Connect with us

Notizie

I server Microsoft SQL sono ancora vulnerabili e sono sotto attacco del ransomware FARGO

Condividi questo contenuto

Tempo di lettura: 2 minuti. I dati statistici relativi agli attacchi ransomware sulla piattaforma ID Ransomware indicano che la famiglia FARGO di malware per la crittografia dei file è piuttosto attiva.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

BleepingComputer ha segnalato attacchi simili a febbraio, con la caduta dei beacon Cobalt Strike, e a luglio, quando gli attori delle minacce hanno dirottato i server MS-SQL vulnerabili per rubare la larghezza di banda per i servizi proxy.

L’ultima ondata è più catastrofica e mira a un profitto facile e veloce ricattando i proprietari di database.

Il ransomware FARGO, alias TargetCompany

I ricercatori di sicurezza dell’AhnLab Security Emergency Response Center (ASEC) affermano che FARGO è uno dei ceppi di ransomware più importanti che si concentrano sui server MS-SQL, insieme a GlobeImposter.

Questa famiglia di malware è stata chiamata “Mallox” in passato perché era solita aggiungere l’estensione “.mallox” ai file che criptava.

Inoltre, questo ceppo è lo stesso che i ricercatori di Avast hanno denominato “TargetCompany” in un rapporto di febbraio, evidenziando che i file da esso crittografati possono essere recuperati gratuitamente in alcuni casi.

Infezione ed esecuzione

I ricercatori rilevano che l’infezione da ransomware inizia con il processo MS-SQL sul computer compromesso che scarica un file .NET utilizzando cmd.exe e powershell.exe.

Il payload recupera ulteriore malware (incluso l’armadietto), genera ed esegue un file BAT che termina processi e servizi specifici.

Successivamente, il payload del ransomware si inietta in AppLaunch.exe, un processo legittimo di Windows, e cerca di eliminare la chiave di registro per il “vaccino” open-source del ransomware chiamato Raccine.

Inoltre, il malware esegue il comando di disattivazione del recupero e termina i processi relativi al database per rendere il loro contenuto disponibile per la crittografia.

Processi eliminati da FARGO

Processi uccisi da FARGO prima dell’avvio della crittografia (ASEC)
Il ceppo di ransomware FARGO esclude alcuni software e directory dalla crittografia per evitare che il sistema attaccato diventi completamente inutilizzabile.

Sono escluse dalla crittografia diverse directory del sistema Microsoft Windows, i file di avvio, Tor Browser, Internet Explorer, le personalizzazioni e le impostazioni dell’utente, il file di registro di debug o il database delle miniature.

Al termine della crittografia, i file bloccati vengono rinominati con l’estensione “.Fargo3” e il malware genera la nota di riscatto (“RECOVERY FILES.txt”).

Le vittime vengono minacciate di diffondere i file rubati sul canale Telegram dell’attore della minaccia, a meno che non paghino il riscatto.

I server di database sono spesso compromessi attraverso attacchi brute-force e a dizionario che hanno successo contro gli account protetti da credenziali deboli. In alternativa, i criminali informatici cercano di sfruttare vulnerabilità note che l’obiettivo non ha patchato.

La raccomandazione per gli amministratori di server MS-SQL è di assicurarsi di utilizzare password sufficientemente forti e uniche. Inoltre, mantenere la macchina aggiornata con le ultime correzioni delle vulnerabilità di sicurezza è un consiglio che non passa mai di moda.

