Notizie
Chi sono gli IAB? Strumento prezioso per le Ransomware Gang.

La divisione di ricerca sulla sicurezza informatica di Google ha portato alla luce i dettagli dei broker di accesso iniziale (IAB) che lavorano per conto di alcune delle più grandi bande di ransomware esistenti.
Gli IAB sono gruppi di criminali informatici che sfruttano le vulnerabilità nelle organizzazioni e vendono l’accesso al miglior offerente in modo da poter lanciare attacchi informatici significativi senza condurre il lavoro iniziale.
Il Threat Analysis Group (TAG) ha osservato lo IAB EXOTIC LILY che opera almeno dal settembre 2021 e ha fornito l’accesso alle aziende a soggetti del calibro di Conti e FIN12 in modo che possano lanciare redditizi attacchi ransomware.
Questi tipi di gruppi IAB operano da tempo, ma hanno guadagnato popolarità negli ultimi anni e si stanno avvicinando al picco della loro maturità operativa, secondo recenti rapporti.
FIN12 e l’ormai spento Conti sono tra i più famigerati operatori di ransomware degli ultimi tempi. Entrambi hanno preso di mira indiscriminatamente le organizzazioni per un guadagno finanziario e, a differenza di altri gruppi, mostrano pochi limiti etici, avendo entrambi preso di mira ospedali e organizzazioni sanitarie in passato.
Il gruppo ben fornito EXOTIC LILY, all’apice della sua attività, si dice abbia preso di mira più di 5.000 email al giorno in 650 organizzazioni globali, cercando di sfruttare una vulnerabilità zero-day di Microsoft (CVE-2021-40444) per ottenere l’accesso iniziale.
Il TAG di Google ha detto che EXOTIC LILY ha mostrato tecniche di attacco mirate come lo spoofing di aziende e dipendenti come mezzo per ottenere la fiducia attraverso campagne e-mail, ma “in modo piuttosto unico” ha dedicato una notevole quantità di tempo ad ogni obiettivo nel tentativo di costruire la fiducia.
Come le bande di ransomware su larga scala per cui lavora, EXOTIC LILY è composto da molti individui in modo da poter dedicare tempo ad ogni obiettivo. TAG ha detto che il “livello di interazione umana è piuttosto insolito per i gruppi di criminalità informatica focalizzati su operazioni su larga scala“.
TAG ha dichiarato che EXOTIC LILY personalizza i modelli di proposte commerciali quando contatta per la prima volta le organizzazioni, piuttosto che fare affidamento su uno solo, una tecnica che richiede più sforzo di quello tipicamente osservato con tali gruppi.
Lo IAB ha anche gestito ulteriori comunicazioni con le vittime al fine di costruire la fiducia inviando un link a un carico utile dannoso utilizzando servizi legittimi di file-sharing.
Servizi come WeTransfer, TransferNow e OneDrive sono stati utilizzati per consegnare il payload che sfruttava lo zero-day di Microsoft, un’altra tecnica utilizzata dagli aggressori per eludere i meccanismi di rilevamento, ha detto TAG.
La catena di attacco di EXOTIC LILY secondo l’analisi di TAG può essere suddivisa in pochi passi:
- Registrare [nome azienda legittima].us per imitare [nome azienda legittima].com
- Creare l’indirizzo e-mail “employee@[nome azienda legittima].us”.
- Utilizzare OSINT o un modulo di contatto del sito web per acquisire l’indirizzo e-mail del bersaglio, inviare un’e-mail di phishing
- Stabilire la fiducia con ulteriori discussioni o programmando un incontro
- Condividere il carico utile con l’obiettivo
- Inviare una notifica di condivisione dei file
Il gruppo ha inizialmente utilizzato falsi profili online con facce generate dall’intelligenza artificiale per impersonare i dipendenti di una società fasulla, ma in seguito ha fatto ricorso a rubare i dati dei dipendenti autentici e raccogliere altri dati da database come CrunchBase e RocketReach.
L’uso di un servizio legittimo di file-sharing è diventato un metodo potente per evitare il rilevamento, in quanto non solo si tratta di aziende familiari, ma l’obiettivo riceve anche una notifica di file-sharing genuino da quel provider per aumentare l’autenticità percepita.
EXOTIC LILY ha inizialmente utilizzato documenti contenenti un exploit per uno zero-day di Microsoft, ma in seguito ha cambiato strategia consegnando file ISO con DLL BazarLoader nascoste un metodo di attacco senza file comune anche ai gruppi ransomware.
