Connect with us

Notizie

Guerra Cibernetica, Nord Corea: attacco di capodanno alla Russia

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Non esistono solo i russi nel mondo degli APT come raccontato nella nostra rubrica Guerra Cibernetica. Un gruppo di spionaggio informatico nordcoreano di nome Konni è stato collegato a una serie di attacchi mirati diretti al Ministero degli Affari Esteri della Federazione Russa (MID) con esche a tema “Capodanno” per compromettere i sistemi Windows con malware. “Questo gruppo di attività dimostra la natura paziente e persistente di attori avanzati nel condurre campagne multifase contro reti percepite di alto valore“, hanno affermato i ricercatori dei Black Lotus Labs di Lumen Technologies in un’analisi rilasciata in esclusiva a The Hacker News.

È noto che le tattiche, le tecniche e le procedure (TTP) del gruppo Konni si sovrappongono agli attori delle minacce appartenenti al più ampio ombrello Kimsuky, che viene anche monitorato dalla comunità della sicurezza informatica sotto i moniker Velvet Chollima, ITG16, Black Banshee e Thallium.

Gli attacchi più recenti hanno coinvolto l’attore nell’ottenere l’accesso alle reti di destinazione tramite credenziali rubate, sfruttando il punto d’appoggio per caricare malware a scopo di raccolta di informazioni, con i primi segni dell’attività documentata da MalwareBytes nel luglio 2021.

Si ritiene che le successive iterazioni della campagna di phishing si siano svolte in tre ondate: la prima a partire dal 19 ottobre 2021 per raccogliere le credenziali dal personale MID, seguita dall’utilizzo di esche a tema COVID-19 a novembre per installare una versione canaglia del mandato russo software di registrazione delle vaccinazioni che fungeva da caricatore per carichi utili aggiuntivi.

I tempi di questa attività sono strettamente allineati con l’approvazione delle leggi sul passaporto russo per i vaccini che obbligavano i russi a ricevere un codice QR dal governo per dimostrare la vaccinazione al fine di accedere a luoghi pubblici come ristoranti e bar“, hanno osservato i ricercatori.

Il terzo attacco, confermato anche da Cluster25 all’inizio di questa settimana, è iniziato il 20 dicembre 2021, utilizzando i festeggiamenti di Capodanno come tema di spear-phishing per innescare una catena di infezioni in più fasi che è culminata nell’installazione di un trojan di accesso remoto chiamato Konni RATTO.

Nello specifico, le intrusioni sono emerse compromettendo dapprima l’account di posta elettronica appartenente a un membro del personale del MID, dal quale sono state inviate e-mail ad almeno altre due entità MID, tra cui l’ambasciata russa in Indonesia e Sergey Alexeyevich Ryabkov, un vice ministro che sovrintende proliferazione e controllo degli armamenti.

Le missive e-mail apparentemente propagavano un messaggio di “Felice anno nuovo“, solo per contenere un allegato salvaschermo trojanizzato progettato per recuperare ed eseguire eseguibili di fase successiva da un server remoto. La fase finale dell’attacco è il dispiegamento del trojan Konni RAT, che effettua la ricognizione della macchina infetta ed esfiltra le informazioni raccolte sul server.

Sebbene questa particolare campagna fosse altamente mirata, è fondamentale che i difensori comprendano le capacità in evoluzione degli attori avanzati per raggiungere l’infezione di obiettivi ambiti“, ha affermato il ricercatore, esortando le organizzazioni a prestare attenzione alle e-mail di phishing e utilizzare l’autenticazione a più fattori per proteggere conti.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Notizie

