Sicurezza Informatica
Chi sono gli IAB? Strumento prezioso per le Ransomware Gang.
![malware](https://www.matricedigitale.it/wp-content/uploads/2022/02/malware-1024x819-1024x819.jpg)
La divisione di ricerca sulla sicurezza informatica di Google ha portato alla luce i dettagli dei broker di accesso iniziale (IAB) che lavorano per conto di alcune delle più grandi bande di ransomware esistenti.
Gli IAB sono gruppi di criminali informatici che sfruttano le vulnerabilità nelle organizzazioni e vendono l’accesso al miglior offerente in modo da poter lanciare attacchi informatici significativi senza condurre il lavoro iniziale.
Il Threat Analysis Group (TAG) ha osservato lo IAB EXOTIC LILY che opera almeno dal settembre 2021 e ha fornito l’accesso alle aziende a soggetti del calibro di Conti e FIN12 in modo che possano lanciare redditizi attacchi ransomware.
Questi tipi di gruppi IAB operano da tempo, ma hanno guadagnato popolarità negli ultimi anni e si stanno avvicinando al picco della loro maturità operativa, secondo recenti rapporti.
FIN12 e l’ormai spento Conti sono tra i più famigerati operatori di ransomware degli ultimi tempi. Entrambi hanno preso di mira indiscriminatamente le organizzazioni per un guadagno finanziario e, a differenza di altri gruppi, mostrano pochi limiti etici, avendo entrambi preso di mira ospedali e organizzazioni sanitarie in passato.
Il gruppo ben fornito EXOTIC LILY, all’apice della sua attività, si dice abbia preso di mira più di 5.000 email al giorno in 650 organizzazioni globali, cercando di sfruttare una vulnerabilità zero-day di Microsoft (CVE-2021-40444) per ottenere l’accesso iniziale.
Il TAG di Google ha detto che EXOTIC LILY ha mostrato tecniche di attacco mirate come lo spoofing di aziende e dipendenti come mezzo per ottenere la fiducia attraverso campagne e-mail, ma “in modo piuttosto unico” ha dedicato una notevole quantità di tempo ad ogni obiettivo nel tentativo di costruire la fiducia.
Come le bande di ransomware su larga scala per cui lavora, EXOTIC LILY è composto da molti individui in modo da poter dedicare tempo ad ogni obiettivo. TAG ha detto che il “livello di interazione umana è piuttosto insolito per i gruppi di criminalità informatica focalizzati su operazioni su larga scala“.
TAG ha dichiarato che EXOTIC LILY personalizza i modelli di proposte commerciali quando contatta per la prima volta le organizzazioni, piuttosto che fare affidamento su uno solo, una tecnica che richiede più sforzo di quello tipicamente osservato con tali gruppi.
Lo IAB ha anche gestito ulteriori comunicazioni con le vittime al fine di costruire la fiducia inviando un link a un carico utile dannoso utilizzando servizi legittimi di file-sharing.
Servizi come WeTransfer, TransferNow e OneDrive sono stati utilizzati per consegnare il payload che sfruttava lo zero-day di Microsoft, un’altra tecnica utilizzata dagli aggressori per eludere i meccanismi di rilevamento, ha detto TAG.
La catena di attacco di EXOTIC LILY secondo l’analisi di TAG può essere suddivisa in pochi passi:
- Registrare [nome azienda legittima].us per imitare [nome azienda legittima].com
- Creare l’indirizzo e-mail “employee@[nome azienda legittima].us”.
- Utilizzare OSINT o un modulo di contatto del sito web per acquisire l’indirizzo e-mail del bersaglio, inviare un’e-mail di phishing
- Stabilire la fiducia con ulteriori discussioni o programmando un incontro
- Condividere il carico utile con l’obiettivo
- Inviare una notifica di condivisione dei file
Il gruppo ha inizialmente utilizzato falsi profili online con facce generate dall’intelligenza artificiale per impersonare i dipendenti di una società fasulla, ma in seguito ha fatto ricorso a rubare i dati dei dipendenti autentici e raccogliere altri dati da database come CrunchBase e RocketReach.
