Connect with us

Notizie

Ransomware LockBit sfrutta la vulnerabilità “Citrix Bleed”

Pubblicato

in data

citrix
Tempo di lettura: 2 minuti.

Gli affiliati del ransomware LockBit stanno attivamente sfruttando una grave vulnerabilità di sicurezza recentemente rivelata nei dispositivi Citrix NetScaler per il controllo delle applicazioni web (ADC) e nei Gateway. Questa criticità, nota come “Citrix Bleed”, permette agli attaccanti di eludere i requisiti di password e l’autenticazione a più fattori (MFA), portando al dirottamento di sessioni utente legittime.

Sicurezza compromessa: impatto di Citrix Bleed

La vulnerabilità, tracciata come CVE-2023-4966 e con un punteggio CVSS di 9.4, è stata affrontata da Citrix il mese scorso, ma non prima di essere stata sfruttata come zero-day, almeno da agosto 2023. Mandiant di Google ha rivelato che quattro gruppi diversi non categorizzati (UNC) sono coinvolti nell’exploit di CVE-2023-4966, prendendo di mira vari settori industriali nelle Americhe, EMEA e APJ.

LockBit e la minaccia crescente

LockBit, l’ultimo attore minaccioso ad unirsi a questa ondata di sfruttamento, è stato osservato nell’utilizzo della falla per eseguire script PowerShell e distribuire strumenti di gestione e monitoraggio remoto (RMM) come AnyDesk e Splashtop per attività successive. Questo sottolinea il fatto che le vulnerabilità nei servizi esposti continuano ad essere un vettore di ingresso primario per gli attacchi ransomware.

Tendenze nel ransomware Linux

Parallelamente, Check Point ha rilasciato uno studio comparativo sugli attacchi ransomware che prendono di mira Windows e Linux, notando che la maggior parte delle famiglie che irrompono in Linux utilizzano pesantemente la libreria OpenSSL insieme agli algoritmi ChaCha20/RSA e AES/RSA. “Il ransomware Linux è chiaramente mirato a organizzazioni medie e grandi rispetto alle minacce Windows, che sono molto più generali”, ha detto il ricercatore di sicurezza Marc Salinas Fernandez.

Semplificazione e stealth

L’esame di varie famiglie di ransomware che prendono di mira Linux “rivela una tendenza interessante verso la semplificazione, dove le loro funzionalità principali sono spesso ridotte a semplici processi di crittografia, lasciando il resto del lavoro a script e strumenti di sistema legittimi”. Questo approccio minimalista non solo rende queste famiglie di ransomware fortemente dipendenti da configurazioni e script esterni, ma le rende anche più facili da passare inosservate.

Citrix Bleed: allarme Sicurezza e Azioni Necessarie

Citrix ha recentemente rilasciato un promemoria cruciale agli amministratori di sistema, sottolineando la necessità di adottare misure aggiuntive dopo aver applicato le patch ai propri dispositivi NetScaler per contrastare la vulnerabilità “Citrix Bleed” (CVE-2023-4966). Oltre all’applicazione degli aggiornamenti di sicurezza necessari, è fondamentale eliminare tutte le sessioni utente precedenti e terminare quelle attive. Questo passaggio è essenziale perché gli attaccanti che sfruttano attivamente Citrix Bleed hanno rubato token di autenticazione, consentendo loro di accedere ai dispositivi compromessi anche dopo l’applicazione della patch.

Citrix ha corretto la falla all’inizio di ottobre, ma Mandiant ha rivelato che la vulnerabilità è stata sfruttata come zero-day almeno dalla fine di agosto 2023. Mandiant ha anche avvertito che le sessioni NetScaler compromesse persistono dopo l’applicazione della patch, permettendo agli attaccanti di muoversi lateralmente nella rete o compromettere altri account a seconda dei permessi degli account compromessi.

Citrix ha fornito comandi specifici per eliminare tutte le sessioni attive e persistenti. Questo è il secondo avviso dell’azienda in tal senso.