FBI, CISA e NSA rivelano come APT hanno preso di mira un’industria della difesa

Condividi questo contenuto

Tempo di lettura: 2 minuti. E’ stato utilizzato il malware CovalentStealer

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Le agenzie di sicurezza informatica e di intelligence statunitensi hanno rivelato martedì che diversi gruppi di hacker di Stati nazionali hanno potenzialmente preso di mira la rete aziendale di un’organizzazione del settore “Defense Industrial Base (DIB)” nell’ambito di una campagna di spionaggio informatico. Gli attori di “Advanced persistent threat” hanno utilizzato un toolkit open-source chiamato Impacket per prendere piede nell’ambiente e compromettere ulteriormente la rete, oltre a utilizzare uno strumento di esfiltrazione dei dati personalizzato, CovalentStealer, per rubare i dati sensibili della vittima”, hanno dichiarato le autorità. L’advisory congiunto, redatto dalla Cybersecurity and Infrastructure Security Agency (CISA), dal Federal Bureau of Investigation (FBI) e dalla National Security Agency (NSA), afferma che gli avversari hanno probabilmente avuto accesso a lungo termine all’ambiente compromesso. I risultati sono il frutto degli sforzi di risposta agli incidenti compiuti dal CISA in collaborazione con la società di cybersicurezza Mandiant dal novembre 2021 al gennaio 2022.

Il CISA non ha attribuito l’intrusione a un attore o a un gruppo di minacce noto. Anche il vettore di infezione iniziale utilizzato per violare la rete è sconosciuto, anche se si dice che alcuni attori APT abbiano ottenuto una testa di ponte digitale sul Microsoft Exchange Server dell’obiettivo già a metà gennaio 2021. Le successive attività post-sfruttamento di febbraio hanno comportato un mix di ricognizione e raccolta di dati, quest’ultima con conseguente esfiltrazione di informazioni sensibili relative al contratto. In questa fase è stato utilizzato anche lo strumento Impacket per stabilire la persistenza e facilitare il movimento laterale. Un mese dopo, gli attori dell’APT hanno sfruttato la falla ProxyLogon in Microsoft Exchange Server per installare 17 web shell China Chopper e HyperBro, una backdoor utilizzata esclusivamente da un gruppo di minacce cinese chiamato Lucky Mouse (alias APT27, Bronze Union, Budworm o Emissary Panda).

Gli intrusi, dalla fine di luglio alla metà di ottobre 2021, hanno inoltre utilizzato un ceppo di malware su misura chiamato CovalentStealer contro l’entità senza nome per trafugare i documenti archiviati nelle condivisioni di file e caricarli in una cartella cloud di Microsoft OneDrive. Si raccomanda alle organizzazioni di monitorare i registri per verificare la presenza di connessioni da VPN insolite, l’utilizzo di account sospetti, l’uso anomalo e noto di righe di comando dannose e le modifiche non autorizzate agli account utente.

Prosegui la lettura

Notizie

Hacker canadese di ransomware condannato a 20 anni di carcere negli USA

Condividi questo contenuto

Tempo di lettura: 3 minuti. Sebastien Vachon-Desjardins si dichiara colpevole di ransomware, sequestrati 28 milioni di dollari in bitcoin

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Per un periodo di 10 mesi a partire dall’aprile 2020, Sebastien-Vachon Desjardins ha lavorato come affiliato di Netwalker, una banda di ransomware che ha preso di mira ed estorto milioni di dollari a decine di aziende e organizzazioni in tutto il mondo. Un ex dipendente del governo canadese diventato hacker di ransomware è stato condannato a 20 anni di carcere negli Stati Uniti in quello che un giudice federale ha definito “il peggior caso che abbia mai visto”. Visibilmente indignato, il giudice William F. Jung ha descritto Sébastien Vachon-Desjardins di Gatineau, Que, come “Jesse James incontra il 21° secolo”, riferendosi al noto fuorilegge americano del 19° secolo, mentre emetteva la sua decisione a Tampa, in Florida, martedì. A giugno, Vachon-Desjardins – ex specialista informatico per Public Services and Procurement Canada – si è dichiarato colpevole di quattro accuse, tra cui frode informatica e trasmissione di una richiesta in relazione al danneggiamento di un computer protetto negli Stati Uniti. Vachon-Desjardins, 35 anni, è stato uno degli affiliati più prolifici di Netwalker, una banda criminale di ransomware di lingua russa che ha operato all’apice della pandemia COVID-19. Il gruppo di affiliati si è introdotto nei sistemi informatici di distretti sanitari, aziende e scuole, chiedendo il pagamento di un riscatto in cambio della restituzione dei dati criptati. Se le richieste non venivano soddisfatte, i dati venivano pubblicati sul blog Netwalker, ospitato sul dark web.