L’uso di un servizio legittimo di file-sharing è diventato un metodo potente per evitare il rilevamento, in quanto non solo si tratta di aziende familiari, ma l’obiettivo riceve anche una notifica di file-sharing genuino da quel provider per aumentare l’autenticità percepita.
EXOTIC LILY ha inizialmente utilizzato documenti contenenti un exploit per uno zero-day di Microsoft, ma in seguito ha cambiato strategia consegnando file ISO con DLL BazarLoader nascoste un metodo di attacco senza file comune anche ai gruppi ransomware.
I file di collegamento di Microsoft, noti come collegamenti LNK, sono stati anche consegnati in questi file ISO, con campioni che indicano che erano fatti su misura da EXOTIC LILY piuttosto che kit di exploit off-the-shelf.
Sicurezza Informatica
Truffe romantiche Online: Polizia Postale indaga 7 persone
Tempo di lettura: 3 minuti. La Polizia Postale indaga sette persone per truffe romantiche online, utilizzando falsi profili per ingannare le vittime e ottenere denaro.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/aldebaran33_I_social_network_sono_diventati_il_terreno_di_cac_e712c218-8ba2-46ff-95ae-cc606e6a207a_3.jpg)
I social network sono diventati il terreno di caccia preferito dai truffatori che utilizzano falsi profili per instaurare relazioni sentimentali fittizie che sfociano in truffe romantiche dove la Polizia Postale viene avvisata troppo tardi dell’accaduto. Presentandosi come affascinanti giovani francesi che lavorano all’estero, questi truffatori guadagnano la fiducia delle loro vittime per poi iniziare a richiedere denaro, giustificando le richieste con necessità personali e difficoltà economiche. Questo modus operandi ha portato la Polizia di Stato a eseguire perquisizioni a carico di sette persone indagate per truffa e riciclaggio.
Le indagini sono state avviate grazie alla denuncia di una vittima stanca delle continue richieste di denaro. Dopo aver interrotto i contatti, la vittima è stata minacciata di diffusione online di foto intime ottenute con l’inganno, un metodo tipico delle “truffe romantiche”. Questi reati sfruttano la vulnerabilità di persone fragili, che spesso non denunciano per vergogna.
Gli investigatori hanno scoperto che, in un anno, sui conti correnti dei truffatori sono transitati oltre un milione di euro provenienti da questa attività illecita. I fondi venivano poi trasferiti e monetizzati in paesi dell’Africa centrale, come Costa d’Avorio, Etiopia e Burkina Faso, oltre che in paesi europei come Francia, Belgio, Austria e Cipro.
L’analisi tecnica e la raccolta delle prove sono state condotte dal Servizio Operativo per la Sicurezza Cibernetica (Sosc) di Savona, con il supporto del Centro Operativo per la Sicurezza Cibernetica (Cosc) della Polizia Postale di Genova. Le operazioni sono state coordinate dal Servizio Polizia Postale e per la Sicurezza Cibernetica di Roma, in collaborazione con i centri operativi di Bologna, Roma e Firenze, e con le sezioni operative di Modena e Viterbo.
I precedenti scoperti da Matrice Digitale: Truffa Kadena
Un’altra truffa online ha colpito duramente diverse donne arrivando ad un bottino di 100.000 secondo quanto raccolto da Matrice Digitale attraverso le segnalazioni di donne rimaste truffate.
Dettagli della truffa Kadena
La truffa su Kadena è iniziata con una serie di promesse di alti rendimenti sugli investimenti in criptovalute. La vittima è stata attratta da queste prospettive allettanti e ha deciso di investire una somma considerevole. Tuttavia, una volta effettuato il deposito, la piattaforma si è rivelata essere una truffa. La donna ha cercato di recuperare i suoi soldi, ma è stata ripetutamente ignorata e alla fine ha perso l’intero importo investito.