Boeing ha condiviso informazioni su come LockBit ha violato la sua rete in ottobre utilizzando un exploit Citrix Bleed, portando al furto di 43GB di dati dai sistemi di Boeing, successivamente trapelati sul dark web dopo che l’azienda ha rifiutato di soddisfare le richieste del gruppo ransomware.

CISA ha anche pubblicato un rapporto di analisi del malware, rivelando che oltre 10.000 server Citrix esposti su Internet erano vulnerabili agli attacchi Citrix Bleed una settimana fa.

Notizie

Nuova minaccia nel Cyberspazio: steganografia e Remcos RAT

Tempo di lettura: 2 minuti. UAC-0184′ utilizza steganografia per diffondere RAT Remcos, ampliando i bersagli a entità extra-ucraine

Pubblicato

in data

Tempo di lettura: 2 minuti.

Nel panorama della sicurezza informatica, un recente sviluppo ha destato preoccupazione tra gli esperti. Il gruppo di hacker noto come ‘UAC-0184’, precedentemente osservato in azioni contro le Forze Armate dell’Ucraina, ha adottato una tecnica sofisticata che utilizza la steganografia nelle immagini per distribuire il trojan di accesso remoto (RAT) Remcos. Questa tattica è stata impiegata contro un’entità ucraina operante in Finlandia, allargando il raggio d’azione del gruppo a organizzazioni al di fuori dell’Ucraina.

La steganografia al Servizio del Cybercrime

La steganografia, sebbene ben documentata, è raramente osservata in azione. Consiste nell’incorporare codice malevolo nei dati dei pixel delle immagini per sfuggire alla rilevazione da parte dei sistemi di sicurezza basati su regole di firma. In questo specifico attacco, i ricercatori di Morphisec hanno notato una distorsione visibile nell’immagine utilizzata, sebbene questo non pregiudichi l’efficacia dell’attacco in assenza di un’ispezione manuale.

Il processo di infezione inizia con un’email di phishing accuratamente elaborata, che sembra provenire da entità militari ucraine o israeliane. L’apertura del file allegato innesca una catena di infezione che porta all’attivazione del loader modulare ‘IDAT’. Questo loader si distingue per la sua architettura modulare e l’uso di tecniche avanzate per evadere la rilevazione, come il caricamento dinamico delle funzioni API di Windows e test di connettività HTTP.

Il RAT Remcos e Altre Minacce

L’ultima fase del processo prevede la decrittazione ed esecuzione del RAT Remcos, che funge da backdoor sui sistemi compromessi, consentendo il furto discreto di dati e il monitoraggio delle attività delle vittime. Oltre a Remcos, IDAT è stato osservato nel veicolare altre famiglie di malware come Danabot, SystemBC e RedLine Stealer, sebbene non sia chiaro se queste minacce siano state impiegate nei computer basati in Finlandia o in attacchi diversi.

Raccomandazioni per la Difesa

Di fronte a tattiche così sofisticate, è fondamentale che le organizzazioni adottino misure proattive di cybersecurity, tra cui la formazione degli utenti sulla sicurezza, l’aggiornamento tempestivo dei sistemi e l’impiego di soluzioni di sicurezza avanzate capaci di rilevare e contrastare tecniche elusive come la steganografia.

Prosegui la lettura

Notizie

Ultimate Member: vulnerabilità critica SQL in Plugin WordPress – AGGIORNARE SUBITO

Tempo di lettura: 2 minuti. Scoperta vulnerabilità critica SQLi in plugin WordPress ‘Ultimate Member’, minacciando oltre 200.000 siti. Aggiornamento urgente consigliato.

Pubblicato

in data

Ultimate Member Wordpress
Tempo di lettura: 2 minuti.

