Connect with us
Draghi Asocial

segnalaci un sito truffa

Inchieste

Microsoft scopre H0lyGh0st: apt nord coreano con l’omonimo ransomware

Condividi questo contenuto

Tempo di lettura: 3 minuti. Si ritiene che DEV-0530 abbia collegamenti con un altro gruppo con base in Corea del Nord noto come Plutonium (alias DarkSeoul o Andariel), un sottogruppo che opera sotto l’ombrello di Lazarus (alias Zinc o Hidden Cobra).

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Un gruppo di minacce emergenti proveniente dalla Corea del Nord è stato collegato allo sviluppo e all’utilizzo di ransomware in attacchi informatici rivolti alle piccole imprese a partire dal settembre 2021.

Il gruppo, che si fa chiamare H0lyGh0st dal nome dell’omonimo payload di ransomware, viene monitorato dal Microsoft Threat Intelligence Center con il nome DEV-0530, una designazione assegnata a un gruppo di minacce sconosciuto, emergente o in via di sviluppo.

Le entità prese di mira includono principalmente aziende di piccole e medie dimensioni, come organizzazioni manifatturiere, banche, scuole e società di pianificazione di eventi e riunioni.

Insieme al loro payload H0lyGh0st, DEV-0530 gestisce un sito .onion che il gruppo utilizza per interagire con le proprie vittime“, hanno dichiarato i ricercatori in un’analisi di giovedì.

La metodologia standard del gruppo consiste nel criptare tutti i file sul dispositivo di destinazione e utilizzare l’estensione .h0lyenc, inviare alla vittima un campione dei file come prova e quindi richiedere il pagamento in Bitcoin in cambio del ripristino dell’accesso ai file“.

Gli importi dei riscatti richiesti da DEV-0530 variano tra 1,2 e 5 bitcoin, anche se un’analisi del portafoglio di criptovalute dell’aggressore non mostra alcun pagamento di riscatto riuscito da parte delle vittime all’inizio di luglio 2022.

Lo schema illecito adottato dall’attore della minaccia è noto anche per prendere spunto dal manuale dei ransomware, facendo leva sulle tattiche di estorsione per esercitare pressione sulle vittime affinché paghino o rischino di veder pubblicate le loro informazioni sui social media.

Il portale dark web di DEV-0530 afferma di voler “colmare il divario tra ricchi e poveri” e “aiutare i poveri e le persone che muoiono di fame“, in una tattica che rispecchia un’altra famiglia di ransomware chiamata GoodWill, che costringe le vittime a donare a cause sociali e a fornire assistenza finanziaria alle persone in difficoltà.

Ransomware H0lyGh0st

Le tracce tecniche che collegano il gruppo ad Andariel derivano da sovrapposizioni nel set di infrastrutture e si basano sulle comunicazioni tra gli account e-mail controllati dai due gruppi di aggressori, con l’attività di DEV-0530 osservata costantemente durante l’ora solare della Corea (UTC+09:00).

“Nonostante queste somiglianze, le differenze nel ritmo operativo, negli obiettivi e nella tecnica suggeriscono che DEV-0530 e Plutonium sono gruppi distinti“, hanno sottolineato i ricercatori.

Un segno che suggerisce uno sviluppo attivo, quattro diverse varianti del ransomware H0lyGh0st sono state prodotte tra giugno 2021 e maggio 2022 per colpire i sistemi Windows: BTLC_C.exe, HolyRS.exe, HolyLock.exe e BLTC.exe.

Mentre BTLC_C.exe (soprannominato SiennaPurple) è scritto in C++, le altre tre versioni (nome in codice SiennaBlue) sono programmate in Go, suggerendo un tentativo da parte dell’avversario di sviluppare malware multipiattaforma.

I nuovi ceppi presentano anche miglioramenti alle loro funzionalità di base, tra cui l’offuscamento delle stringhe e la capacità di eliminare le attività pianificate e di rimuoversi dalle macchine infette.

H0lyGh0st Ransomware

Le intrusioni sarebbero state facilitate dallo sfruttamento di vulnerabilità senza patch in applicazioni web e sistemi di gestione dei contenuti rivolti al pubblico (ad esempio, CVE-2022-26352), sfruttando l’acquisto per rilasciare i payload del ransomware ed esfiltrare i dati sensibili prima di crittografare i file.

Le scoperte arrivano una settimana dopo che le agenzie di cybersicurezza e di intelligence statunitensi hanno avvertito dell’uso del ransomware Maui da parte di hacker sostenuti dal governo nordcoreano per colpire il settore sanitario almeno dal maggio 2021.

L’espansione dalle rapine finanziarie al ransomware viene vista come l’ennesima tattica sponsorizzata dal governo nordcoreano per compensare le perdite dovute a sanzioni, disastri naturali e altri rovesci economici.

