Connect with us

segnalaci un sito truffa

Notizie

Europol: cambia la pedopornografia, Monero moneta dei criminali. Dark Web in caduta

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Continua il nostro approfondimento sulla relazione annuale del crimine informatico ad opera dell’Europol (IOCTA) con l’analisi di altre due branchie dei reati online. Nell’articolo precedente si sono analizzati i fenomeni delle truffe online e degli attacchi criminali cibernetici. In questo scritto, invece, si relaziona un sunto dell’attività intrapresa dalla polizia europea nel Dark Web e nel contrasto alla pedopornografia. Prima di procedere, ci preme sottolineare al lettore che il rapporto di quest’anno è molto più sintetico di quello precedente e, secondo la redazione di matricedigitale, è anche povero di contenuti innovativi.

Che sia un segnale di decadimento del crimine informatico? Oppure è preferibile non svelare troppe informazioni in modo da cogliere impreparati i criminali stessi?

Cresce e cambia la produzione di materiale pedopornografico

La pedopornografia ha raggiunto picchi vertiginosi nella sua diffusione a causa della pandemia che ha avvicinato i minori al mondo della rete, esponendoli per molto più tempo su Internet rispetto agli anni precedenti. La fonte principale degli abusi filmati o fotografati resta la famiglia e la cerchia ad essa vicina. Un dato, questo, che è facilmente riscontrabile da tempo nelle ricerche che coinvolgono il fenomeno degli abusi sui minori e non trae nulla di nuovo, se non evidenziare la capacità della rete internet di amplificare in negativo abitudini del genere. Quello che emerge in modo allarmante è altresì l’aumento dell’autoproduzione di contenuti tra i giovani che, oltre a scambiarsi foto e video vietate ai minori reperibili facilmente in rete, si filmano e scambiano i loro contenuti. La ragione della crescita esponenziale di questo fenomeno deriva dall’evoluzione, o involuzione, della percezione che i minori hanno del sesso. Maggior tempo si è collegati ai dispositivi tecnologici e maggiore è la frequentazione dei programmi di messaggistica, aumenta considerevolmente la possibilità di essere esposti alla visione di contenuti proibiti. Il dato preoccupante non è solo che i 2/3 dei video segnalati per essere rimossi siano autoprodotti, ma che dietro questa diffusione ci sia anche una attività economica collegata che vede i minori prostituirsi o in casi peggiori sfruttati sessualmente e costretti a vendere contro volere il proprio corpo online. Da segnalare che molti dei video autoprodotti derivano da estorsioni sessuali che vengono eseguite ai danni dei minori proprio da adulti che prima si nascondono dietro una identità fittizia, dichiarandosi coetanei per ottenere fiducia, poi li ricattano dopo l’invio del primo video sapendo che il bambino perde il controllo della situazione perché esposto. Cala il mercato del turismo sessuale minorile perché i pedofili hanno smesso di viaggiare a causa delle restrizioni mediche in contrasto al Covid19 ed ecco che le vacanze proibite vengono sostituite dagli abusi via webcam grazie a contatti diretti con i genitori dei per assistere agli abusi dei figli piccoli via webcam.

Le comunità di pedofili oltre il Dark Web

Si consolidano le comunità di pedofili nella rete internet ed ampliano i loro confini oltre il Dark Web. Cresce l’utilizzo di sistemi P2P dove è possibile deviare la fruizione di contenuti del genere dalla navigazione web su siti, nascosti o pubblici, dirottando lo scambio diretto sulle piattaforme gestite dai pedofili attraverso reti decentralizzate e programmi di file sharing. La crescita della tecnologia investigativa in possesso delle Autorità Internazionali ha reso ancora più coese le comunità che si annidano sia nel lato oscuro della rete sia all’interno di forum dove è possibile entrarci secondo canoni di iscrizione molto più rigidi. Una delle richieste per potersi affiliare alle comunità sostenitrici dell’abuso sui bambini è quella di proporre video auto prodotti sul genere. Inoltre, c’è oramai in rete una ampia presenza di “letteratura” che incita al rapporto con i bambini e fornisce consigli su come istaurarlo, tramite delle vere e proprie guide. Altro fenomeno rischioso è quello dei rapimenti che vengono effettuati dai pedofili, singoli o in gruppo, per poter produrre contenuti pedopornografici. Le strutture criminali di questo genere hanno oramai una connotazione transnazionale ed una organizzazione settaria che desta molta preoccupazione per l’efficacia con cui rendono il tessuto criminale impenetrabile, basato su più livelli di appartenenza e ruolo con il classico schema piramidale. Ancora più agghiacciante il fatto che ai piani alti di queste associazioni vi sia una frequentazione non solo virtuale, ma anche reale che si tramuta in azioni collettive di abusi sui minori.