Meccanismo della Truffa
Le truffe su piattaforme di investimento in criptovalute, a cui si arriva anche attraverso il metodo delle truffe romantiche, seguono spesso uno schema simile:
- Promesse di alti rendimenti: Le vittime vengono attratte da promesse di guadagni elevati in tempi brevi.
- Interfaccia professionale: Le piattaforme truffaldine spesso hanno siti web dall’aspetto professionale per guadagnare la fiducia delle vittime.
- Richiesta di investimenti iniziali: Una volta che le vittime sono convinte, vengono richiesti investimenti iniziali.
- Blocco dei fondi: Dopo l’investimento, le vittime scoprono che i loro fondi sono bloccati e non riescono a ritirarli.
- Assenza di risposte: Le vittime tentano di contattare l’assistenza della piattaforma senza ottenere risposte.
Prevenzione e Consigli
Per evitare di cadere in truffe simili, è essenziale seguire alcune linee guida:
- Verifica delle piattaforme: Prima di investire, effettuare ricerche approfondite sulla piattaforma e leggere recensioni di altri utenti.
- Diffidare delle promesse troppo allettanti: Se un’offerta sembra troppo buona per essere vera, probabilmente lo è.
- Utilizzare piattaforme regolamentate: Investire solo su piattaforme regolamentate e riconosciute dalle autorità competenti.
- Educazione finanziaria: Aumentare la propria conoscenza sulle criptovalute e sugli investimenti online per riconoscere i segnali di allarme.
La truffa su Kadena è un monito per tutti gli investitori online a essere cauti e vigilanti soprattutto alle donne che subiscono truffe romantiche e denunciano troppo tardi alla Polizia Postale gli eventi. La perdita di 30.000 euro è un duro colpo, ma può servire come lezione per evitare futuri incidenti simili. La prudenza e l’informazione sono le migliori difese contro le truffe online.
Sicurezza Informatica
Microsoft risolve Backup di Windows, ma rompe BitLocker
Tempo di lettura: 2 minuti. Microsoft risolve i problemi di backup di Windows con l’aggiornamento KB5040527, ma alcuni utenti affrontano la schermata di recupero di BitLocker
![](https://www.matricedigitale.it/wp-content/uploads/2024/05/aldebaran33_microsoft_passkey_8cc6e911-aa3a-4fe4-8f9b-9134ce8dd7fb.jpg)
Microsoft ha recentemente rilasciato un aggiornamento cumulativo opzionale KB5040527 per Windows 11, mirato a risolvere problemi critici legati ai backup di Windows e agli aggiornamenti di sistema ma, tuttavia, alcuni utenti hanno riscontrato la comparsa della schermata di recupero di BitLocker dopo l’installazione di un altro aggiornamento di sicurezza. Vediamo nel dettaglio queste novità.
Aggiornamento KB5040527: Risoluzione dei Problemi di Backup
L’aggiornamento KB5040527 di luglio 2024 per Windows 11, disponibile per le versioni 23H2 e 22H2, introduce diverse correzioni significative. Tra queste, la risoluzione di un problema che causava il fallimento dei backup di Windows su dispositivi con una partizione di sistema EFI (Extensible Firmware Interface). Inoltre, questo aggiornamento affronta un problema noto con l’abbonamento Windows Enterprise che causava errori di accesso negato durante gli aggiornamenti da Windows Professional.
L’aggiornamento corregge anche una perdita di memoria nel Controllo delle Applicazioni di Windows Defender (WDAC) che poteva portare all’esaurimento della memoria di sistema durante la configurazione dei dispositivi Windows, oltre a un bug separato del WDAC che provocava il fallimento delle applicazioni quando venivano applicate le politiche di ID delle applicazioni WDAC.