Tuttavia, dato il ristretto gruppo di vittime tipicamente associato alle attività sponsorizzate dallo Stato contro le organizzazioni di criptovalute, Microsoft ha teorizzato che gli attacchi potrebbero essere un’attività secondaria per gli attori delle minacce coinvolti.

Guerra Cibernetica: USA hanno paura della Corea del Nord

Nord Corea 2018: La guerra cibernetica di Lazarus tra Mata Framework, Bankshot, e furti di criptovalute.

Commenti da Facebook

Inchieste

Five Eyes: ecco i malware in uso nel mondo

Condividi questo contenuto

Tempo di lettura: 6 minuti. Usa e Australia diffondono la lista dei malware più utilizzati

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Questo avviso congiunto di sicurezza informatica (CSA) è stato redatto in collaborazione dall’Agenzia per la sicurezza informatica e delle infrastrutture (CISA) e dal Centro australiano per la sicurezza informatica (ACSC). Questo avviso fornisce dettagli sui principali ceppi di malware osservati nel 2021. Il malware, abbreviazione di “software maligno”, può compromettere un sistema eseguendo una funzione o un processo non autorizzato. Gli attori informatici malintenzionati spesso utilizzano il malware per compromettere in modo occulto e poi ottenere l’accesso a un computer o a un dispositivo mobile. Alcuni esempi di malware sono virus, worm, trojan, ransomware, spyware e rootkit.[1]

Nel 2021, i principali ceppi di malware includevano trojan per l’accesso remoto (RAT), trojan bancari, ruba-informazioni e ransomware. La maggior parte dei principali ceppi di malware è in uso da più di cinque anni e le rispettive basi di codice si sono evolute in molteplici varianti. Gli utenti di malware più prolifici sono i criminali informatici, che utilizzano il malware per distribuire ransomware o facilitare il furto di informazioni personali e finanziarie.

CISA e ACSC incoraggiano le organizzazioni ad applicare le raccomandazioni contenute nelle sezioni “Mitigazioni” di questo CSA congiunto. Tali mitigazioni includono l’applicazione di patch tempestive ai sistemi, l’implementazione della formazione degli utenti, la messa in sicurezza del Remote Desktop Protocol (RDP), l’applicazione di patch a tutti i sistemi, in particolare per le vulnerabilità note e sfruttate, l’esecuzione di backup offline dei dati e l’applicazione dell’autenticazione a più fattori (MFA).

I principali ceppi di malware del 2021 sono: Agent Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot e GootLoader.

I criminali informatici utilizzano Agent Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos e TrickBot da almeno cinque anni.

Gli attori informatici malintenzionati utilizzano Qakbot e Ursnif da oltre un decennio.
Gli aggiornamenti apportati dagli sviluppatori di malware e il riutilizzo del codice di questi ceppi di malware contribuiscono alla longevità del malware e alla sua evoluzione in molteplici varianti. L’uso da parte degli attori maligni di ceppi di malware noti offre alle organizzazioni l’opportunità di prepararsi meglio, identificare e mitigare gli attacchi provenienti da questi ceppi di malware noti.

Gli utenti più prolifici dei principali ceppi di malware sono i criminali informatici, che utilizzano il malware per distribuire ransomware o facilitare il furto di informazioni personali e finanziarie.

Qakbot e TrickBot sono utilizzati per formare botnet e sono sviluppati e gestiti da criminali informatici eurasiatici noti per l’utilizzo o l’intermediazione di accessi abilitati a botnet per facilitare attacchi ransomware altamente redditizi. I criminali informatici eurasiatici godono di ambienti operativi permissivi in Russia e in altre repubbliche ex sovietiche.

Secondo i rapporti del governo statunitense, il malware TrickBot spesso consente l’accesso iniziale al ransomware Conti, che è stato utilizzato in quasi 450 attacchi ransomware globali nella prima metà del 2021. A partire dal 2020, i criminali informatici hanno acquistato l’accesso ai sistemi compromessi dal malware TrickBot in diverse occasioni per condurre operazioni di criminalità informatica.
Nel 2021, i criminali informatici hanno condotto campagne di phishing di massa con i malware Formbook, Agent Tesla e Remcos che incorporavano i temi della pandemia COVID-19 per rubare dati personali e credenziali ad aziende e privati.

Nell’industria criminale del malware, compreso il malware come servizio (MaaS), gli sviluppatori creano malware che i distributori di malware spesso intermediano agli utenti finali del malware. Gli sviluppatori di questi ceppi di malware top 2021 continuano a supportare, migliorare e distribuire il loro malware per diversi anni. Gli sviluppatori di malware beneficiano di operazioni informatiche lucrative con un basso rischio di conseguenze negative. Molti sviluppatori di malware spesso operano da luoghi con poche proibizioni legali contro lo sviluppo e la distribuzione di malware. Alcuni sviluppatori commercializzano addirittura i loro prodotti malware come strumenti legittimi di sicurezza informatica. Ad esempio, gli sviluppatori di Remcos e Agent Tesla hanno commercializzato i software come strumenti legittimi per la gestione remota e i test di penetrazione. Gli attori informatici malintenzionati possono acquistare Remcos e Agent Tesla online a basso costo e sono stati osservati mentre utilizzavano entrambi gli strumenti per scopi malevoli.