I file di collegamento di Microsoft, noti come collegamenti LNK, sono stati anche consegnati in questi file ISO, con campioni che indicano che erano fatti su misura da EXOTIC LILY piuttosto che kit di exploit off-the-shelf.
Notizie
Kimsuky imita figure chiave per condurre attacchi informatici mirati
Tempo di lettura: 2 minuti. Le agenzie di intelligence statunitensi e sudcoreane mettono in guardia da nuove tattiche di ingegneria sociale utilizzate dal gruppo nordcoreano Kimsuky per attaccare settori come think tank, accademia e media.

Un nuovo allarme evidenzia l’uso di tattiche di ingegneria sociale da parte di attori informatici nordcoreani per colpire settori quali i think tank, il mondo accademico e i media. Questi “sforzi prolungati di raccolta di informazioni” sono attribuiti a un gruppo sponsorizzato dallo stato noto come Kimsuky, anche conosciuto con i nomi APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (precedentemente Thallium), Nickel Kimball, e Velvet Chollima.
Gli attacchi di Kimsuky
“La Corea del Nord si affida pesantemente alle informazioni ottenute da queste campagne di spear-phishing,” affermano le agenzie. “Compromissioni di successo degli individui presi di mira permettono agli attori di Kimsuky di creare email di spear-phishing più credibili ed efficaci che possono essere utilizzate contro obiettivi sensibili di alto valore.”
Kimsuky è un elemento ausiliario all’interno del Reconnaissance General Bureau (RGB) della Corea del Nord ed è noto per raccogliere informazioni tattiche su eventi geopolitici e negoziati che influenzano gli interessi del regime. È attivo dal 2012.
La strategia di Kimsuky
“Questi attori informatici stanno impersonando strategicamente fonti legittime per raccogliere informazioni su eventi geopolitici, strategie di politica estera e sviluppi di sicurezza di interesse per la DPRK nella penisola coreana,” ha affermato Rob Joyce, direttore della Cybersecurity della NSA.
Tra le vittime si annoverano giornalisti, studiosi accademici, ricercatori di think tank e funzionari governativi, con l’inganno principalmente pensato per individuare persone che lavorano su questioni legate alla Corea del Nord, come esperti di politica estera e politica.
Le tecniche utilizzate
Kimsuky è stato osservato mentre sfruttava informazioni di fonte aperta per identificare potenziali obiettivi di interesse e successivamente perfezionava le proprie identità online per apparire più legittimo, creando indirizzi email che somigliano a quelli di persone reali che cercano di impersonare.
L’adozione di identità false è una tattica abbracciata da altri gruppi sponsorizzati dallo stato e viene vista come un trucco per guadagnare fiducia e costruire un rapporto con le vittime. Il nemico è noto anche per compromettere gli account e-mail delle persone impersonate per creare messaggi e-mail convincenti.
La risposta delle autorità
Questa evoluzione segue poche settimane dopo che la società di cybersecurity SentinelOne ha dettagliato l’uso da parte di Kimsuky di strumenti personalizzati come ReconShark (una versione aggiornata di BabyShark) e RandomQuery per il riconoscimento e l’esfiltrazione delle informazioni.
All’inizio di marzo, le autorità governative tedesche e sudcoreane hanno suonato l’allarme sugli attacchi informatici lanciati da Kimsuky, che prevedono l’uso di estensioni del browser fraudolente per rubare le caselle di posta di Gmail degli utenti.
L’allarme segue anche le sanzioni imposte dal Dipartimento del Tesoro degli Stati Uniti a quattro entità e una persona che sono coinvolte in attività informatiche dannose e schemi di raccolta fondi che mirano a sostenere le priorità strategiche della Corea del Nord.
Notizie
Nokia C110 e C300: nuovi smartphone entry-level con prezzi competitivi
Tempo di lettura: < 1 minuto. HMD Global lancia due nuovi smartphone entry-level per il mercato statunitense, Nokia C110 e C300, offrendo funzionalità di base a un prezzo accessibile.

HMD Global continua a scommettere sulla fascia di mercato più accessibile con l’annuncio di due nuovi smartphone per il mercato statunitense: Nokia C110 e C300. Entrambi i modelli offrono specifiche tecniche di base a un prezzo competitivo, rappresentando una soluzione ideale per chi cerca un dispositivo mobile senza pretese, ma efficiente.
Caratteristiche tecniche dei nuovi Nokia C110 e C300
Il Nokia C110 offre uno schermo LCD da 6,3 pollici con risoluzione HD+ e un chipset MediaTek Helio P22. Il Nokia C300, invece, presenta un display LCD da 6,52 pollici con la stessa risoluzione e un SoC Snapdragon 662.
