Sicurezza Informatica
TrueBot nuova variante sfrutta il bug di Netwrix Auditor e il worm Raspberry Robin
I ricercatori di sicurezza informatica hanno segnalato un aumento delle infezioni da TrueBot, principalmente in Messico, Brasile, Pakistan e Stati Uniti. Cisco Talos ha dichiarato che gli aggressori dietro l’operazione sono passati dall’utilizzo di e-mail dannose a metodi di consegna alternativi, come lo sfruttamento di una falla di Netwrix Auditor, ora patchata, per l’esecuzione di codice remoto (RCE) e del worm Raspberry Robin. “L’attività successiva alla compromissione ha incluso il furto di dati e l’esecuzione del ransomware Clop”, ha dichiarato il ricercatore di sicurezza Tiago Pereira in un rapporto di giovedì. TrueBot è un downloader di malware per Windows attribuito a un attore di minacce rintracciato da Group-IB come Silence, un gruppo di lingua russa che si ritiene condivida associazioni con Evil Corp (alias DEV-0243) e TA505. Il modulo di primo livello funge da punto di ingresso per le successive attività di post-exploitation, tra cui il furto di informazioni utilizzando un’utility di esfiltrazione dati personalizzata finora sconosciuta, denominata Teleport, ha dichiarato la società di cybersicurezza. L’uso di Raspberry Robin – un worm che si diffonde principalmente attraverso unità USB infette – come vettore di trasmissione di TrueBot è stato recentemente evidenziato da Microsoft, che ha dichiarato che fa parte di un “ecosistema di malware complesso e interconnesso”.
Il malware Truebot
Come ulteriore segno di collaborazione con altre famiglie di malware, è stato osservato che Raspberry Robin distribuisce anche FakeUpdates (alias SocGholish) sui sistemi compromessi, portando infine a comportamenti simili a ransomware collegati a Evil Corp. Microsoft sta rintracciando gli operatori del malware basato su USB come DEV-0856 e gli attacchi ransomware Clop che avvengono tramite Raspberry Robin e TrueBot sotto il gruppo di minacce emergenti DEV-0950. “DEV-0950 utilizza tradizionalmente il phishing per acquisire la maggior parte delle vittime, quindi questo notevole passaggio all’utilizzo di Raspberry Robin consente loro di consegnare i payload alle infezioni esistenti e di spostare più rapidamente le loro campagne verso le fasi ransomware”, ha osservato il produttore di Windows nell’ottobre 2022. Le ultime scoperte di Cisco Talos mostrano che l’APT Silence ha condotto una piccola serie di attacchi tra metà agosto e settembre 2022 abusando di una vulnerabilità critica RCE in Netwrix auditor (CVE-2022-31199, punteggio CVSS: 9,8) per scaricare ed eseguire TrueBot. Il fatto che il bug sia stato utilizzato come arma solo un mese dopo la sua divulgazione pubblica da parte di Bishop Fox a metà luglio 2022 suggerisce che “gli aggressori non solo sono alla ricerca di nuovi vettori di infezione, ma sono anche in grado di testarli rapidamente e incorporarli nel loro flusso di lavoro”, ha detto Pereira. Le infezioni di TrueBot in ottobre, tuttavia, hanno comportato l’uso di un vettore di attacco diverso, ovvero Raspberry Robin, sottolineando la valutazione di Microsoft sul ruolo centrale del worm USB come piattaforma di distribuzione del malware. “Questi collegamenti [tra Silence, Raspberry Robin e Evil Corp] sono stati fatti sulla base dell’osservazione dei flussi di attacco”, ha dichiarato Pereira a The Hacker News. “Tuttavia, la nostra osservazione rafforza il collegamento che è stato fatto in precedenza da altri tra TrueBot e TA505 a causa della consegna del malware Grace, che è collegato a TA505”. La funzione principale di TrueBot è quella di raccogliere informazioni dall’host e distribuire payload di livello successivo, come Cobalt Strike, FlawedGrace e Teleport. A questo segue l’esecuzione del binario del ransomware dopo aver raccolto le informazioni rilevanti. Lo strumento di esfiltrazione dei dati Teleport si distingue anche per la sua capacità di limitare la velocità di upload e le dimensioni dei file, facendo sì che le trasmissioni non vengano rilevate dai software di monitoraggio. Inoltre, è in grado di cancellare la propria presenza dalla macchina. Un’analisi più approfondita dei comandi impartiti tramite Teleport rivela che il programma viene utilizzato esclusivamente per raccogliere file dalle cartelle OneDrive e Download, oltre che dai messaggi di posta elettronica Outlook della vittima. “La consegna del Raspberry Robin ha portato alla creazione di una botnet di oltre 1.000 sistemi distribuiti in tutto il mondo, ma con particolare attenzione a Messico, Brasile e Pakistan”, ha dichiarato Pereira. Gli aggressori, tuttavia, sembrano essere passati a un meccanismo di distribuzione sconosciuto, TrueBot, a partire da novembre; il vettore è riuscito a cooptare in una botnet oltre 500 server Windows rivolti a Internet situati negli Stati Uniti, in Canada e in Brasile.