Top Malware

Agent Tesla

Panoramica: Agent Tesla è in grado di rubare dati da client di posta, browser Web e server FTP (File Transfer Protocol). Questo malware può anche catturare schermate, video e dati degli appunti di Windows. Agent Tesla è disponibile online per l’acquisto con il pretesto di essere uno strumento legittimo per la gestione del computer personale. I suoi sviluppatori continuano ad aggiungere nuove funzionalità, tra cui le capacità di offuscamento e l’individuazione di ulteriori applicazioni per il furto di credenziali.
Attivo dal: 2014
Tipo di malware: RAT
Metodo di consegna: Spesso consegnato come allegato dannoso nelle e-mail di phishing.

AZORult

Panoramica: AZORult viene utilizzato per rubare informazioni da sistemi compromessi. È stato venduto su forum di hacker clandestini per rubare dati del browser, credenziali utente e informazioni sulle criptovalute. Gli sviluppatori di AZORult ne aggiornano costantemente le capacità.
Attivo dal: 2016
Tipo di malware: Trojan
Metodo di consegna: Phishing, siti web infetti, exploit kit (toolkit automatizzati che sfruttano vulnerabilità software note) o tramite malware dropper che scarica e installa AZORult.

FormBook

Panoramica: FormBook è un ruba-informazioni pubblicizzato nei forum di hacking. FormBook è in grado di registrare le chiavi e catturare le password dei browser o dei client di posta elettronica, ma i suoi sviluppatori continuano ad aggiornare il malware per sfruttare le più recenti Vulnerabilità ed esposizioni comuni (CVS), come la vulnerabilità CVE-2021-40444 Microsoft MSHTML Remote Code Execution.
Attivo almeno dal 2016
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato come allegato nelle e-mail di phishing.

Ursnif

Panoramica: Ursnif è un Trojan bancario che ruba informazioni finanziarie. Conosciuto anche come Gozi, Ursnif si è evoluto nel corso degli anni per includere un meccanismo di persistenza, metodi per evitare sandbox e macchine virtuali e capacità di ricerca di software di crittografia del disco per tentare di estrarre la chiave per decodificare i file. Sulla base di informazioni provenienti da terze parti fidate, l’infrastruttura di Ursnif è ancora attiva a luglio 2022.
Attivo dal: 2007
Tipo di malware: Trojan
Metodo di consegna: Solitamente viene consegnato come allegato dannoso alle e-mail di phishing.

LokiBot

Panoramica: LokiBot è un malware Trojan per il furto di informazioni sensibili, tra cui credenziali utente, portafogli di criptovalute e altre credenziali. Una variante di LokiBot del 2020 è stata camuffata da launcher per il videogioco multiplayer Fortnite.
Attivo dal: 2015
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato come allegato di e-mail dannose.

MOUSEISLAND

Panoramica: MOUSEISLAND si trova solitamente all’interno delle macro incorporate di un documento Microsoft Word e può scaricare altri payload. MOUSEISLAND può essere la fase iniziale di un attacco ransomware.
Attivo da: almeno dal 2019
Tipo di malware: Scaricatore di macro
Metodo di consegna: Solitamente distribuito come allegato di posta elettronica.
Risorse: Vedere il blog di Mandiant che parla di MOUSEISLAND.


NanoCore

Panoramica: NanoCore viene utilizzato per rubare le informazioni delle vittime, tra cui password ed e-mail. NanoCore può anche consentire agli utenti malintenzionati di attivare le webcam dei computer per spiare le vittime. Gli sviluppatori di malware continuano a sviluppare funzionalità aggiuntive come plug-in disponibili per l’acquisto o come kit di malware o condivisi tra i cyber-attori malintenzionati.
Attivo dal: 2013
Tipo di malware: RAT
Metodo di consegna: È stato consegnato in un’e-mail come immagine ISO del disco all’interno di file ZIP dannosi; è stato trovato anche in documenti PDF dannosi ospitati su servizi di cloud storage.

Qakbot

Panoramica: originariamente osservato come trojan bancario, Qakbot ha evoluto le sue capacità includendo l’esecuzione di ricognizioni, lo spostamento laterale, la raccolta e l’esfiltrazione di dati e la consegna di payload. Conosciuto anche come QBot o Pinksliplot, Qakbot è di natura modulare e consente ai criminali informatici di configurarlo in base alle proprie esigenze. Qakbot può anche essere utilizzato per formare botnet.
Attivo dal: 2007
Tipo di malware: Trojan
Metodo di consegna: Può essere consegnato via e-mail sotto forma di allegati dannosi, collegamenti ipertestuali o immagini incorporate.

