Notizie
Dark web, The Real Deal: sospetto amministratore citato in giudizio
Tempo di lettura: 3 minuti. Citato in giudizio con l’accusa di frode di dispositivi di accesso e associazione a delinquere finalizzata al riciclaggio di denaro

Daniel Kaye è stato citato in giudizio con l’accusa di frode di dispositivi di accesso e associazione a delinquere finalizzata al riciclaggio di denaro. Le accuse di Kaye derivano dalla sua presunta gestione di The Real Deal, un mercato del Dark Web che vendeva, tra l’altro, strumenti di hacking e credenziali di accesso rubate, e dal riciclaggio dei fondi ricevuti da tale mercato.”Mentre viveva all’estero, l’imputato avrebbe gestito un sito web illegale che rendeva disponibili per l’acquisto strumenti di hacking e credenziali di accesso, comprese quelle delle agenzie governative statunitensi”, ha dichiarato il procuratore Ryan K. Buchanan. “Questo caso ci ricorda, in occasione del National Cybersecurity Awareness Month, che le forze dell’ordine federali faranno in modo che coloro che sono accusati di aver violato le leggi degli Stati Uniti debbano affrontare il loro giorno in tribunale, indipendentemente da dove risiedano nel mondo”.
“Questo caso è un esempio della nostra costante determinazione a collaborare con i nostri partner internazionali per far sì che i criminali siano ritenuti responsabili, a prescindere da quanto sofisticate siano le loro frodi informatiche o dalla loro posizione geografica”, ha dichiarato Keri Farley, Agente Speciale a capo dell’FBI di Atlanta. “Questa incriminazione sia un messaggio che l’FBI e i nostri partner attribuiscono un’alta priorità alle indagini e al perseguimento degli hacker che si intromettono nelle nostre infrastrutture e minacciano la sicurezza personale dei nostri cittadini”. Secondo il Procuratore Buchanan, le accuse e le altre informazioni presentate in tribunale: Kaye avrebbe gestito The Real Deal, un mercato del Dark Web per articoli illeciti, tra cui credenziali di accesso ad account rubati per computer del governo degli Stati Uniti; credenziali di accesso ad account rubati per social media e conti bancari; informazioni rubate su carte di credito; informazioni personali identificabili rubate; droghe illegali; botnet e strumenti di hacking per computer. Il mercato era organizzato in categorie, come “Codice di exploit”, “Contraffazioni”, “Droghe”, “Frodi e altro”, “Dati governativi” e “Armi”. Il mercato permetteva ai venditori di creare account e di elencare i propri prodotti. Questi venditori mantenevano pagine di profilo che offrivano un sistema di valutazione in cui gli acquirenti potevano classificare i venditori.L’accusa sostiene che Kaye ha messo in vendita su The Real Deal le credenziali di accesso ai computer del governo degli Stati Uniti appartenenti al Servizio Postale degli Stati Uniti, alla National Oceanic and Atmospheric Administration, ai Centers for Disease Control and Prevention, alla National Aeronautics and Space Administration e alla U.S. Navy. L’accusa sostiene inoltre che Kaye, insieme a uno o più individui noti come “thedarkoverlord”, trafficava in numeri di previdenza sociale rubati e che Kaye possedeva 15 o più credenziali di accesso rubate per Twitter e LinkedIn. Infine, l’accusa sostiene che Kaye ha riciclato la criptovaluta ottenuta da The Real Deal attraverso Bitmixer.io, un sito web che offriva servizi di “miscelazione” di Bitcoin e, attraverso il suo algoritmo di “miscelazione”, cercava di mantenere i suoi utenti anonimi, privati e immuni da analisi di tracciamento della blockchain di Bitcoin.
Il 13 aprile 2021, un gran giurì federale ha presentato un’accusa che incrimina Kaye con cinque capi d’imputazione per frode di dispositivi di accesso per sollecitazione non autorizzata, in violazione del 18 U.S.C. § 1029(a)(6), un capo d’imputazione per uso e traffico di dispositivi di accesso non autorizzati, in violazione del 18 U. S.C. § 1029(6). U.S.C. § 1029(a)(2), due accuse di possesso di dispositivi di accesso non autorizzati e contraffatti, in violazione del 18 U.S.C. § 1029(a)(3), e un’accusa di associazione a delinquere finalizzata al riciclaggio di denaro, in violazione del 18 U.S.C. § 1956(h). Kaye era all’estero al momento della presentazione dell’accusa e, nel settembre 2022, ha acconsentito alla sua estradizione da Cipro agli Stati Uniti. Daniel Kaye, noto anche come “Popopret”, “Bestbuy”, “TheRealDeal”, “Logger”, “David Cohen”, “Marc Chapon”, “UserL0ser”, “Spdrman”, “Dlinch Kravitz”, “Fora Ward” e “Ibrahim Sahil”, 34 anni, di Londra, Inghilterra, è stato citato in giudizio davanti al giudice magistrato Linda T. Walker. Si ricorda ai cittadini che l’atto d’accusa contiene solo i capi d’imputazione. L’imputato è presunto innocente e sarà onere del governo dimostrare la sua colpevolezza oltre ogni ragionevole dubbio al processo.Su questo caso sta indagando il Federal Bureau of Investigation. Anche l’Ufficio per gli Affari Internazionali del Dipartimento di Giustizia, il Ministero della Giustizia e dell’Ordine Pubblico di Cipro, la Polizia di Cipro, il Bundeskriminalamt tedesco e la National Crime Agency del Regno Unito hanno assistito in questa indagine.
Notizie
Kaspersky monitora le offerte di lavoro nel dark web: 20.000 al mese.
Tempo di lettura: 3 minuti. I gruppi di criminali informatici gestiscono sempre più spesso le loro operazioni come un business, promuovendo sul dark web offerte di lavoro che offrono a sviluppatori e hacker stipendi mensili competitivi, ferie e permessi retribuiti.

