Connect with us

Notizie

I misteri di Lapsus$: nonostante gli arresti la banda continua ad estorcere denaro

Pubblicato

il

Tempo di lettura: 4 minuti.

La polizia di Londra ha annunciato venerdì che due adolescenti sono stati accusati di crimini informatici perchè appartenenti a LAPSUS$, una banda di criminali informatici che è riuscita a violare alcune delle più grandi aziende tecnologiche del mondo negli ultimi mesi. Lungi dal disintegrarsi in un vuoto di leadership, però, la banda ha continuato a scatenare il caos digitale senza di loro.

Gli adolescenti senza nome, un 16enne e un 17enne, affrontano una serie di accuse, tra cui “tre capi di accusa per altrettanti accessi non autorizzati a un computer con l'intento di compromettere l'affidabilità dei dati; un'accusa di frode per falsa rappresentazione e un'accusa di accesso non autorizzato a un computer con l'intento di ostacolare l'accesso ai dati“, ha riferito Scotland Yard. Il duo, che rimane in custodia, doveva comparire venerdì alla Highbury Corner Magistrates' Court.

Un totale di sette persone sono state recentemente arrestate in relazione alla banda. Il più vecchio di loro ha 21 anni.

Mentre l'incarcerazione di diversi dei suoi presunti membri sembrerebbe segnare la fine di LAPSUS$, il gruppo si sta, infatti, tenendo occupato. Ha violato una nuova all'inizio di questa settimana.

L'ultima vittima di LAPSUS$ è lo sviluppatore globale di Globant, che vanta come clienti diverse aziende tecnologiche blue . Il gruppo ha aggiornato la sua pagina di “” con quanto segue: “Per chiunque sia interessato alle scarse pratiche di in uso a Globant.com. esporrò le credenziali di amministrazione per TUTTE le piattaforme devops [sic] qui sotto“. La banda ha poi scaricato una serie di , insieme a un link a quello che diceva essere 70 gigabyte di dati interni di Globant. Secondo la banda, questa tranche includeva alcuni codici sorgente interni per alcuni dei più grandi clienti di Globant, tra cui e .

Raggiunto per un commento su questo incidente, Globant ha rinviato Gizmodo a una dichiarazione che ammette, in parte, l':

Secondo la nostra analisi attuale, le informazioni che sono state accessibili erano limitate ad alcuni codici sorgente e documentazione relativa al progetto per un numero molto limitato di clienti. Ad oggi, non abbiamo trovato alcuna prova che altre aree dei nostri sistemi di infrastruttura o quelli dei nostri clienti siano stati colpiti.

Questo non significa che i clienti di Globant siano sfuggiti all'hack. Gizmodo ha parlato con Amir Hadzipasic, CEO della società di cybersicurezza SOS , che ha valutato il materiale della fuga di notizie. Hadzipasic ha detto che la perdita include una ricchezza di dati proprietari sia di Globant che delle aziende che utilizzano il suo software.

“L'archivio della fuga di notizie contiene una serie di repository, per un totale di circa 70 GB di codice sorgente. Abbiamo scoperto che i repository contengono informazioni molto sensibili (oltre alla proprietà intellettuale del codice sorgente stesso)”, ha detto.

Gizmodo ha anche raggiunto Apple e Facebook per un commento sulle presunte fughe di notizie e aggiornerà questa storia se rispondono.

Un'altra curiosa svolta nella storia di LAPSUS$ arriva insieme all'emergere di una nuova bizzarra tendenza del crimine informatico. Martedì, il blogger di cybersicurezza Brian Krebs ha rivelato che gli hanno utilizzato account e-mail compromessi delle forze dell'ordine per presentare false richieste di dati alle aziende tecnologiche per rubare le informazioni degli . Aziende come , Apple e Meta sono state ingannate da questo stratagemma e hanno consegnato una quantità sconosciuta di dati degli utenti agli hacker. Almeno uno dei criminali informatici coinvolti in questi schemi è un presunto membro di LAPSUS$.

Mercoledì, Bloomberg ha riferito che gli hacker associati a un gruppo di criminalità informatica ormai defunto noto come “Recursion Team” sono ritenuti essere dietro alcuni degli attacchi di richiesta di dati falsi. Mentre “Recursion” non c'è più, i suoi ex membri sono ancora attivi e sono ora affiliati a LAPSUS$.

Un'altra area di preoccupazione continua nella storia di LAPSUS$ coinvolge il gigante del servizio clienti Sitel, il cui ha portato alla compromissione dei dati di altre aziende. Una delle vittime più importanti di LAPSUS$, Okta, è stata violata attraverso il suo rapporto con Sitel, che serve come fornitore di servizi di terze parti alla società di verifica dell'identità. A sua volta, Sitel dice di essere stata compromessa da una rete legacy gestita da una delle sue recenti acquisizioni, una società di servizi IT chiamata Sykes. La violazione di Okta può aver colpito ben 366 dei suoi clienti, il che significa che centinaia di altre aziende stanno potenzialmente sentendo gli impatti di questo hack.