Remcos

Panoramica: Remcos è commercializzato come uno strumento software legittimo per la gestione remota e i test di penetrazione. Remcos, acronimo di Remote Control and Surveillance (controllo e sorveglianza remoti), è stato sfruttato da cyber-attori malintenzionati che hanno condotto campagne di phishing di massa durante la pandemia COVID-19 per rubare dati personali e credenziali. Remcos installa una backdoor in un sistema bersaglio. I cyber-attori malintenzionati utilizzano quindi la backdoor Remcos per impartire comandi e ottenere privilegi di amministratore, aggirando i prodotti antivirus, mantenendo la persistenza ed eseguendo processi legittimi iniettandosi nei processi di Windows.
Attivo dal: 2016
Tipo di malware: RAT
Metodo di consegna: Solitamente viene consegnato nelle e-mail di phishing come allegato dannoso.


TrickBot

Panoramica: Il malware TrickBot è spesso utilizzato per formare botnet o per consentire l’accesso iniziale al ransomware Conti o al trojan bancario Ryuk. TrickBot è sviluppato e gestito da un gruppo sofisticato di criminali informatici e si è evoluto in un malware altamente modulare e multi-stadio. Nel 2020, i criminali informatici hanno utilizzato TrickBot per colpire il settore sanitario e della salute pubblica (HPH) e quindi lanciare attacchi ransomware, esfiltrare dati o interrompere i servizi sanitari. Sulla base di informazioni provenienti da terze parti fidate, l’infrastruttura di TrickBot è ancora attiva nel luglio 2022.
Attivo dal: 2016
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato via e-mail come collegamento ipertestuale.

GootLoader

Panoramica: GootLoader è un payload di malware storicamente associato al malware GootKit. Con l’aggiornamento delle sue capacità da parte degli sviluppatori, GootLoader si è evoluto da caricatore che scarica un payload dannoso a piattaforma malware multi-payload. Come malware loader, GootLoader è solitamente il primo stadio di una compromissione del sistema. Sfruttando l’avvelenamento dei motori di ricerca, gli sviluppatori di GootLoader possono compromettere o creare siti web che si posizionano in alto nei risultati dei motori di ricerca, come quelli di Google.
Attivo da: almeno dal 2020
Tipo di malware: Payload
Metodo di consegna: File dannosi disponibili per il download su siti web compromessi che si posizionano in alto nei risultati dei motori di ricerca.


Commenti da Facebook
Prosegui la lettura

Inchieste

Zero Day cosa sapere, come difendersi e chi li usa

Condividi questo contenuto

Tempo di lettura: 6 minuti. Analisi del mercato e le differenze di interpretazioni tra Google e Flashpoint nello studio del fenomeno

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Per molti anni, il termine “zero-day” è stato abusato dalle testate giornalistiche e da alcuni fornitori di sicurezza, mitologizzandolo fino a farlo diventare il “grande lupo cattivo” del mondo della sicurezza che rende inutilizzabili i sistemi di qualsiasi organizzazione con un semplice clic del mouse. Sebbene ciò possa essere tecnicamente vero, c’è molto di più.

Le vulnerabilità zero-day sono davvero impossibili da difendere?

Dipende da come si definisce una vulnerabilità zero-day. A seconda del tipo di vulnerabilità, le aziende potrebbero avere più opzioni per rimediare o mitigarle di quanto si pensasse in precedenza.

Cosa sono le vulnerabilità zero-day?

In poche parole, gli zero-day sono vulnerabilità sfruttabili di cui il pubblico non è a conoscenza, spesso conosciute solo da una o poche persone. Tuttavia, le vulnerabilità zero-day possono derivare da scenari diversi a seconda di chi è a conoscenza dell’exploit. E a seconda di chi ne è a conoscenza, l’impatto e il rimedio o la mitigazione di uno zero-day possono cambiare drasticamente.

Ecco gli scenari di come si verifica uno zero-day:

  • L’exploit è noto, ma non viene segnalato al CVE, per cui il pubblico in generale non ne è a conoscenza.
  • Il fornitore interessato è a conoscenza dell’exploit, ma sceglie di non divulgarlo pubblicamente.
  • Solo il ricercatore di vulnerabilità è a conoscenza dell’exploit.
  • Solo gli attori delle minacce sono a conoscenza dell’exploit.
  • Proteggersi dai difetti intrinseci di CVE


Conoscere le differenze tra gli scenari zero-day è fondamentale perché non tutti presentano lo stesso rischio. Ma se la vostra unica fonte di informazioni sugli exploit zero-day proviene dai titoli dei media, sarà molto difficile fare questa distinzione, poiché ogni articolo suggerisce che ogni violazione di alto profilo è il risultato di uno zero-day o di un qualche tipo di attacco APT (Advanced Persistent Threat). Tuttavia, non tutti gli attacchi zero-day sono attribuiti alle APT.