Momenti bui per il Dark Web

Se uno dei business predominanti nel dark web è la pedopornografia, con l’avvento delle applicazioni di messaggistica sui dispositivi di tutto il mondo, ha scemato l’interesse nei confronti del lato oscuro di Internet più famoso del mondo. Il report dell’Europol dice nulla di nuovo in materia.

Telegram e Wickr sono le piattaforme di comunicazione preferite dai frequentatori dei mercati criminali di ogni genere. Calano i traffici nei markets che sono stati messi alle strette dalle operazioni di polizia internazionale e chiusi in massa. Ad ogni chiusura, però, segue una migrazione degli utenti verso mercati più piccoli seppur ci sia un trend già notato da molti in questi anni e che riguarda le attività in proprio messe in piedi da venditori con grossi giri d’affari. La strategia della creazione dei siti di ecommerce personali è utile per proseguire indisturbati l’attività criminale senza impattare nella lente di ingrandimento delle Forze di Polizia, interessate per lo più a smantellare i giri più imponenti.

Più aumenta la qualità degli attacchi, maggiore è l’esigenza di protezione che emerge sia tra venditori sia tra utenti ed aumentano i sistemi di prevenzione informatica messi in campo come la configurazione dei server contro gli attacchi di tipo DDOS, colpevoli di rendere inutilizzabili ed irraggiungibili i domini onion anche per giorni. Aumenta anche la diffusione dell’utilizzo di comunicazioni crittografate per evitare di essere intercettati, ma la sua applicazione non è accessibile a tutti ed è questo uno dei motivi che hanno portato gli utenti a migrare verso altre piattaforme di messaggistica più conosciute.

Un crollo significativo del mercato lo registriamo nel settore delle armi su cui ci sono da sempre poche precisioni e molte leggende nel narrare i traffici illeciti in questione. Un caso interessante è quello invece delle guide che consigliano come produrre armi con le stampanti 3d su cui si evidenzia l’arresto di un produttore artigianale coinvolto in flagrante. Florido invece il mercato dei Ransomware as a Service dove utenti, esperti e non, possono acquistare dei servizi informatici per l’attacco con riscatto e agire per conto proprio o con il pagamento di una royalties sui riscatti avvenuti grazie alla tecnologia messa in noleggio dalle gangs.

Soldi sporchi e all’oscuro

Altro aspetto fondamentale per gli investigatori è il flusso economico da sempre associato al Bitcoin come valuta ufficiale dei mercati neri. Cade questo mito e mette una pietra sopra alla credenza popolare che Bitcoin sia uguale ad anonimato. Le valute preferite nei mercati illegali sono Monero e Z-cash, anzi, si sottolinea come l’Europol abbia recepito in ritardo un rapporto dell’FBI sull’abitudine da parte dei criminali informatici di convertire le proprie criptovalute in Monero in modo tale da custodire in anonimato i ricavi delle attività illecite. Inoltre, c’è una struttura di servizi che facilitano il proliferare e l’impunità dei commerci illegali in rete decentralizzata come i server bullet proof che godono di immunità verso le richieste di accesso o chiusura da parte delle pubbliche autorità mondiali, facilitati soprattutto dalle leggi dei paesi che ne ospitano l’hosting. A questi si aggiunge il sistema di riciclaggio e di pulizia possibile grazie alle lavanderie digitali che mixano criptovalute, bitcoin soprattutto, con transazioni fittizie che spacchettano le somme per poi ricongiungerle verso un portafogli insospettabile.

Commenti da Facebook

Notizie

I Malware Linux crescono del 35% nel 2021

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Il numero di infezioni da malware che prendono di mira i dispositivi Linux è aumentato del 35% nel 2021, solitamente a danno di dispositivi IoT con attacchi DDoS (Distributed Denial of Service).

Gli IoT, come dispositivi smart, eseguono in genere varie distribuzioni Linux e sono limitati a funzionalità specifiche. Tuttavia, quando le loro risorse vengono combinate in grandi gruppi, possono fornire massicci attacchi DDoS anche a infrastrutture ben protette.