In un nuovo report di Kaspersky, che ha analizzato 200.000 annunci di lavoro pubblicati su 155 siti web oscuri tra marzo 2020 e giugno 2022, i gruppi di hacker e APT cercano di assumere soprattutto sviluppatori di software (61% di tutti gli annunci), offrendo pacchetti molto competitivi per attirarli.
Il lavoro più pagato dagli analisti di Kaspersky prevedeva uno stipendio mensile di 20.000 dollari, mentre gli annunci per specialisti di attacchi capaci raggiungevano i 15.000 dollari al mese.
I gruppi di hacker cercano anche altri ruoli, tra cui analisti di dati, sviluppatori di malware e strumenti, attori della compromissione iniziale, reverse engineer, progettisti di siti web e di e-mail di phishing, tester di malware e amministratori IT.

La retribuzione mediana dei professionisti IT variava tra i 1.300 e i 4.000 dollari al mese, con i progettisti che ricevevano gli importi più bassi e gli ingegneri inversi che si posizionavano all’estremità superiore dello spettro retributivo mediano.

In un terzo degli annunci di lavoro, i reclutatori hanno offerto ai candidati un impiego a tempo pieno e una percentuale uguale ha consentito un orario flessibile. In alcuni casi (8%), ai lavoratori a distanza venivano offerte ferie e assenze per malattia pagate, il che dimostra che alcuni datori di lavoro del dark web si preoccupano di rendere le loro proposte il più attraenti possibile.