Inoltre, i media affermano che gli zero-day sono “rari” e che sono in aumento, alimentando ulteriormente la convinzione che le organizzazioni possano fare poco per proteggersi dalle APT. Questo non è vero per tutti gli zero-day, soprattutto per i problemi non segnalati a CVE e NVD.

Molti problemi non vengono segnalati ai fornitori o a CVE e, di conseguenza, il pubblico in generale non è a conoscenza dell’esistenza della vulnerabilità o dell’exploit, a causa della forte dipendenza dalla fonte pubblica. Nel rapporto State of Vulnerability Intelligence, abbiamo descritto in dettaglio l’ampiezza del divario tra VulnDB e CVE: finora, CVE / NVD non ha segnalato oltre 94.000 vulnerabilità.

Per proteggersi da questi tipi di zero-day, è fondamentale disporre di un feed di vulnerability intelligence di qualità. Nonostante l’inconsapevolezza di CVE / NVD, i dettagli per le vulnerabilità non CVE ID possono essere trovati in tutto il web, su mezzi come forum illeciti, GitHub e altro ancora. Con le informazioni di Flashpoint, i team di sicurezza possono identificare e correggere i problemi non identificati CVE non appena vengono scoperti.

Gli zero-day scoperti in natura rappresentano il rischio maggiore

Gli zero-day che rappresentano il rischio maggiore per le organizzazioni sono quelli scoperti in natura. Si tratta di problemi che vengono utilizzati attivamente dagli attori delle minacce senza che sia disponibile una patch.

Per questi tipi di zero-days, è vero che le organizzazioni hanno poche opzioni difensive e dovrebbero invece concentrarsi sull’implementazione o sul miglioramento dei controlli di sicurezza sia umani che tecnici. La segregazione della rete, i controlli degli accessi, le patch reattive e la consapevolezza degli utenti dovrebbero essere la pietra miliare dei programmi di sicurezza.

Nonostante le difficoltà, il team Project Zero (P0) di Google aiuta le organizzazioni a tenere traccia di questo tipo di problemi dal maggio 2019 e ha reso pubbliche le proprie ricerche. Tuttavia, ci sono alcune avvertenze che gli utenti potrebbero voler prendere in considerazione.

Lo sfruttamento avviene più spesso al di fuori degli attacchi APT

La preoccupazione principale è che P0 tiene traccia delle vulnerabilità zero-day di alto livello e di alto profilo utilizzate principalmente negli attacchi APT, come è stato confermato da Ben Hawkes del team di Project Zero.

Ciò significa che l’elenco di Project Zero non comprenderà le vulnerabilità di tipo “in-the-wild” che non rientrano nell’ambito di applicazione di P0.

Detto questo, qual è il divario tra P0 e la raccolta di Flashpoint?

Nel 2022 H1, Flashpoint ha aggregato 37 vulnerabilità in-the-wild, rispetto alle 20 di P0: una discrepanza dell’85%. Considerando il totale noto, i team di ricerca di Flashpoint hanno trovato 311 vulnerabilità contro le 222 di P0. Queste affermazioni non intendono sminuire l’efficacia o gli sforzi del Progetto Zero. Al contrario, è per dimostrare che lo sfruttamento avviene più spesso al di fuori degli attacchi APT osservati, in quanto ogni vulnerabilità scoperta nella natura è indice di un’organizzazione compromessa.

Per molti anni, il termine “zero-day” è stato abusato dalle testate giornalistiche e da alcuni fornitori di sicurezza, mitologizzandolo fino a farlo diventare il “grande lupo cattivo” del mondo della sicurezza che rende inutilizzabili i sistemi di qualsiasi organizzazione con un semplice clic del mouse. Sebbene ciò possa essere tecnicamente vero, c’è molto di più.

Le vulnerabilità zero-day sono davvero impossibili da difendere?

Dipende da come si definisce una vulnerabilità zero-day. A seconda del tipo di vulnerabilità, le aziende potrebbero avere più opzioni per rimediare o mitigarle di quanto si pensasse in precedenza.

Cosa sono le vulnerabilità zero-day?

In poche parole, gli zero-day sono vulnerabilità sfruttabili di cui il pubblico non è a conoscenza, spesso conosciute solo da una o poche persone. Tuttavia, le vulnerabilità zero-day possono derivare da scenari diversi a seconda di chi è a conoscenza dell’exploit. E a seconda di chi ne è a conoscenza, l’impatto e il rimedio o la mitigazione di uno zero-day possono cambiare drasticamente.