Fonte

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Notizie

In the box: il più grande mercato di malware per smartphone

Condividi questo contenuto

Tempo di lettura: 2 minuti. Nella Darknet e minaccia gli utenti di tutto il mondo

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Ricercatori di cybersicurezza hanno fatto luce su un mercato darknet chiamato InTheBox, progettato per soddisfare specificamente gli operatori di malware mobile. L’attore dietro la vetrina criminale, che si ritiene sia disponibile almeno da gennaio 2020, ha offerto oltre 400 iniezioni web personalizzate raggruppate per area geografica che possono essere acquistate da altri avversari che desiderano sferrare i propri attacchi. “L’automazione consente ad altri malintenzionati di creare ordini per ricevere le web injection più aggiornate da implementare ulteriormente nel malware mobile”, ha dichiarato Resecurity. “InTheBox può essere definito il più grande e probabilmente l’unico nella sua categoria di mercato a fornire web inject di alta qualità per i più diffusi tipi di malware mobile”. I Web Injects sono pacchetti utilizzati nel malware finanziario che sfruttano il vettore di attacco adversary-in-the-browser (AitB) per servire codice HTML o JavaScript dannoso sotto forma di schermata in sovrimpressione quando le vittime avviano un’applicazione bancaria, crittografica, di pagamento, di e-commerce, di posta elettronica o di social media. Queste pagine tipicamente assomigliano a una pagina web di login di una banca legittima e spingono gli utenti inconsapevoli a inserire dati riservati come credenziali, dati della carta di pagamento, numeri di previdenza sociale (SSN), valore di verifica della carta (CVV) che vengono poi utilizzati per compromettere il conto bancario e condurre frodi.

InTheBox è accessibile attraverso la rete di anonimato Tor e pubblicizza una varietà di modelli di web inject in vendita, con l’elenco accessibile solo dopo che un cliente è stato controllato dall’amministratore e l’account è stato attivato. Le iniezioni web possono essere acquistate per 100 dollari al mese o come livello “unlim” che consente all’acquirente di generare un numero illimitato di iniezioni durante il periodo di abbonamento. I costi per il piano unlim variano da 2.475 a 5.888 dollari, a seconda dei trojan supportati. Alcuni dei trojan bancari Android supportati dal servizio sono Alien, Cerberus, ERMAC (e il suo successore MetaDroid), Hydra e Octo, ha dichiarato l’azienda californiana di cybersicurezza.

“La maggior parte delle iniezioni ad alta richiesta è legata ai servizi di pagamento, tra cui il digital banking e gli scambiatori di criptovalute”, hanno dichiarato i ricercatori. “Nel corso del mese di novembre 2022, l’attore ha predisposto un aggiornamento significativo di quasi 144 injects, migliorandone il design visivo”. Lo sviluppo arriva mentre Cyble ha rivelato una nuova operazione di malware-as-a-service (MaaS) denominata DuckLogs, commercializzata a 69,99 dollari per un accesso a vita, che offre agli attori delle minacce la possibilità di raccogliere informazioni sensibili, dirottare le transazioni di criptovaluta e comandare in remoto le macchine.

Prosegui la lettura

Notizie

Ospedale francese cancella operazioni dopo attacco ransomware

Condividi questo contenuto

Tempo di lettura: 2 minuti. Un complesso ospedaliero di Versailles, vicino a Parigi, ha dovuto cancellare le operazioni e trasferire alcuni pazienti dopo essere stato colpito da un attacco informatico nel fine settimana, ha dichiarato il ministero della Sanità francese.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il Centro ospedaliero di Versailles – che comprende l’ospedale Andre-Mignot, l’ospedale Richaud e la casa di riposo Despagne – è stato colpito dal tentativo di hacking, ha dichiarato la direzione del complesso. L’agenzia sanitaria regionale (ARS) ha dichiarato che l’ospedale Andre-Mignot ha cancellato le operazioni, ma sta facendo tutto il possibile per mantenere in funzione i servizi e le consultazioni. Le comunicazioni telefoniche, internet e tutti i sistemi informatici sono stati interrotti. Il gruppo di hacker dietro l’attacco ha chiesto un riscatto, secondo quanto dichiarato lunedì da Richard Delepierre, co-presidente del consiglio di sorveglianza dell’ospedale. “È stato chiesto un riscatto, di cui non conosco l’ammontare, ma non intendiamo pagarlo”, ha assicurato Delepierre, che è anche sindaco di Chesnay-Rocquencourt. In Francia, gli enti pubblici non pagano mai riscatti perché la legge glielo vieta.