Martedì, Sitel ha pubblicato un blog in cui dichiara di non poter dire nulla sul suo ruolo come punto di partenza per le incursioni di LAPSUS$.

“In piena trasparenza, stiamo cooperando con le forze dell'ordine in questa indagine in corso e non siamo in grado di commentare pubblicamente alcuni dei dettagli dell'incidente”, si legge nella dichiarazione.

Alcuni ricercatori di sicurezza che hanno letto la dichiarazione di Sitel hanno notato l'uso del termine plurale “clienti”, che potrebbe implicare che più aziende di Okta sono state colpite dal cyberattacco. Sitel ha una base di clienti considerevole, tra cui – avete indovinato – grandi aziende tecnologiche, gli obiettivi preferiti della banda.

Quando Gizmodo ha contattato Sitel per sapere quanti dei suoi clienti sono stati colpiti dal recente incidente informatico, l'azienda si è limitata a riferirci la dichiarazione rilasciata in precedenza. “Sitel Group non ha nulla da aggiungere in questo momento oltre a ciò che è sul loro sito web”, ha detto un rappresentante via e-mail. L'azienda sembra aver dato risposte simili ad altri punti vendita che si sono informati.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Notizie

MOVEit: 10 anni di dati rubati dal registro dei neonati

Tempo di lettura: 2 minuti. BORN ritira la vista Basic HTML di Gmail, spingendo gli utenti verso la vista Standard più moderna e sicura, nonostante le preoccupazioni legate all’accessibilità e all’uso di hardware più vecchio.

Pubblicato

il

moveit

Tempo di lettura: 2 minuti.

Il registro delle nascite finanziato dal governo dell'Ontario ha confermato una violazione dei dati che colpisce circa 3,4 milioni di persone che hanno cercato cure per la gravidanza, incluso il dato sanitario personale di quasi due milioni di neonati e bambini in tutta la provincia canadese. BORN Ontario ha dichiarato che gli hanno copiato più di un decennio di dati, inclusi quelli relativi a fertilità, gravidanza, neonati e assistenza sanitaria infantile offerti tra gennaio 2010 e maggio 2023.

Dettagli del data breach

La notizia della violazione arriva dopo che l'incidente è stato scoperto il 31 maggio. Non è noto per quale motivo BORN abbia impiegato mesi per notificare agli individui interessati che le loro informazioni erano state compromesse. BORN ha attribuito il cyberattacco all'hack di massa mirato a MOVEit, uno strumento di trasferimento file utilizzato dalle organizzazioni per condividere grandi set di dati su .

Il gruppo di ransomware e estorsione legato alla Russia, Clop

Il noto gruppo di e estorsione legato alla , Clop, ha rivendicato la responsabilità degli hack di massa di MOVEit, ma non ha ancora rivendicato BORN come una delle sue vittime, secondo una del suo sito di perdite sul che per minacciare di pubblicare i dati rubati delle vittime in cambio del pagamento di un riscatto.

Informazioni rubate

I cybercriminali hanno rubato nomi, date di nascita, indirizzi e codici postali e numeri di tessera sanitaria. Le informazioni cliniche rubate includono date di cura e servizio, risultati di test di laboratorio, fattori di rischio per la gravidanza, tipo di parto, procedure e risultati della gravidanza e del parto e assistenza associata.

Impatto dell'hack di massa di MOVEit

L'hack di massa di MOVEit ha finora colpito più di 60 milioni di individui, sebbene solo una frazione delle organizzazioni colpite abbia divulgato i loro incidenti, il numero di vittime è probabile che sia significativamente più alto. Più di mille organizzazioni, comprese le agenzie federali degli Stati Uniti, che si affidavano al MOVEit interessato, sono colpite dall'hack di massa.

Prosegui la lettura

Notizie

CISA nuove vulnerabilità note e sfruttate aggiunte al catalogo

Tempo di lettura: < 1 minuto. La CISA aggiunge tre nuove vulnerabilità al suo catalogo, evidenziando l’importanza della tempestiva risoluzione per ridurre i rischi di cyberattacchi.

Pubblicato

il

Tempo di lettura: minuto.

Introduzione: La ha recentemente aggiunto tre nuove al suo Catalogo delle Vulnerabilità Note Sfruttate, basandosi su prove di sfruttamento attivo. Queste vulnerabilità rappresentano frequenti vettori di per attori cyber malintenzionati e pongono rischi significativi per l'impresa federale.