Una falla di sicurezza di rilievo è emersa nel plugin WordPress “Ultimate Member”, presente in oltre 200.000 installazioni attive. Classificata con il codice CVE-2024-1071 e un punteggio CVSS di 9.8, questa vulnerabilità espone i siti a potenziali attacchi di iniezione SQL attraverso il parametro “sorting”. Questo difetto consente a malintenzionati non autenticati di inserire query SQL aggiuntive all’interno di quelle esistenti, rischiando l’esfiltrazione di dati sensibili dal database.

L’incidenza della vulnerabilità è limitata agli utenti che hanno attivato l’opzione “Enable custom table for usermeta” nelle impostazioni del plugin. La segnalazione responsabile di questa criticità è stata effettuata il 30 gennaio 2024 e, in risposta, i creatori del plugin hanno implementato una correzione con il rilascio della versione 2.8.3 il 19 febbraio.

Come superare il problema?

Si invita con urgenza gli utilizzatori del plugin ad aggiornare alla versione più recente di Ultimate Member per prevenire rischi di sicurezza, specialmente considerando che Wordfence ha già intercettato un tentativo di sfruttamento di questa vulnerabilità nelle ultime 24 ore.

Questo avviso di sicurezza si inserisce in un contesto più ampio di minacce informatiche rivolte ai siti WordPress, che comprende anche campagne di attacco che sfruttano siti compromessi per veicolare drainer di criptovalute o indirizzare i visitatori verso siti phishing legati al Web3.

Cos’è Ultimate Member?

Ultimate Member è un plugin per WordPress che semplifica la procedura di iscrizione degli utenti e la gestione dei profili sul tuo sito web. Questo plugin consente di aggiungere profili utente esteticamente gradevoli e funzionali, rendendo più agevole per gli utenti registrarsi e diventare membri del sito. Grazie alla sua versatilità e alle sue numerose funzionalità, Ultimate Member è uno strumento molto apprezzato per la creazione di comunità online e siti con aree riservate agli utenti registrati.

Prosegui la lettura

Notizie

APT29 vira sui Servizi Cloud secondo gli USA e gli alleati

Tempo di lettura: 2 minuti. APT29 intensifica gli attacchi ai servizi cloud, mettendo a rischio organizzazioni governative e critiche. Scopri le raccomandazioni dei Five Eyes per la difesa.

Pubblicato

in data

Tempo di lettura: 2 minuti.

L’alleanza di intelligence dei Five Eyes (FVEY) ha lanciato un avvertimento riguardo al fatto che gli hacker russi del servizio di intelligence estero (SVR), noti come APT29, stanno orientando le loro strategie verso attacchi mirati ai servizi cloud delle loro vittime. Questo cambiamento di tattica segue una serie di violazioni significative, tra cui l’attacco alla catena di approvvigionamento di SolarWinds, che ha compromesso molteplici agenzie federali statunitensi oltre tre anni fa.

Attacchi ai Servizi Cloud

L’adattamento degli hacker alle moderne infrastrutture cloud evidenzia una mossa strategica verso l’exploitazione di sistemi basati sul cloud piuttosto che su vulnerabilità software in reti on-premise. Utilizzando credenziali di account di servizio compromesse attraverso attacchi di brute force o password spraying, conti dormienti non rimossi, token di accesso rubati, e bypassando l’autenticazione multi-fattore attraverso la fatigue di MFA, gli hacker stanno guadagnando accesso agli ambienti cloud delle loro vittime.

Vettori di breccia iniziali e malware sofisticati

Una volta ottenuto l’accesso, gli hacker utilizzano strumenti avanzati come il malware MagicWeb, che consente loro di autenticarsi come qualsiasi utente all’interno di una rete compromessa, per evitare di essere rilevati. Questi attacchi sono principalmente diretti verso organizzazioni governative e critiche in Europa, Stati Uniti e Asia.