Indagine in corso

Sei pazienti sono stati trasferiti da sabato sera – tre dalla terapia intensiva e tre dal reparto neonatale – ha dichiarato il Ministro della Salute Francois Braun, visitando l’ospedale domenica sera. Altri potrebbero seguire, ha aggiunto. Il cyberattacco ha portato a una “riorganizzazione totale dell’ospedale”, ha aggiunto il ministro. Mentre le macchine funzionavano ancora nel reparto di terapia intensiva, erano necessarie più persone per sorvegliare gli schermi, poiché non funzionavano più come parte di una rete, ha detto Braun. La procura di Parigi ha aperto un’indagine preliminare sul tentativo di estorsione e sull’accesso e la manutenzione del sistema digitale dello Stato. Anche l’ospedale ha presentato una denuncia formale domenica. Da diversi mesi gli ospedali e i sistemi sanitari francesi sono bersaglio di simili attacchi informatici. Secondo Braun, “il sistema sanitario subisce attacchi quotidiani” in Francia, ma la “stragrande maggioranza di questi tentativi viene evitata”. In agosto è stato preso di mira l’ospedale di Corbeil-Essonnes, alla periferia di Parigi, che fornisce assistenza sanitaria a quasi 700.000 residenti.

Gli hacker chiedono 10 milioni di dollari per porre fine all’attacco informatico all’ospedale regionale di Parigi

Le operazioni sono state gravemente interrotte per diverse settimane prima di tornare alla normalità a metà ottobre. In quell’occasione, l’attacco è stato seguito da una richiesta di 9,46 milioni di euro, successivamente abbassata a uno o due milioni. Gli hacker avevano fissato al 23 settembre la scadenza per il pagamento del riscatto, dopo di che avevano pubblicato sul “dark web” i dati riservati di pazienti e personale.

Prosegui la lettura

Notizie

Il malware Infostealer si diffonde sul dark web

Condividi questo contenuto

Tempo di lettura: 2 minuti. Lapsus$, uno dei più prolifici attori di ransomware del 2022, ha utilizzato queste tattiche per violare diverse organizzazioni di alto profilo

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Secondo una ricerca del team Cyber Threat Intelligence di Accenture, pubblicata lunedì, quest’anno il malware Information Stealer, utilizzato da malintenzionati per rubare password e altri dati sensibili, è fiorito nelle reti criminali clandestine. L’uso di malware infostealer è aumentato negli ultimi mesi per consentire agli attori criminali di ottenere rapidamente l’accesso a nomi utente, password e cookie a un costo molto basso, ha dimostrato la ricerca. Utilizzando un modello di malware-as-a-service, un piccolo attore non affiliato può impegnarsi senza bisogno di grandi risorse o competenze tecniche.

Ducktail infostealer, la nuova variante viola gli account Facebook Business e raccoglie cookie dai browser

Erbium, il nuovo infostealer si nasconde nei software crack

“Le funzionalità di Infostealer si stanno modernizzando per concentrarsi sulla sconfitta [dell’autenticazione multifattoriale] attraverso il furto di cookie, dati di sistema, informazioni sull’utente e dati da varie app MFA, consentendo agli attori delle minacce di prendere sempre più di mira le imprese rispetto ai login privati degli utenti”, ha dichiarato via e-mail Thomas Willkan, consulente di cyber threat intelligence di Accenture. Secondo Paul Mansfield, analista di cyber threat intelligence e autore di un blog presso Accenture, le organizzazioni devono assicurarsi che i sistemi operativi e i software siano completamente aggiornati, utilizzare software antivirus e formare il personale su come individuare le e-mail sospette. Diverse organizzazioni di alto profilo sono state vittime di attacchi MFA-fatigue, che prevedono tentativi multipli di accesso ad account che utilizzano l’MFA, utilizzando credenziali rubate. Lapsus$, uno degli attori di minacce più prolifici di quest’anno, ha utilizzato gli attacchi MFA fatigue per lanciare diverse campagne importanti. Microsoft ha pubblicato una ricerca sulle minacce a Lapsus$ all’inizio dell’anno, dimostrando che l’organizzazione ha utilizzato i ruba-password Redline per ottenere password e token di sessione. Il Cyber Safety Review Board del Dipartimento della Sicurezza Nazionale ha annunciato la scorsa settimana l’avvio di una revisione completa di Lapsus$.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie24 ore fa