Oltre a DDoS, i dispositivi IoT Linux vengono reclutati anche per altre attività come minare criptovaluta, facilitare campagne di posta spam, fungere da relè, agire come server di comando e controllo o persino fungere da punti di ingresso nelle reti aziendali. Insomma un piccolo esercito al servizio di chi ha le competenze e capacità di attivarli.

Un rapporto di Crowdstrike esamina i dati sugli attacchi del 2021, li possiamo riassumere così:

  • Nel 2021, rispetto al 2020, si è registrato un aumento del 35% del malware rivolto ai sistemi Linux;
  • XorDDoS, Mirai e Mozi sono state le tipologie di attacco più diffuse, rappresentando il 22% di tutti gli attacchi malware mirati a Linux;
  • Mozi, in particolare, ha avuto una crescita esplosiva della sua attività, con dieci volte più attacchi nel 2021 rispetto al 2020;
  • XorDDoS ha avuto un notevole aumento anno su anno del 123%.

Panoramica dei malware utilizzati

XorDDoS è un trojan Linux versatile che funziona in più architetture di sistema Linux, da ARM (IoT) a x64 (server). Utilizza la crittografia XOR per le comunicazioni C2, da cui il nome. Quando attacca i dispositivi IoT, XorDDoS forza i dispositivi vulnerabili tramite SSH. Sulle macchine Linux, utilizza la porta 2375 per ottenere l’accesso root all’host senza password.

Un caso degno di nota della distribuzione del malware è stato individuato nel 2021, l’autore in quel caso era Winnti ed ha distribuito oltre al malware anche altri botnet.

Vale la pena ricordare il nostro approfondimento specifico sui botnet:

Mozi è una botnet P2P che si basa sul sistema di ricerca DHT (Distributed Hash Table) per nascondere le comunicazioni C2 sospette alle soluzioni di monitoraggio del traffico di rete. Questo botnet è in circolazione da un po’, sfrutta continuamente nuove vulnerabilità ed espande sempre di più i suoi target.

Mirai è un famigerato botnet che ha generato numerosi casi critici grazie al suo codice sorgente pubblicamente disponibile e continua ad affliggere soprattutto il mondo IoT.

I vari derivati ​​implementano diversi protocolli di comunicazione C2, ma in genere sfruttano le credenziali deboli per attacchi di forza bruta sui vari dispositivi. Nel 2021 sono state avvistate diverse varianti di Mirai come Dark Mirai, che si concentra sui router domestici e Moobot, che prende di mira le telecamere.

Mihai Maganu, ricercatore di Crowdstrike, nel report specifico afferma: “Alcune delle varianti più diffuse monitorate dai ricercatori di Crowdstrike coinvolgono Sora, IZIH9 e Rekai…Rispetto al 2020, il numero di campioni identificati per tutte e tre le varianti è aumentato rispettivamente del 33%, 39% e 83% nel 2021”.

La tendenza continuerà nel 2022

I risultati di Crowdstrike non sono sorprendenti in quanto confermano una tendenza già emersa negli anni scorsi. Ad esempio un rapporto Intezer, che analizza le statistiche del 2020, ha rilevato che le famiglie di malware Linux sono aumentate del 40% nel 2020 rispetto all’anno precedente.

Nei primi sei mesi del 2020 è stato registrato un forte aumento del 500% del malware Golang, a dimostrazione del fatto che gli autori di malware stavano cercando modi per far funzionare il loro codice su più piattaforme.

Purtroppo l’utilizzo di Golang è già stato confermato in alcuni casi di inizio 2022 ed è probabile che questa tendenza continui.

Continueremo il monitoraggio sui malware Linux anche durante il 2022 per capire le novità e tendenze per i mesi futuri.

Commenti da Facebook
Prosegui la lettura

Notizie

Non solo Log4J: WordPress sotto costante attacco. Attenti ai Plugin malevoli

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Nella prima metà di settembre 2021, una dozzina di temi e plug-in WordPress ospitati sul sito Web di uno sviluppatore, sono stati sottoposti a backdoor con codice dannoso al fine di infettare altri siti. La backdoor ha fornito agli aggressori il pieno controllo amministrativo sui siti Web che utilizzavano 40 temi e 53 plug-in appartenenti ad AccessPress Themes, una società con sede in Nepal che vanta non meno di 360.000 installazioni di siti Web attive.