Gli utenti possono installare questo aggiornamento opzionale andando su Impostazioni > Windows Update e cliccando su Verifica aggiornamenti. In alternativa, l’aggiornamento può essere scaricato e installato manualmente dal catalogo di aggiornamenti di Microsoft.
Schermata di recupero di BitLocker dopo l’aggiornamento
Alcuni utenti di Windows hanno segnalato la comparsa della schermata di recupero di BitLocker dopo aver applicato gli aggiornamenti di sicurezza rilasciati da Microsoft nel mese di luglio. BitLocker è una funzionalità di sicurezza di Windows che cripta interi dischi per prevenire l’accesso non autorizzato ai dati su dispositivi rubati o smarriti.
Microsoft ha riconosciuto il problema e ha fornito dettagli su come risolverlo sulla dashboard di salute dei rilasci di Windows. I sistemi interessati eseguono Windows 10, 11 o una delle versioni server (Windows Server 2022, 2019, 2016, 2012 R2, 2012, 2008 R2, 2008) e hanno molto probabilmente la crittografia del dispositivo abilitata.
Se ci si trova di fronte alla schermata di recupero di BitLocker, è necessario inserire la chiave di recupero per sbloccare il disco e avviare il sistema. La chiave di recupero può essere trovata accedendo a https://aka.ms/myrecoverykey con l’ID del proprio account Microsoft utilizzato sul sistema interessato. Una volta trovata la chiave di recupero corrispondente, questa va inserita nella schermata di recupero di BitLocker per avviare normalmente il sistema.
Gli aggiornamenti recenti di Microsoft risolvono problemi critici legati ai backup di Windows e agli aggiornamenti di sistema, migliorando la sicurezza e la stabilità dei dispositivi, ma tuttavia, alcuni utenti potrebbero dover affrontare la schermata di recupero di BitLocker a causa di un aggiornamento difettoso. Microsoft ha fornito istruzioni dettagliate su come risolvere questo problema e recuperare l’accesso ai propri dispositivi.
Sicurezza Informatica
USA: indagini e taglie contro APT della Corea del Nord
Tempo di lettura: 3 minuti. Gli Stati Uniti intensificano la lotta contro le APT della corea delnord: le indagini su Andariel e la taglia su Rim Jong Hyok.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/aldebaran33_APT45_is_a_long-running_moderately_sophisticated__9fdaf5da-e6fa-4506-999e-39e515ed3d13_3.jpg)
Gli USA sono in prima linea nella lotta contro il cybercrimine legato alla Corea del Nord, offrendo ricompense significative per informazioni sui principali attori coinvolti. In questo contesto, due recenti sviluppi evidenziano l’importanza e l’urgenza di affrontare questa minaccia: l’accusa contro il gruppo Andariel e l’offerta di una ricompensa per informazioni su un hacker nordcoreano collegato agli attacchi ransomware Maui.
Il gruppo Andariel e l’Indagine degli Stati Uniti
Gli Stati Uniti hanno accusato il gruppo di hacker nordcoreani Andariel di essere coinvolto in attacchi ransomware, in particolare contro infrastrutture critiche e organizzazioni sanitarie. Uno degli hacker, identificato come Rim Jong Hyok, è stato accusato di cospirazione per commettere hacking informatico e riciclaggio di denaro. È stato emesso un mandato di arresto federale contro Hyok nel distretto del Kansas.
Le indagini hanno collegato il gruppo Andariel a numerosi incidenti di ransomware che hanno colpito due basi dell’aeronautica statunitense, cinque fornitori di servizi sanitari, quattro appaltatori della difesa con sede negli Stati Uniti e l’Ufficio dell’Ispettore Generale della NASA. Gli attacchi hanno criptato i computer e i server utilizzati per i test medici e i registri elettronici dei pazienti, interrompendo i servizi sanitari. I pagamenti dei riscatti sono stati utilizzati per finanziare operazioni di cyber attacco contro enti governativi statunitensi e appaltatori della difesa, sia negli Stati Uniti che all’estero.