Netwalker ha preso di mira ben 400 vittime in più di 30 Paesi e ha raccolto 40 milioni di dollari in pagamenti di riscatti, secondo il procuratore degli Stati Uniti Carlton Gammons, che ha definito le vittime “sconcertanti”. Ha detto che un terzo dei riscatti pagati era legato ad attacchi di cui Vachon-Desjardins faceva parte. Avrei dato l’ergastolo”, dice il giudice
Gammons ha detto che il rapporto pre-sentenza non ha rivelato nulla di rilevante che suggerisca di pesare a favore di una pena minore. Ha detto che Vachon-Desjardins aveva buoni genitori, era istruito, non aveva problemi mentali né faceva uso di droghe e non era sotto stress finanziario. “Se fossi andato al processo, ti avrei dato l’ergastolo”, ha detto Jung, che ha condannato Vachon-Desjardins a 240 mesi di carcere, una pena più lunga di quella richiesta dall’accusa. Con indosso una tuta arancione e gli occhiali, con un taglio di capelli e un’aria depressa, Vachon-Desjardins ha ascoltato in silenzio il giudice spiegare la sua decisione. Jung ha detto che due fattori chiave lo hanno guidato: il desiderio di dissuadere altri dal commettere crimini simili e il “comportamento orribile” di Vachon-Desjardins.
Mark O’Brien, avvocato della difesa, ha tentato di argomentare una sentenza più lieve all’inizio del procedimento, facendo riferimento alla decisione del suo cliente di rinunciare a un processo e di dichiararsi colpevole, al suo rimorso per i crimini commessi e alla restituzione alle vittime. Ha descritto Vachon-Desjardins come educato, collaborativo e come uno dei suoi clienti preferiti in tutti i suoi anni di pratica.

Caso risolto in Canada

Dopo il suo arresto nel gennaio 2021 a Gatineau, la polizia canadese ha perquisito l’abitazione di Vachon-Desjardins e ha recuperato un valore attuale di 28 milioni di dollari in bitcoin e sequestrato 500.000 dollari in contanti. Un anno dopo si è dichiarato colpevole in un’aula di tribunale di Brampton, Ont. per aver commesso reati di ransomware contro 17 aziende, organizzazioni, scuole e un comune canadesi. Per questi reati ha ricevuto una condanna a sette anni. Nel maggio 2021 è stato estradato negli Stati Uniti per affrontare le accuse a suo carico a Tampa. Vachon-Desjardins ha accettato di confiscare il denaro ottenuto come provento dei suoi crimini. Ha scelto di non fornire informazioni sui suoi co-cospiratori. Tornerà alla corte federale a gennaio per un’udienza che stabilirà il pagamento delle restituzioni per le vittime.

Prosegui la lettura

Notizie

DeFi Ribbon Finance lancia uno scambio di opzioni su Ethereum

Condividi questo contenuto

Tempo di lettura: < 1 minuto. Lo scambio di Ribbon Finance consente agli utenti di negoziare opzioni su Ethereum on-chain. Il lancio è l’ultimo di una serie di prodotti finanziari strutturati.
Lo spazio dei derivati delle criptovalute si sta scaldando.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Ribbon Finance ha lanciato oggi quello che definisce uno scambio di opzioni “ad alte prestazioni” chiamato Aevo. Costruita su Ethereum, la prima iterazione offrirà solo opzioni ETH, ma nei prossimi mesi dovrebbero essere disponibili altre criptovalute, tra cui il Bitcoin. La piattaforma è costruita su un rollup Ethereum “personalizzato”, realizzato dal team Ribbon, che il co-fondatore e CEO di Ribbon Julian Koh definisce “un fork di Optimism con modifiche per il caso d’uso di Ribbon”. Koh ha dichiarato a Decrypt via e-mail che Aevo godrà di una “profonda liquidità al momento del lancio” grazie a partnership con cinque market maker incentrati sulle opzioni. Le opzioni sono contratti finanziari che danno agli operatori la possibilità di acquistare (opzione “call”) o vendere (opzione “put”) un’attività a una determinata data e a un determinato prezzo. Sono spesso utilizzate come copertura contro la volatilità, in quanto possono garantire un prezzo per un’attività specifica.