Le estensioni infette contenevano un dropper per una shell web che offre agli aggressori il pieno accesso ai siti infetti“,

hanno affermato in un rapporto pubblicato questa settimana i ricercatori di sicurezza di JetPack, sviluppatore di plugin per WordPress. “Le stesse estensioni andavano bene se scaricate o installate direttamente dalla directory di WordPress[.]org.” Alla vulnerabilità è stato assegnato l’identificatore CVE-2021-24867. La piattaforma di sicurezza dei siti Web Sucuri, in un’analisi separata, ha affermato che alcuni dei siti Web infetti trovati utilizzando questa backdoor avevano payload di spam risalenti a quasi tre anni fa, il che implica che gli attori dietro l’operazione stavano vendendo l’accesso ai siti agli operatori di altre campagne di spam. All’inizio di questo mese, la società di sicurezza informatica eSentire ha rivelato come i siti Web WordPress compromessi appartenenti ad aziende legittime vengano utilizzati come focolaio per la distribuzione di malware, servendo utenti ignari alla ricerca di accordi postmatrimoniali o di proprietà intellettuale su motori di ricerca come Google con un malware chiamato GootLoader.

E’ stato consigliato, quindi, ai proprietari di siti che hanno installato i plug-in direttamente dal sito Web di AccessPress Themes di aggiornare immediatamente a una versione sicura o di sostituirla con l’ultima versione di WordPress[.]org.

Inoltre, è necessario che venga implementata una versione pulita di WordPress per ripristinare le modifiche apportate durante l’installazione della backdoor. I risultati arrivano anche quando la società di sicurezza di WordPress Wordfence ha divulgato i dettagli di una vulnerabilità di cross-site scripting (XSS) ora patchata che ha un impatto su un plug-in chiamato “WordPress Email Template Designer – WP HTML Mail” installato su oltre 20.000 siti Web.

Secondo le statistiche pubblicate da Risk Based Security questo mese, sono stati scoperti e segnalati ben 2.240 difetti di sicurezza nei plugin di WordPress di terze parti verso la fine del 2021, con un aumento del 142% rispetto al 2020, quando sono state rivelate quasi 1.000 vulnerabilità. Ad oggi, sono state scoperte un totale di 10.359 vulnerabilità dei plugin di WordPress.

Commenti da Facebook
Prosegui la lettura

Notizie

Dietro gli attacchi informatici in Ucraina si nasconde l’APT Sandworm?

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

L’ultima analisi sul malware che ha preso di mira dozzine di agenzie ucraine all’inizio di questo mese ha rivelatosomiglianze strategiche” con il malware NotPetya che è stato scatenato contro l’infrastruttura del paese e altrove nel 2017.

L’attuale attacco, soprannominato WhisperGate, è stato scoperto da Microsoft la scorsa settimana, che ha affermato di aver analizzato la campagna informatica che ha preso di mira enti governativi, senza scopo di lucro e informatici nella nazione”.

Sebbene WhisperGate abbia alcune somiglianze strategiche con il famigerato NotPetya che ha attaccato le entità ucraine nel 2017, tra cui mascherarsi da ransomware e prendere di mira e distruggere il master boot record (MBR) invece di crittografarlo, in particolare ha più componenti progettati per infliggere danni aggiuntiviCisco Talos ha dichiarato in un rapporto che descrive in dettaglio i suoi sforzi di risposta.

Affermando che le credenziali rubate sono state probabilmente utilizzate nell’attacco, la società di sicurezza informatica ha anche sottolineato che l’attore della minaccia aveva accesso ad alcune delle reti delle vittime con mesi di anticipo prima che si verificassero le azioni distruttive: un classico segno di sofisticati attacchi APT.


Non Petya e WhisperGate

La catena di infezione di WhisperGate è modellata come un processo a più fasi che scarica un payload che cancella il record di avvio principale (MBR), quindi scarica un file DLL dannoso ospitato su un server Discord, che rilascia ed esegue un altro payload del wiper che distrugge irrevocabilmente i file tramite sovrascrivendo il loro contenuto con dati fissi sugli host infetti.

I risultati arrivano una settimana dopo che circa 80 siti web di agenzie governative ucraine sono stati deturpati, con le agenzie di intelligence ucraine che hanno confermato che gli incidenti gemelli fanno parte di un’ondata di attività dannose mirate alla sua infrastruttura critica, osservando anche che gli attacchi hanno sfruttato il Log4j recentemente divulgato vulnerabilità per accedere ad alcuni dei sistemi compromessi.

Commenti da Facebook
Prosegui la lettura
abbonati gratis a Matrice Digitale
segnalaci un sito truffa, scam, phishing

Tendenza