L’APT37 nordcoreano lancia la backdoor Dolphin in Corea del Sud

Tempo di lettura: 2 minuti. Condividi questo contenutoIl 30 novembre, i ricercatori di ESET hanno scoperto Dolphin, una sofisticata backdoor...

Notizie4 giorni fa

Killnet gongola per gli attacchi DDoS che hanno colpito Starlink e la Casa Bianca

Tempo di lettura: 2 minuti. Starlink, di proprietà di Elon Musk, WhiteHouse.gov e il Principe di Galles sono stati presi...

Notizie4 giorni fa

CIA offre lavoro ai russi scontenti

Tempo di lettura: 5 minuti. L'invito aperto della Central Intelligence Agency (CIA) ai cittadini del Cremlino a unirsi a lei...

Notizie5 giorni fa

Il sito web del Vaticano non funziona per un sospetto attacco hacker

Tempo di lettura: < 1 minuto. Non c'è stata nessuna rivendicazione, nemmeno dagli "sprovveduti" di Killnet

Notizie1 settimana fa

La guerra d’informazione della Cina contro Taiwan

Tempo di lettura: 2 minuti. Condividi questo contenutoOltre all’aggressivo pattugliamento militare nello Stretto di Taiwan, Pechino sta facendo un passo...

Notizie1 settimana fa

L’Azerbaigian ha subito cyberattacchi armeni

Tempo di lettura: < 1 minuto. "La velocità di questi attacchi DDoS è aumentata da 40 Gbps a 137 Gbps...

Notizie2 settimane fa

APT iraniano pubblica filmato dell’attacco a Gerusalemme. Compromessa agenzia di sicurezza

Tempo di lettura: < 1 minuto. I funzionari confermano che il filmato è stato preso dalla telecamera di sorveglianza dell'agenzia,...

Inchieste2 settimane fa

I falchi di Vladimir Putin su Telegram

Tempo di lettura: 7 minuti. Andrey Pertsev racconta come Telegram sia diventato la principale piattaforma di informazione per i falchi...

Notizie2 settimane fa

KillNet affonda il Parlamento Europeo con un attacco DDOS e non è un attacco sofisticato

Tempo di lettura: < 1 minuto. Una vecchia conoscenza di Matrice Digitale torna alla carica della più importante istituzione europea...

Notizie2 settimane fa

Gli hacktivisti DDoS di Killnet prendono di mira la Famiglia Reale e altri siti web

Tempo di lettura: 3 minuti. Gli hacktivisti allineati alla Russia hanno preso di mira diversi siti web del Regno Unito,...

Truffe recenti

Truffe online4 settimane fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Truffe online4 settimane fa

Truffa del Trust Wallet PayPal

Tempo di lettura: 2 minuti. Scoperta da Trend Micro, la truffa che sfrutta il brand di PayPal, può essere così...

Truffe online1 mese fa

Sospetto arrestato in relazione a una frode di investimento da un milione di euro

Tempo di lettura: 2 minuti. L'azione ha portato l'Europol a rilasciare consigli in tal senso.

Truffe online2 mesi fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online2 mesi fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online2 mesi fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online2 mesi fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online3 mesi fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online3 mesi fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie3 mesi fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Tendenza