Il Nokia C110 è dotato di una singola fotocamera da 13MP sul retro con flash LED. Al contrario, il C300 aggiunge un sensore di profondità da 2MP e una fotocamera macro da 2MP. Il C300 si distingue inoltre per una fotocamera frontale da 8MP, mentre il C110 presenta un modulo da 5MP. Entrambi i nuovi dispositivi vengono offerti con 3GB di RAM e 32GB di storage, espandibile tramite lo slot per microSD.
Batteria, sistema operativo e design
Sul fronte software, entrambi i dispositivi sono alimentati da Android 12. In termini di autonomia, il Nokia C110 è equipaggiato con una batteria da 3.000 mAh (con ricarica da 5W), mentre il Nokia C300 dispone di una batteria da 4.000 mAh (con ricarica da 10W).
In termini di design, entrambi i telefoni presentano una scocca e un telaio in policarbonato, con classificazione IP52 e jack per cuffie.
Prezzi e disponibilità
Il Nokia C110, disponibile in grigio, parte da 99 dollari negli Stati Uniti. Il Nokia C300, proposto in blu, ha un prezzo di 139 dollari. Entrambi i telefoni saranno disponibili più avanti nel mese da operatori come Consumer Cellular e Tracfone, oltre che da rivenditori partner come Walmart, Target, Best Buy e Amazon.
Notizie
Pentagono acquista piatti Starlink per l’Ucraina dopo disputa con SpaceX
Tempo di lettura: < 1 minuto. Il Pentagono risolve la disputa di finanziamento con SpaceX per sostenere l’Ucraina.

Il Dipartimento della Difesa degli Stati Uniti ha confermato oggi di acquistare il servizio di banda larga satellitare Starlink per l’uso in Ucraina. L’annuncio sembra porre fine a una controversia di finanziamento che ha coinvolto SpaceX negli ultimi mesi.
Un Importante Servizio Satellitare per l’Ucraina
“Lavoriamo continuamente con una serie di partner globali per garantire che l’Ucraina disponga delle capacità satellitari e di comunicazione di cui ha bisogno. Le comunicazioni satellitari costituiscono uno strato vitale nella rete di comunicazione globale dell’Ucraina e il dipartimento stipula contratti con Starlink per servizi di questo tipo”, ha dichiarato il Dipartimento della Difesa in una dichiarazione fornita ad Ars ed altri media oggi.
Il Pentagono ha dichiarato di non fornire altri dettagli sui contratti, le capacità o i partner a causa di “motivi di sicurezza operativa e della natura critica di questi sistemi”. Secondo un rapporto di Bloomberg, l’accordo include terminali satellitari Starlink e servizi da utilizzare per l’esercito ucraino.
Una Disputa di Finanziamento Risolta
Nel settembre scorso, SpaceX aveva chiesto al Pentagono di finanziare l’uso di Starlink da parte del governo e dell’esercito ucraino, affermando di non potersi permettere di donare ulteriori terminali utente o pagare per le operazioni a tempo indeterminato. Il CEO di SpaceX, Elon Musk, ha fatto marcia indietro il 15 ottobre, scrivendo: “Alla fine… anche se Starlink sta ancora perdendo soldi e altre aziende stanno ricevendo miliardi di dollari dei contribuenti, continueremo a finanziare il governo ucraino gratuitamente”.
All’epoca, SpaceX ritirò la sua richiesta di finanziamento, ma il Pentagono e SpaceX tennero colloqui sul finanziamento di Starlink in Ucraina.
-
Editoriali3 settimane fa
Il tempo è galantuomo: il Garante ha bloccato anche Google secondo i media
-
L'Altra Bolla3 settimane fa
Elon Musk lascia Twitter nelle mani di una donna e del WEF
-
L'Altra Bolla3 settimane fa
L’annuncio dello show di Tucker Carlson su Twitter diventa il tweet della settimana
-
Inchieste2 settimane fa
Vinted: oltre le truffe c’è feticismo. Attenzione ai minori
-
Inchieste2 settimane fa
Vinted: beyond scams is fetishism. Beware of minors
-
Editoriali1 settimana fa
Facebook multata per 1,3 miliardi. L’Italia esce sconfitta … ancora una volta
-
Inchieste2 settimane fa
Vinted: más allá de las estafas está el fetichismo. Cuidado con los menores
-
Editoriali1 settimana fa
Robot e Diritti: il Confucianesimo Come Alternativa?”