Consigli per la protezione
È cruciale che gli utenti di dispositivi Android rimangano vigili e scettici riguardo alle richieste di installare qualsiasi software o app tramite messaggi che sembrano provenire da fonti ufficiali. Traficom raccomanda di contattare immediatamente la propria banca per adottare misure di protezione e ripristinare le impostazioni di fabbrica del dispositivo infetto per eliminare tutti i dati e le app.
Precauzioni aggiuntive
Google ha confermato che lo strumento anti-malware integrato in Android, Play Protect, protegge automaticamente contro le versioni note di questo tipo di malware, utilizzato in Finlandia, quindi è essenziale mantenerlo sempre attivo. Questi attacchi mettono in luce la crescente sofisticatezza dei cybercriminali nell’utilizzare combinazioni di tecniche di smishing e telefonate per distribuire malware. La vigilanza e l’adozione di buone pratiche di sicurezza sono essenziali per proteggere le informazioni personali e finanziarie.
Cyber Security
Google più sicurezza su Play Store e AI in risposta agli incidenti
Tempo di lettura: 2 minuti. Google ha rafforzato la sicurezza su Play Store bloccando milioni di app dannose e ha migliorato la risposta agli incidenti con AI.
Google ha intensificato le misure di sicurezza nel 2023 per combattere le app dannose e gli attori malevoli su Google Play, introducendo miglioramenti significativi attraverso l’uso dell’intelligenza artificiale (AI) per rafforzare la risposta agli incidenti.
Lotta alle App dannose
Nel 2023, Google ha impedito la pubblicazione di 2,28 milioni di app che violavano le politiche su Google Play. Questo successo è stato raggiunto grazie a nuove funzionalità di sicurezza, aggiornamenti delle politiche e processi di revisione delle app potenziati con machine learning avanzato. L’azienda ha anche migliorato i processi di onboarding e revisione degli sviluppatori, richiedendo più informazioni di identità e bandendo 333.000 account malevoli. Google ha rafforzato la privacy limitando l’accesso ai dati sensibili attraverso SDK, influenzando oltre 790.000 app.
Nuove iniziative di Sicurezza e Trasparenza
Google ha lanciato nuove iniziative di trasparenza nel Play Store, come l’etichettatura di app VPN che hanno superato una revisione di sicurezza indipendente, e ha potenziato Google Play Protect con la scansione in tempo reale per combattere app malevole. Inoltre, l’azienda ha introdotto requisiti più rigorosi per i nuovi account sviluppatori e ha migliorato le linee guida per la gestione dei dati personali degli utenti.
Risposta agli incidenti accelerata dall’AI
Parallelamente, Google ha utilizzato l’intelligenza artificiale generativa per velocizzare la risposta agli incidenti di sicurezza e privacy. L’uso di modelli di linguaggio avanzati (LLM) ha permesso di ridurre del 51% il tempo necessario per redigere riassunti degli incidenti, migliorando anche la qualità delle comunicazioni interne e la gestione degli incidenti.
Protezione del Play Store e oltre
Mentre Google continua a proteggere gli utenti e gli sviluppatori su Play Store, l’azienda si impegna costantemente nell’evoluzione delle sue strategie di sicurezza, incluso il rimuovo di app non trasparenti riguardo le loro pratiche di privacy.
L’impegno di Google nella lotta contro le app dannose e nella risposta rapida agli incidenti evidenzia il suo ruolo di leader nella sicurezza informatica. Con ogni aggiornamento, Google non solo migliora la sicurezza del suo ecosistema, ma stabilisce anche nuovi standard per l’industria tecnologica globale. Queste iniziative mostrano come Google stia utilizzando tecnologie all’avanguardia e strategie innovative per mantenere un ambiente sicuro e affidabile per tutti i suoi utenti e sviluppatori.
- Inchieste2 settimane fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste2 settimane fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Cyber Security2 settimane fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni
- Inchieste1 settimana fa
Papa Francesco sarà al G7 e l’Italia festeggia il DDL AI
- Cyber Security1 settimana fa
ACN: tutto quello che c’è da sapere sulla relazione annuale 2023
- Robotica2 settimane fa
Perché i Robot non riescono a superare gli animali in corsa?
- L'Altra Bolla2 settimane fa
Reddit rivoluziona l’E-Commerce con Dynamic Product Ads
- L'Altra Bolla2 settimane fa
ByteDance “chiuderà TikTok negli USA piuttosto che venderlo”