Una base di dati contenente i dettagli di quasi mezzo milione di utenti di RaidForums è finita online, a un anno dal sequestro del noto forum di cybercrimine da parte del Dipartimento di Giustizia degli Stati Uniti.

Il database trapelato è stato postato su Exposed, descritto dagli esperti di sicurezza come un forum emergente che “vuole colmare il vuoto” lasciato dalla recente chiusura di BreachForums. Un amministratore di Exposed, noto come “Impotent”, ha postato i presunti dati degli utenti di RaidForums, che includono i dettagli di 478.000 utenti, tra cui i loro nomi utente, indirizzi email, password criptate e date di registrazione.

Indagini in Corso: Implicazioni del Leak

I dati esposti sono probabilmente già nelle mani delle forze dell’ordine a seguito del sequestro di RaidForums da parte delle autorità statunitensi, ma potrebbero aiutare i ricercatori di sicurezza che indagano sull’attività storica del forum.

RaidForums, lanciato nel 2015, è diventato uno dei più grandi forum di hacking del mondo. Veniva utilizzato dai cybercriminali principalmente per comprare e vendere database rubati. Questo includeva oltre un milione di password per il servizio di portafoglio di criptovalute Gatehub e milioni di account di clienti T-Mobile rubati. Anche il gruppo di hacking Lapsus$ avrebbe utilizzato il forum.

Passato Oscuro e Azioni del DOJ: Il Sequestro di RaidForums

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato che aveva sequestrato il sito web e l’infrastruttura di RaidForums nell’aprile 2022 come parte di un’operazione di applicazione della legge internazionale. L’amministratore di RaidForums, noto come “Omnipotent”, e due dei suoi complici sono stati anche arrestati. Prima del sequestro del forum, centinaia di database di dati rubati contenenti più di 10 miliardi di record unici per individui erano stati offerti in vendita, hanno detto i pubblici ministeri.

(Introduzione) Circa 18 mesi fa, il governo degli Stati Uniti ha vietato l’uso del software spia Pegasus di NSO Group. Nonostante ciò, un nuovo rapporto afferma che almeno un’agenzia governativa sta utilizzando un malware molto simile proveniente da un’azienda concorrente: Paragon Graphite.

Pegasus: da arma di sorveglianza a minaccia per la sicurezza nazionale

NSO Group produce un software spia chiamato Pegasus, venduto a governi e agenzie di law enforcement. Questo software è in grado di sfruttare vulnerabilità zero-day (ovvero vulnerabilità sconosciute ad Apple) acquistate da hacker, rendendo possibile lanciare attacchi zero-click, ovvero attacchi che non richiedono alcuna interazione da parte dell’utente bersaglio. Basta ricevere un determinato iMessage per consentire a un iPhone di essere compromesso, con i dati personali dell’utente esposti.

Nel 2021, il governo degli Stati Uniti ha dichiarato questo spyware una minaccia per la sicurezza nazionale, vietandone l’uso all’interno del paese sia da organizzazioni pubbliche che private. Il Bureau of Industry and Security (BIS) del Dipartimento del Commercio ha aggiunto la società israeliana alla Entity List, vietando l’importazione, l’esportazione o il trasferimento dei prodotti dell’azienda all’interno degli Stati Uniti.

Governo USA utilizza Paragon Graphite

Nonostante il divieto su Pegasus, un rapporto del Financial Times sostiene che il governo degli Stati Uniti utilizza un software spia quasi identico: Graphite di Paragon. Secondo fonti dell’industria, l’Agenzia per la lotta alla droga (DEA) degli Stati Uniti è tra i principali clienti del prodotto di punta di Paragon, soprannominato Graphite.

Questo malware penetra subdolamente le protezioni degli smartphone moderni ed elude la crittografia di app di messaggistica come Signal o WhatsApp, raccogliendo talvolta i dati dai backup su cloud – proprio come fa Pegasus.

La DEA non ha rilasciato commenti diretti, ma è stato affermato che l’agenzia ha acquistato Graphite per l’utilizzo da parte dei partner di law enforcement in Messico nella lotta ai cartelli della droga.

I vermi informatici sono tra le minacce informatiche più dannose che si auto-propagano senza l’interazione dell’utente, spesso sfruttando le vulnerabilità del software o del sistema operativo. A differenza di altri tipi di malware, come i virus, i vermi non richiedono l’apertura di un allegato dannoso o un’azione simile da parte dell’utente.

Come si diffondono i “vermi” informatici?

I worms possono diffondersi attraverso vari metodi:

• Vulnerabilità non corrette: I vermi sfruttano comunemente le vulnerabilità non corrette nei software o nei sistemi operativi. Ad esempio, WannaCry ha sfruttato una vulnerabilità in un server SMB per diffondersi.
• Protocolli insicuri: Alcuni protocolli, come TFTP e Telnet, possono consentire l’accesso senza credenziali o potrebbero essere configurati per utilizzare credenziali predefinite. I vermi possono trasferirsi sui computer utilizzando questi protocolli ed eseguire se stessi.
• Accesso condiviso: I dischi di rete e altri accessi condivisi consentono di condividere file e cartelle su più computer. I vermi possono utilizzare questo accesso condiviso per infettare altri dispositivi.
• Supporti rimovibili: I vermi possono diffondersi tramite supporti rimovibili come chiavette USB e hard disk esterni. Il verme copia se stesso su tutti i supporti rimovibili inseriti in un computer infetto, trasportandolo così a nuovi dispositivi.

Cosa fanno i worms informatici?

Definiti dalla loro capacità di diffondersi senza interazione dell’utente, una volta che i vermi informatici hanno accesso a un computer, possono eseguire qualsiasi azione dannosa. Ad esempio, WannaCry, un tipo di verme ransomware, ha sfruttato le vulnerabilità SMB con l’exploit EternalBlue per diffondersi, ma una volta installato su un computer, ha eseguito le azioni tipiche del ransomware, criptando i file e richiedendo un riscatto per decrittografare tali file.

Tipi di worms

I “vermi” sono comunemente classificati in base al modo in cui si diffondono da una macchina all’altra. Alcuni esempi di tipi comuni di vermi includono: vermi email, vermi P2P, vermi di rete, vermi IM e vermi internet.

Come prevenire i worms

I vermi possono accedere ai sistemi di un’organizzazione attraverso vari mezzi. Alcune buone pratiche per proteggersi dall’infezione da vermi includono la sicurezza dei terminali, la sicurezza delle email, le regole del firewall, la patch delle vulnerabilità e la sicurezza dei protocolli.

Proteggersi dai vermi informatici è fondamentale per mantenere la sicurezza dell’organizzazione. Le soluzioni di sicurezza del terminale come Check Point Harmony Endpoint offrono una protezione robusta contro i vermi e altri tipi di malware.