Ecco gli scenari di come si verifica uno zero-day:

  • L’exploit è noto, ma non viene segnalato al CVE, per cui il pubblico in generale non ne è a conoscenza.
  • Il fornitore interessato è a conoscenza dell’exploit, ma sceglie di non divulgarlo pubblicamente.
  • Solo il ricercatore di vulnerabilità è a conoscenza dell’exploit.
  • Solo gli attori delle minacce sono a conoscenza dell’exploit.
  • Proteggersi dai difetti intrinseci di CVE


Conoscere le differenze tra gli scenari zero-day è fondamentale perché non tutti presentano lo stesso rischio. Ma se la vostra unica fonte di informazioni sugli exploit zero-day proviene dai titoli dei media, sarà molto difficile fare questa distinzione, poiché ogni articolo suggerisce che ogni violazione di alto profilo è il risultato di uno zero-day o di un qualche tipo di attacco APT (Advanced Persistent Threat). Tuttavia, non tutti gli attacchi zero-day sono attribuiti alle APT.

Inoltre, i media affermano che gli zero-day sono “rari” e che sono in aumento, alimentando ulteriormente la convinzione che le organizzazioni possano fare poco per proteggersi dalle APT. Questo non è vero per tutti gli zero-day, soprattutto per i problemi non segnalati a CVE e NVD.

Molti problemi non vengono segnalati ai fornitori o a CVE e, di conseguenza, il pubblico in generale non è a conoscenza dell’esistenza della vulnerabilità o dell’exploit, a causa della forte dipendenza dalla fonte pubblica. Nel rapporto State of Vulnerability Intelligence, abbiamo descritto in dettaglio l’ampiezza del divario tra VulnDB e CVE: finora, CVE / NVD non ha segnalato oltre 94.000 vulnerabilità.

Per proteggersi da questi tipi di zero-day, è fondamentale disporre di un feed di vulnerability intelligence di qualità. Nonostante l’inconsapevolezza di CVE / NVD, i dettagli per le vulnerabilità non CVE ID possono essere trovati in tutto il web, su mezzi come forum illeciti, GitHub e altro ancora. Con le informazioni di Flashpoint, i team di sicurezza possono identificare e correggere i problemi non identificati CVE non appena vengono scoperti.

Gli zero-day scoperti in natura rappresentano il rischio maggiore

Gli zero-day che rappresentano il rischio maggiore per le organizzazioni sono quelli scoperti in natura. Si tratta di problemi che vengono utilizzati attivamente dagli attori delle minacce senza che sia disponibile una patch.

Per questi tipi di zero-days, è vero che le organizzazioni hanno poche opzioni difensive e dovrebbero invece concentrarsi sull’implementazione o sul miglioramento dei controlli di sicurezza sia umani che tecnici. La segregazione della rete, i controlli degli accessi, le patch reattive e la consapevolezza degli utenti dovrebbero essere la pietra miliare dei programmi di sicurezza.

Nonostante le difficoltà, il team Project Zero (P0) di Google aiuta le organizzazioni a tenere traccia di questo tipo di problemi dal maggio 2019 e ha reso pubbliche le proprie ricerche. Tuttavia, ci sono alcune avvertenze che gli utenti potrebbero voler prendere in considerazione.

Lo sfruttamento avviene più spesso al di fuori degli attacchi APT

La preoccupazione principale è che P0 tiene traccia delle vulnerabilità zero-day di alto livello e di alto profilo utilizzate principalmente negli attacchi APT, come è stato confermato da Ben Hawkes del team di Project Zero.

Ciò significa che l’elenco di Project Zero non comprenderà le vulnerabilità di tipo “in-the-wild” che non rientrano nell’ambito di applicazione di P0.

Detto questo, qual è il divario tra P0 e la raccolta di Flashpoint?

Nel 2022 H1, Flashpoint ha aggregato 37 vulnerabilità in-the-wild, rispetto alle 20 di P0: una discrepanza dell’85%. Considerando il totale noto, i team di ricerca di Flashpoint hanno trovato 311 vulnerabilità contro le 222 di P0. Queste affermazioni non intendono sminuire l’efficacia o gli sforzi del Project Zero. Al contrario, è per dimostrare che lo sfruttamento avviene più spesso al di fuori degli attacchi APT osservati, in quanto ogni vulnerabilità scoperta nella natura è indice di un’organizzazione compromessa.

Commenti da Facebook
Prosegui la lettura

Inchieste

L’informazione è veicolata dalla intelligence americana? Forse sì

Condividi questo contenuto

Tempo di lettura: 3 minuti. Dietro il bollino di qualità, i social e società private collegate all’intelligence vogliono insegnare a editori e giornalisti come fare il loro mestiere e cosa non scrivere.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Sembrerebbe la classica teoria del complotto ed in effetti lo è perchè non ci sono prove, ma è singolare comprendere che il social più visitato al mondo, Facebook, ha al suo interno menti eccelse che per anni si sono formate nell’intelligence americana. Sì, parliamo di CIA, l’ente che gestisce la sicurezza americana ed i suoi servizi segreti e che ha visto una emorragia di suoi impiegati e fornitori passare con il metodo delle porte girevoli alla società Meta.