Le vulnerabilità aggiunte sono le seguenti:

  • CVE-2023-41991: vulnerabilità di in diversi prodotti legata alla non corretta validazione dei certificati.
  • CVE-2023-41992: vulnerabilità di Apple in diversi prodotti relativa all'escalation di privilegi del kernel.
  • CVE-2023-41993: vulnerabilità di Apple in diversi prodotti legata all'esecuzione di codice WebKit.

Direttiva Operativa Vincolante (BOD) 22-01

La BOD 22-01 ha istituito il Catalogo delle Vulnerabilità Note Sfruttate come un elenco vivente di vulnerabilità note (CVE) che comportano un rischio significativo per l'impresa federale. Questa direttiva richiede che le agenzie Federal Civilian Executive Branch (FCEB) risolvano le vulnerabilità identificate entro la data prevista per proteggere le reti FCEB contro minacce attive.

Raccomandazioni della CISA

Sebbene la BOD 22-01 si applichi solo alle agenzie FCEB, la CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli , dando la priorità alla tempestiva risoluzione delle vulnerabilità del Catalogo come parte delle loro pratiche di gestione delle vulnerabilità. La CISA continuerà ad aggiungere vulnerabilità al catalogo che soddisfano i criteri specificati.

Prosegui la lettura

Notizie

Xenomorph: malware Android prende di mira banche statunitensi e portafogli cripto

Tempo di lettura: 2 minuti. Xenomorph, il malware Android, intensifica i suoi attacchi mirando ora a banche e portafogli cripto negli Stati Uniti, evidenziando l’importanza della protezione proattiva e della consapevolezza delle minacce emergenti.

Pubblicato

il

Tempo di lettura: 2 minuti.

Il Xenomorph si è evoluto, prendendo di mira ora le banche e i portafogli di negli Stati Uniti, Canada, Spagna, Italia, Portogallo e Belgio. Gli analisti della di cybersecurity ThreatFabric hanno rilevato una nuova campagna lanciata a metà agosto, che distribuisce una versione aggiornata di Xenomorph, mirando specificamente agli di portafogli di criptovalute e varie istituzioni finanziarie statunitensi.

Sfondo di Xenomorph

Xenomorph è apparso per la prima volta all'inizio del 2022 come bancario, mirando a 56 banche europee attraverso con sovrapposizione di schermo. Distribuito tramite Play, ha raggiunto oltre 50.000 installazioni. Nel marzo 2023, è stata rilasciata la terza versione principale di Xenomorph, con un sistema di trasferimento automatizzato per transazioni autonome sul dispositivo, bypass MFA, furto di cookie e la capacità di prendere di mira oltre 400 banche.

Nuova campagna

Nell'ultima campagna, gli operatori del malware hanno optato per l'uso di pagine di phishing, attirando i visitatori a aggiornare il loro e ingannandoli nel download dell'APK dannoso. Ogni campione di Xenomorph è caricato con circa un centinaio di sovrapposizioni mirate a diversi insiemi di banche e cripto, a seconda del gruppo demografico bersaglio.

Ultima versione

La nuova versione di Xenomorph presenta alcune nuove , tra cui una funzione “mimic” che può essere attivata da un comando corrispondente, dando al malware la capacità di agire come un'altra applicazione. Un'altra nuova funzione è “ClickOnPoint”, che consente agli operatori di Xenomorph di simulare tocchi in specifiche coordinate dello schermo.

Altri risultati

Gli analisti di ThreatFabric hanno scoperto ulteriori payload dannosi, tra cui le varianti di malware Android Medusa e Cabassous, i ladri di informazioni RisePro e LummaC2, e il loader di malware Private Loader. Gli utenti dovrebbero essere cauti con i prompt sul mobile per aggiornare i loro browser, poiché questi sono probabilmente parte delle campagne di distribuzione del malware.

In conclusione, la continua evoluzione di Xenomorph sottolinea l'importanza della vigilanza e della proattiva contro le minacce di malware, specialmente in un panorama di in continuo cambiamento e avanzamento tecnologico.

Prosegui la lettura

Facebook

CYBERWARFARE

Truffe recenti

Truffe online1 settimana fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

DeFi3 settimane fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 settimane fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Truffe online3 settimane fa

Nuova truffa di sextortion: il tuo “video intimo” su YouPorn

Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...

Notizie4 settimane fa

ONU: Sud-est Asiatico manodopera del crimine informatico

Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...

Notizie4 settimane fa

CISA Avverte: truffa informatica del cambiamento climatico

Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...

Inchieste4 settimane fa

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...

Inchieste4 settimane fa

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...

vietnam matrix flag vietnam matrix flag
Truffe online4 settimane fa

Truffato per 416.000 dollari in un “club di incontri” su Telegram

Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...

Notizie1 mese fa

Galà della Frode: campagna BEC che colpisce l’Italia

Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...

Tendenza