Questi pacchetti “occupazionali” sono piuttosto competitivi rispetto a posizioni simili nei mercati del lavoro legali e potrebbero attirare professionisti disoccupati o giovani laureati in informatica che hanno difficoltà a trovare un lavoro.
“Vale la pena notare che i rischi associati al lavoro per un datore di lavoro del dark web sono ancora superiori ai benefici”, avverte Kaspersky.
“L’assenza di un contratto di lavoro legalmente sottoscritto solleva i datori di lavoro da qualsiasi responsabilità. Un lavoratore potrebbe essere lasciato non pagato, incastrato o coinvolto in uno schema fraudolento”. Il volume maggiore di annunci è stato pubblicato nel primo trimestre del 2020, in concomitanza con i massicci cambiamenti apportati alla forza lavoro dalla pandemia COVID-19. Un secondo picco è stato registrato tra il primo trimestre del 2020. Un secondo picco è stato registrato tra il quarto trimestre del 2021 e il primo trimestre del 2022.
Un processo di assunzione non così tipico
Come parte del processo di assunzione, i reclutatori di criminali informatici conducono dei test creati per determinare il livello di competenza di un candidato nel campo richiesto. In alcuni casi, i reclutatori esaminano anche il CV o il portfolio fornito e, in un annuncio su quattro, viene condotta una sessione di colloquio con il candidato. Negli esempi caratteristici individuati da Kaspersky, un annuncio di lavoro prometteva di pagare ai candidati circa 300 dollari in BTC per un incarico di prova. Un’altra offerta di lavoro prevedeva un processo di screening in più fasi in cui al candidato veniva chiesto di crittografare una DLL di prova in 24 ore, rendendola completamente non rilevabile dai sistemi AV (massimo 3 rilevamenti di runtime AV minori).
Man mano che le imprese del crimine informatico adottano operazioni di tipo commerciale, continueremo a vedere il dark web come uno strumento di reclutamento per gli attori delle minacce in cerca di un reddito stabile. Alcuni sviluppatori di software possono vedere queste opportunità come un’ancora di salvezza in tempi difficili di disordini politici, economie povere o mancanza di opportunità di lavoro nella loro regione. Tuttavia, è fondamentale comprendere i potenziali rischi di lavorare per un datore di lavoro del dark web, che vanno dalla truffa all’essere incastrati, arrestati, perseguiti e imprigionati.
Notizie
Titan Stealer: Emerge un nuovo malware ruba-informazioni basato su Golang
Tempo di lettura: 2 minuti. Un nuovo malware ruba-informazioni basato su Golang, denominato Titan Stealer, viene pubblicizzato dagli attori delle minacce attraverso il loro canale Telegram.