Gli incarichi sono di tutto rilievo, se consideriamo che la disinformazione è uno dei campi dove questi sono stati impiegati e con ruoli di primissimo piano. Che Facebook sia una società statale, lo abbiamo sempre sostenuto e motivato dal fatto che un componente così importante nel commercio globale di dati di tre miliardi di utenti che comprano, condividono la loro vita e si informano ogni giorno è un fattore appetibilissimo non solo per il controllo, ma anche per la manipolazione delle tendenze delle persone che affollano il social.

Più volte abbiamo trattato la questione dell’algoritmo, tanto da definire Facebook come una società fascista, che non prende in considerazione l’autonomia di espressione dei giornalisti e non fa in modo di tutelare tutti gli ambiti del pensiero libero.

Il fatto che sia una società intoccabile anche dal punto di vista internazionale, vedi l’esempio del data breach che non è stato perseguito dal Garante della Privacy, rende Meta sempre più oscura nella sua finta trasparenza.

Il Ministero della Verità passa proprio da qui ed è singolare che a garantire questo bollino verde alle informazioni siano ex dipendenti dell’intelligence statunitense e lo sdoganamento di società composte sempre da persone vicine agli ambienti spioni e sodali con la Central Intelligence Agency del mondo intero come nel caso di NewsGuard che viene presentato come modello di sdoganamento delle fake news, indipendente e mostrato come se fosse una OnLus, ma che in realtà nasconde un asset di delegittimazione anche preventiva delle informazioni che hanno bisogno di tempo per essere dimostrate perchè presentate sotto forma di indiscrezioni a tutela delle fonti che le riferiscono ai giornalisti.

Non è un caso che, al convegno sulla disinformazione per i 25 anni del Garante della Privacy, gli ospiti di eccezioni siano stati il giornalista filoatlantico democratico dichiarato de La Stampa, Gianni Riotta, ed il debunker David Puente in redazione al primo giornale online, Open di Mentana, con il bollino verde secondo NewsGuard dove lo stesso Riotta figura nel board della società americana di analisi della disinformazione.

L’inchiesta del giornale statunitense Mint press ha pubblicato una lista di nomi di ex dipendenti CIA ed FBI che hanno usufruito delle porte girevoli per entrare in Meta

Coincidenze?

Assolutamente no, così come gli accordi presi dall’Unione Europea per il contrasto alla disinformazione nell’ultimo periodo, che risalgono già al periodo Covid ed il Codice di condotta rafforzato sulla disinformazione risale al 2018, dimostrano che anche la collaborazione tra l’agenzia statunitense e quella europea si avvale di una fitta rete di soggetti coinvolti che hanno finalità simili.

Da chi è composto il Ministero della Verità dell’informazione globale?

I firmatari del Codice di condotta rafforzato sulla disinformazione coinvolgono le principali piattaforme online attive nell’UE, nonché le associazioni di categoria e gli attori rilevanti dell’ecosistema online e pubblicitario, che hanno già partecipato al precedente Codice. Si tratta di: Google, Meta, Twitter, Microsoft, TikTok, DOT Europe, World Federation of Advertisers (WFA), European Association of Communications Agencies (EACA), Interactive Advertising Bureau (IAB Europe) e Kreativitet & Kommunikation.

Tra i nuovi firmatari, che hanno preso parte al processo di revisione, figurano: le piattaforme di streaming video online Twitch e Vimeo; i social network Clubhouse e The Bright App; il portale web ceco Seznam e il motore di ricerca Neeva; i fact-checkers Maldita, PagellaPolitica, Demagog e Faktograf; i fornitori di tecnologia pubblicitaria MediaMath e DoubleVerify, nonché l’iniziativa del settore pubblicitario GARM; le organizzazioni della società civile e di ricerca Avaaz, Globsec, Reporter senza frontiere e VOST Europe; e le organizzazioni che forniscono competenze specifiche e soluzioni tecniche per combattere la disinformazione, Adobe, Crisp Thinking, Kinzen, Logically, Newsback, NewsGuard e WhoTargetsMe.

Leggi qui approfondimenti

Conseguenze

Le conseguenze di una attività simile sono stati devastanti sul fronte dei vaccini, della guerra e di tante altre attività messe in dubbio dalla macchina della censura della disinformazione in territorio atlantico. Più volte sono state inserite nel marasma generale delle fake news, notizie o indiscrezioni che non erano assolutamente da classificare come “false” o strumentali, ma che hanno invece alla lunga ricevuto un riscontro di verità e questo ha fatto in modo che tra i giusti si configurasse un apparato che ha delegittimato dei media, come se ci fosse stata una narrazione da salvaguardare al momento. Soprattutto guai a leggere dei ravvedimenti su delle posizioni espresse.