Il lancio di uno scambio di opzioni è in linea con i prodotti precedenti di Ribbon. Theta Vaults, forse l’offerta più nota del progetto, sfrutta una strategia di opzioni automatizzata per generare rendimenti per gli utenti. Al momento, ad esempio, gli utenti possono depositare la stablecoin USDC nel caveau T-USDC-P-ETH, che sfrutta una strategia di vendita di Ethereum. Anche questi caveau saranno integrati con Aevo. “I caveau saranno costruiti in cima all’exchange, dando agli utenti molta più flessibilità nella scelta delle loro posizioni o nella loro copertura”, ha detto Koh.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie10 minuti fa

FBI, CISA e NSA rivelano come APT hanno preso di mira un’industria della difesa

Tempo di lettura: 2 minuti. E' stato utilizzato il malware CovalentStealer

Notizie1 settimana fa

Israele: la guerra informatica con l’Iran è senza precedenti

Tempo di lettura: 2 minuti. I comandanti delle unità di difesa e di cyber intelligence israeliane hanno annunciato che il...

Notizie2 settimane fa

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre...

Notizie2 settimane fa

Gli attacchi informatici dell’Iran contro Israele sono aumentati, dice l’esercito

Tempo di lettura: < 1 minuto. La radio ha citato ufficiali militari secondo cui gli attacchi sono aumentati del "70%".

Multilingua2 settimane fa

Anonymous viola i siti web dello Stato iraniano dopo la morte di Mahsa Amini

Tempo di lettura: 2 minuti. I due principali siti web del governo iraniano e alcuni siti dei media sono stati...

Notizie3 settimane fa

Russia guerra cibernetica coinvolge anche i i satelliti

Tempo di lettura: 2 minuti. Il Committee of Concerned Scientists ha lavorato per sensibilizzare l'opinione pubblica sulla situazione degli scienziati....

Notizie3 settimane fa

Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web

Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall'Agenzia di Stato Maggiore delle Forze Armate del...

Notizie3 settimane fa

Taiwan vigila mentre la Cina scatena la sua guerra informatica

Tempo di lettura: 2 minuti. Nel tentativo di resistere alle aggressioni cinesi, Taiwan ha aumentato le spese per la difesa...

Notizie3 settimane fa

Hacker iraniani colpiscono obiettivi nella sicurezza nucleare e nella ricerca genomica

Tempo di lettura: 3 minuti. La società di sicurezza aziendale Proofpoint ha attribuito gli attacchi mirati a un attore di...

Notizie3 settimane fa

La Cina accusa l’unità TAO della NSA di aver violato la sua università di ricerca militare

Tempo di lettura: 2 minuti. La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto...

Truffe recenti

Truffe online1 giorno fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online1 settimana fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online1 settimana fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online2 settimane fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online3 settimane fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online4 settimane fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie1 mese fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Notizie1 mese fa

Truffatori telefonici causano danni per oltre 320.000 euro a Berlino

Tempo di lettura: 2 minuti. Migliaia di persone sono già cadute nel tranello di truffatori telefonici che si fingono dipendenti...

Notizie2 mesi fa

Ecco come si può acquistare una identità nel dark web e fare le truffe. Lo studio

Tempo di lettura: 2 minuti. Sappiamo tutti che le informazioni rubate vengono scambiate sul dark web e una nuova ricerca...

scam scam
Notizie2 mesi fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Tendenza