Raccomandazioni per la difesa

Per contrastare questi attacchi, i difensori di rete sono invitati a implementare l’autenticazione multi-fattore abbinata a password robuste, applicare il principio del minimo privilegio a tutti gli account di sistema e di servizio, creare account di servizio canarino per rilevare le compromissioni più rapidamente e ridurre i tempi di sessione per bloccare l’uso di token di sessione rubati. È inoltre consigliato limitare l’iscrizione di nuovi dispositivi solo a quelli autorizzati e monitorare gli indicatori di compromissione che generano il minor numero di falsi positivi.

La trasformazione delle strategie degli hacker verso le infrastrutture cloud sottolinea l’importanza per le organizzazioni di adottare misure di sicurezza proattive per proteggere contro questi nuovi vettori di attacco. Seguendo le mitigazioni delineate negli avvisi congiunti, le organizzazioni possono rafforzare la loro posizione difensiva contro queste minacce emergenti.

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie33 minuti fa

Nuova minaccia nel Cyberspazio: steganografia e Remcos RAT

Tempo di lettura: 2 minuti. UAC-0184' utilizza steganografia per diffondere RAT Remcos, ampliando i bersagli a entità extra-ucraine

Ultimate Member Wordpress Ultimate Member Wordpress
Notizie52 minuti fa

Ultimate Member: vulnerabilità critica SQL in Plugin WordPress – AGGIORNARE SUBITO

Tempo di lettura: 2 minuti. Scoperta vulnerabilità critica SQLi in plugin WordPress 'Ultimate Member', minacciando oltre 200.000 siti. Aggiornamento urgente...

FCKeditor FCKeditor
Notizie12 ore fa

Hacker sfruttano CMS FCKeditor vecchio di 14 Anni per “avvelenamento” SEO su siti governativi e educativi

Tempo di lettura: 2 minuti. Gli hacker stanno sfruttando FCKeditor, un editor CMS obsoleto, per compromettere siti governativi ed educativi...

Notizie19 ore fa

Tutto ciò che devi sapere sulla Direttiva NIS2 e quali obblighi prevede

Tempo di lettura: 2 minuti. Scopri come adeguarsi ai nuovi obblighi di cybersicurezza introdotti dalla Direttiva NIS2 dell'UE contro le...

Notizie2 giorni fa

Cyberattacco alla Polizia canadese: indagini in corso e Sito Web inaccessibile

Tempo di lettura: < 1 minuto. L'RCMP canadese sta indagando su un cyberattacco che ha reso inaccessibile il suo sito...

CISA CISA
Notizie3 giorni fa

CISA rafforza la Sicurezza dei Sistemi di Controllo Industriale e mitiga CVE-2024-1709

Tempo di lettura: 2 minuti. CISA rilascia un advisory sui sistemi di controllo industriale e aggiunge la vulnerabilità CVE-2024-1709 di...

lockbit boeing lockbit boeing
Notizie5 giorni fa

Sventato l’Encryptor LockBit 4.0, arrestati padre e figlio in Ucraina

Tempo di lettura: < 1 minuto. Arresti in Ucraina e rivelazione di LockBit-NG-Dev segnano successi contro il ransomware LockBit.

Joomla logo Joomla logo
Notizie5 giorni fa

Joomla risolve vulnerabilità XSS che potrebbero esporre i siti a attacchi RCE

Tempo di lettura: 2 minuti. Joomla affronta cinque vulnerabilità XSS che potrebbero consentire attacchi RCE, con correzioni disponibili nelle versioni...

Notizie5 giorni fa

Microsoft espande le capacità di Log gratuite dopo il breach di maggio

Tempo di lettura: 2 minuti. Microsoft amplia le funzionalità di log gratuite dopo un breach di Exchange Online, garantendo a...

Sony Playstation Passkey Sony Playstation Passkey
Notizie5 giorni fa

Sony introduce il supporto per le Passkey negli account PlayStation

Tempo di lettura: < 1 minuto. Sony annuncia il supporto per le passkey negli account PlayStation, offrendo un accesso più...

Truffe recenti

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste1 settimana fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia2 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie2 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie3 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie4 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie4 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie4 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie5 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online5 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie5 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Tendenza