Offerta di ricompensa per informazioni su Rim Jong Hyok
Il Dipartimento di Stato degli Stati Uniti offre una ricompensa fino a 10 milioni di dollari per informazioni che possano aiutare a catturare Rim Jong Hyok. Questo è parte del programma Rewards for Justice (RFJ), che offre ricompense per informazioni sugli attori delle minacce che mirano alla sicurezza nazionale degli Stati Uniti.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-221-1024x600.jpg)
Hyok e altri operativi di Andariel sono stati collegati agli attacchi ransomware Maui, che hanno preso di mira infrastrutture critiche e organizzazioni sanitarie negli Stati Uniti. Gli attacchi hanno criptato i computer e i server, causando interruzioni significative nei servizi sanitari e utilizzando i pagamenti dei riscatti per finanziare ulteriori operazioni di cyber attacco.
Le autorità statunitensi hanno anche istituito un server Tor SecureDrop dedicato per inviare segnalazioni su Andariel o altri gruppi di minacce ricercati. Questo server offre un canale sicuro per fornire informazioni che potrebbero portare all’arresto degli hacker coinvolti.
Collaborazione internazionale e Avvisi di Sicurezza
CISA e l’FBI, in collaborazione con le agenzie di cybersicurezza del Regno Unito e della Corea del Sud, hanno emesso un avviso congiunto riguardante il gruppo di hacker Andariel, noto anche come APT45, Onyx Sleet, DarkSeoul, Silent Chollima, e Stonefly/Clasiopa. Questo gruppo è collegato al 3° Ufficio del Bureau di Ricognizione Generale della Corea del Nord (RGB).
L’avviso evidenzia che Andariel si concentra sul furto di informazioni militari sensibili e proprietà intellettuale di organizzazioni nei settori della difesa, aerospaziale, nucleare e ingegneristico. Le informazioni mirate includono specifiche contrattuali, distinte base, dettagli di progetto, disegni di progettazione e documenti ingegneristici, che hanno applicazioni sia militari che civili.
Mandiant ha identificato Andariel/APT45 come una delle operazioni di cyber attacco più longeve della Corea del Nord, risalente al 2009. Nel 2019, il gruppo ha preso di mira numerose centrali nucleari e strutture di ricerca, tra cui la centrale nucleare di Kudankulam in India.
Le recenti azioni contro il gruppo Andariel e l’offerta di una ricompensa per informazioni su Rim Jong Hyok dimostrano l’impegno degli Stati Uniti nella lotta contro il cybercrimine nordcoreano. La collaborazione internazionale e l’uso di tecnologie avanzate per la raccolta di informazioni sono strumenti cruciali per contrastare queste minacce e proteggere la sicurezza nazionale e le infrastrutture critiche.
- Economia1 settimana fa
Google e Samsung scatta l’antitrust per Gemini AI e Meta trattiene modelli AI in Europa
- L'Altra Bolla1 settimana fa
WhatsApp e Instagram: contatti preferiti e 20 Tracce in un Reel
- Economia1 settimana fa
Samsung compra Oxford Semantic Technologies e crea AI in Cina
- Sicurezza Informatica1 settimana fa
Vulnerabilità Cisco: aggiornamenti critici e raccomandazioni
- L'Altra Bolla1 settimana fa
Elon Musk sposta X in Texas e TikTok perde causa in Europa
- Sicurezza Informatica1 settimana fa
Blocco informatico di Microsoft Azure e crollano azioni di CrowdStrike
- Sicurezza Informatica1 settimana fa
Trump: Cellebrite sblocca in 40 minuti smartphone dell’attentatore
- Sicurezza Informatica1 settimana fa
Vulnerabilità critica in Apache HugeGraph: aggiornate subito