“Lo stealer è in grado di rubare una serie di informazioni dalle macchine Windows infette, compresi i dati delle credenziali dei browser e dei portafogli di criptovalute, i dettagli dei client FTP, le schermate, le informazioni di sistema e i file acquisiti”, hanno dichiarato i ricercatori di Uptycs Karthickkumar Kathiresan e Shilpesh Trivedi in un recente rapporto. I dettagli del malware sono stati documentati per la prima volta dal ricercatore di cybersicurezza Will Thomas (@BushidoToken) nel novembre 2022, interrogando il motore di ricerca IoT Shodan. Titan viene offerto come builder, consentendo ai clienti di personalizzare il binario del malware per includere funzionalità specifiche e il tipo di informazioni da esfiltrare dal computer della vittima. Il malware, al momento dell’esecuzione, impiega una tecnica nota come process hollowing per iniettare il payload dannoso nella memoria di un processo legittimo noto come AppLaunch.exe, che è l’utilità di avvio Microsoft .NET ClickOnce.
Alcuni dei principali browser web presi di mira da Titan Stealer includono Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera, Brave, Vivaldi, 7 Star Browser, Iridium Browser e altri. I portafogli di criptovalute individuati sono Armory, Atomic, Bytecoin, Coinomi, Edge Wallet, Ethereum, Exodus, Guarda, Jaxx Liberty e Zcash. È anche in grado di raccogliere l’elenco delle applicazioni installate sull’host compromesso e di catturare i dati associati all’app desktop Telegram. Le informazioni raccolte vengono successivamente trasmesse a un server remoto sotto il controllo dell’aggressore come file di archivio codificato Base64. Inoltre, il malware è dotato di un pannello web che consente agli avversari di accedere ai dati rubati. L’esatto modus operandi utilizzato per distribuire il malware non è ancora chiaro, ma tradizionalmente gli attori delle minacce hanno sfruttato una serie di metodi, come il phishing, gli annunci malevoli e il software craccato.
“Uno dei motivi principali per cui [gli attori delle minacce] potrebbero utilizzare Golang per il loro malware ruba-informazioni è che consente loro di creare facilmente malware multipiattaforma che possono essere eseguiti su più sistemi operativi, come Windows, Linux e macOS”, ha dichiarato Cyble nella sua analisi di Titan Stealer. “Inoltre, i file binari compilati da Go hanno dimensioni ridotte, il che li rende più difficili da rilevare dai software di sicurezza”. Questo sviluppo arriva poco più di due mesi dopo che SEKOIA ha descritto un altro malware basato su Go, denominato Aurora Stealer, utilizzato da diversi attori criminali nelle loro campagne. Il malware si propaga tipicamente attraverso siti web simili a quelli di software popolari, con gli stessi domini attivamente aggiornati per ospitare versioni troianizzate di diverse applicazioni. È stato inoltre osservato che sfrutta un metodo noto come padding per gonfiare artificialmente le dimensioni degli eseguibili fino a 260 MB aggiungendo dati casuali nel tentativo di eludere il rilevamento da parte dei software antivirus. Le scoperte arrivano anche a ridosso di una campagna di malware che ha visto Raccoon e Vidar utilizzare centinaia di siti web falsi mascherati da software e giochi legittimi come parte di una campagna almeno dal 2020. Team Cymru, in un’analisi pubblicata all’inizio di questo mese, ha osservato che “gli operatori di Vidar hanno diviso la loro infrastruttura in due parti: una dedicata ai clienti abituali e l’altra per il team di gestione e anche per gli utenti potenzialmente premium/importanti”.
Notizie
Attacco Ransomware, il comune di Torre del Greco non è stato colpito di nuovo
Tempo di lettura: < 1 minuto. Il sospetto che sia stato attaccato per la seconda volta si ripercorre, Matrice Digitale in esclusiva svela i retroscena.

L’annuncio di un attacco informatico al comune di Torre del Greco si sta ripercorrendo in rete tra gli esperti informatici a caccia di informazioni italiane pubblicate dai gruppi ransomware. Il ricercatore sonoclaudio ha pubblicato gli screenshot provenienti dal sito web della gang Royal che ha pubblicato l’1% dei dati del Comune di Torre del Greco ottenuti in data 16 novembre.
Matricedigitale ha chiesto ad una fonte vicina all’Ente lo stato delle cose e l’eventualità di un nuovo attacco occorso e la notizia è stata smentita. I dati sono ancora lì, nel dark web, perchè non c’è stata alcuna trattativa dopo l’offerta dei criminali di 200.000 dollari per sbloccare i dati. Il recupero dei dati è ancora lento, dal 1 gennaio tutto procede per il meglio anche se ci sono ritardi nel ripristino del pregresso dove il comune attende l’azione di ripristino dalla piattaforma Maggioli che avrebbe dovuto garantire un backup in tempi più celeri.
-
Inchieste3 settimane fa
ChatGPT: i criminali informatici già la usano per sviluppare malware?
-
Inchieste3 settimane fa
La Russia sta perdendo la guerra cibernetica?
-
L'Altra Bolla3 settimane fa
Abbiamo chiesto a ChatGPT della guerra in Ucraina e delle sue cause.
-
OSINT2 settimane fa
Twitter: la sfida tra Corriere e Repubblica è vinta da La Verità
-
Inchieste2 settimane fa
NoName057(16) a Matrice Digitale: stiamo analizzando il perimetro cibernetico italiano
-
L'Altra Bolla2 settimane fa
Ferragni contro Lucarelli: chi ha ragione e chi ha torto
-
L'Altra Bolla2 settimane fa
Shakira e Pique: quando il divorzio fa fare soldi. Altro che Blasi e Totti …
-
L'Altra Bolla2 settimane fa
Greta Thunberg: arrestata dalla polizia tedesca con foto in posa. Che spettacolo !