La strategia della delegittimazione del nemico, l’ha adottata per anni la CIA, ma è sempre stata una contromisura di autotutela dei poteri di regime.

Sarà un caso?

Intanto è davvero singolare che il Ministero della Verità si rafforzi dopo che l’Europa ha preso seri provvedimenti di censura contro l’informazione russa, rafforzando le notizie provenienti dall’intelligence Ucraina in accordo con quella americana ed inglese.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie2 giorni fa

Nella guerra cibernetica tra Russia e Cina c’è il dietrofront negli accordi in Ucraina?

Tempo di lettura: 2 minuti. La Cina scatena un attacco segreto contro la Russia mentre Xi inizia ad abbandonare Putin...

Notizie3 giorni fa

La Russia ed il successo della guerra cibernetica secondo gli esperti

Tempo di lettura: 2 minuti. Il mondo ha assistito sbigottito quando il 24 febbraio di quest'anno i carri armati russi...

Multilingua7 giorni fa

Hacker cinesi spiano enti pubblici e militari con sei backdoor diverse

Tempo di lettura: 2 minuti. TA428, noto anche con i nomi Bronze Dudley, Temp.Hex e Vicious Panda, ha una storia...

Notizie1 settimana fa

Il dark web riprende forma ed alza il livello di contenuti: prendono piede le armi informatiche

Tempo di lettura: 4 minuti. Il capo dell'Interpol ha avvertito che in pochi anni le armi informatiche sviluppate dagli Stati...

DeFi1 settimana fa

La finanza decentralizzata deve affrontare molteplici barriere per l’adozione mainstream

Tempo di lettura: 5 minuti. Pur essendo uno dei settori più popolari del mercato delle criptovalute, la finanza decentralizzata ha...

Notizie1 settimana fa

Facebook respinge minaccia di APT36

Tempo di lettura: 2 minuti. Meta dichiara che il gruppo criminale è collegato ad attori statali del Pakistan

Notizie2 settimane fa

Chi di malware ferisce, di attacchi apt perisce: enti russi colpiti da Woody Rat

Tempo di lettura: 2 minuti. Molti sospetti, nessuna certezza. Sono stati i cinesi oppure nordcoreani?

Notizie2 settimane fa

Guerra Cibernetica: la lezione che Trend Micro ha imparato dai russi.

Tempo di lettura: 4 minuti. Non solo si spiega come si è strutturata la battaglia, ma anche come fare in...

Notizie2 settimane fa

Pelosi accolta con un attacco DDOS a Taiwan

Tempo di lettura: 2 minuti. Una coincidenza? Secondo molti esperti si tratta di un attacco coordinato

Notizie2 settimane fa

Polonia sotto attacco hacker. Colpa della Russia

Tempo di lettura: < 1 minuto. Gli attacchi sono collegati ai tentativi di destabilizzare la situazione in Polonia e in...

Truffe recenti

scam scam
Notizie3 settimane fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Truffe online4 settimane fa

Il phishing sbarca anche su Twitter e Discord

Tempo di lettura: 3 minuti. Anche i "social minori" sono attenzionati dai criminali informatici

Inchieste1 mese fa

Tinder e la doppia truffa: criptovalute e assistenza legale che non c’è

Tempo di lettura: 6 minuti. Una donna conosciuta su Tinder gli consiglia di investire in criptovalute. Viene truffato e si...

Truffe online1 mese fa

Truffe WhatsApp, quali sono e come evitarle

Tempo di lettura: 4 minuti. Ecco le otto truffe più comuni su WhatsApp, secondo ESET

Truffe online2 mesi fa

Truffa Vinted: colpiti anche i venditori

Tempo di lettura: 2 minuti. Continuano le segnalazioni degli utenti

Truffe online2 mesi fa

Attenzione alla truffa LGBTQ+

Tempo di lettura: 3 minuti. I più esposti? Chi non ha fatto "coming out"

Pesca mirata Pesca mirata
Truffe online2 mesi fa

Attenzione alla truffa online di InBank

Tempo di lettura: < 1 minuto. La segnalazione arriva dalla società italiana di sicurezza informatica TgSoft

Truffe online2 mesi fa

Truffa WhatsApp: attenzione ai messaggi che ci spiano

Tempo di lettura: < 1 minuto. L'allarme proviene dall'Inghilterra

DeFi2 mesi fa

Criptovalute e truffa: Telegram e Meta piattaforme perfette

Tempo di lettura: 5 minuti. Meta non risponde alle richieste dei giornalisti, continua ad avallare truffe e soprusi in silenzio.

Truffe online2 mesi fa

Truffa Axel Arigato: la società risponde a Matrice Digitale

Tempo di lettura: < 1 minuto. "Ci scusiamo con i nostri utenti e provvederemo a risolvere il problema"

Tendenza