Sicurezza Informatica
Sviluppatore di Tornado Cash condannato a 64 mesi
Tempo di lettura: 2 minuti. Alexey Pertsev, sviluppatore del mixer di criptovalute Tornado Cash, è stato condannato a 64 mesi per riciclare oltre 2 miliardi di dollari.
Alexey Pertsev, uno dei principali sviluppatori del mixer di criptovalute Tornado Cash, è stato condannato a 64 mesi di prigione per aver contribuito a riciclare oltre 2 miliardi di dollari in criptovalute. La sentenza riflette la crescente pressione delle autorità legali contro le piattaforme che possono essere utilizzate per attività illecite.
Il caso di Tornado Cash
Tornado Cash è una piattaforma decentralizzata e open-source che era intesa a fornire anonimato ai possessori di criptovalute. La piattaforma funzionava accettando depositi e trasferendo gli asset tra numerosi nodi di servizio prima di consentire il prelievo a un indirizzo di portafoglio diverso da quello originale. Questo metodo è stato utilizzato da criminali informatici per nascondere l’origine dei fondi e riciclare grandi somme da attività illegali, incluso il noto gruppo di hacker nordcoreano Lazarus.
Implicazioni legali e azioni delle Autorità
Nel 2022, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato la piattaforma, e nel 2023, il Dipartimento di Giustizia degli Stati Uniti ha incriminato due dei fondatori per cospirazione di riciclaggio di denaro e violazione dell’International Economic Emergency Powers Act. Queste azioni sottolineano la determinazione delle autorità di combattere il riciclaggio di denaro attraverso tecnologie che offrono elevati livelli di anonimato.
Difesa e la Sentenza
Pertsev ha affermato che il suo obiettivo era solo di fornire privacy alla comunità delle criptovalute e non di facilitare operazioni criminali. Tuttavia, la corte ha respinto queste affermazioni, sottolineando che Tornado Cash non includeva misure anti-abuso e che gli sviluppatori non avevano fatto sforzi significativi per prevenire il riciclaggio di denaro attraverso la piattaforma. Inoltre, è stato sottolineato il mancato cooperazione di Pertsev con le autorità investigative.
Confische e Conseguenze
Oltre alla sentenza carceraria, sono stati confiscati beni per un valore di 1,9 milioni di euro in criptovalute e una Porsche di proprietà di Pertsev. Con l’arresto dei tre principali sviluppatori, il futuro del progetto Tornado Cash rimane incerto, con il principale sito web e la pagina GitHub ancora online, ma con molte delle attività comunitarie e transazionali sospese o terminate.
Sicurezza Informatica
BreachForums è offline e sotto il controllo dell’FBI
Tempo di lettura: < 1 minuto. Il noto portale di annunci legati al crimine informatico dove si vendono i dati trafugati al miglior offerente, BreachForums, è ora dell’FBI
L’FBI ha messo sotto scacco il sito BreachForums sia nel clear sia nel dark web e risulta offline. L’operazione, ancora sconosciuta alla stampa è emersa in seguito a diverse segnalazioni in rete che ne hanno dato evidenza attraverso gli screenshot dei propri browser.
Il sito è irraggiungibile sia via web normale sia dal dominio .onion. BreachForums è un forum con un template grafico “old style” dove gli utenti si scambiano notizie riguardanti il crimine informatico e pubblicano annunci dei dati trafugati in seguito ad attacchi ad Enti e Aziende per venderli al miglior offerente ed è ufficiale che sia offline per via di un’azione dell’FBI.
L’amministratore di BreachForums è stato condannato per i reati di diffusione di materiale vietato e per possesso di Contenuti sessuali esplitici di minori.
articolo in aggiornamento.
Sicurezza Informatica
Apple App Store bloccate transazioni fraudolente per oltre 7 miliardi
Tempo di lettura: 2 minuti. Apple ha bloccato oltre 7 miliardi di dollari in transazioni fraudolente sull’App Store negli ultimi quattro anni, rafforzando la sicurezza per utenti e sviluppatori.
Apple ha annunciato di aver prevenuto oltre 7 miliardi di dollari in transazioni potenzialmente fraudolente sull’App Store nel corso degli ultimi quattro anni, dimostrando il suo impegno continuo nel proteggere sia gli utenti che gli sviluppatori da attività dannose.
Dettagli dell’azione anti-frode di Apple
Tra il 2020 e il 2023, Apple ha impedito transazioni fraudolente per un valore di più di 1,8 miliardi di dollari solo nel 2023. Inoltre, ha bloccato l’uso di oltre 14 milioni di carte di credito rubate e ha impedito a più di 3,3 milioni di account di effettuare ulteriori transazioni.
Apple ha adottato misure severe contro la frode, respingendo più di 1,7 milioni di proposte di app nel 2023 per mancato rispetto degli standard rigorosi di privacy, sicurezza e contenuto dell’App Store. Questo ha comportato la terminazione di quasi 374 milioni di account di sviluppatori e clienti e la rimozione di circa 152 milioni di valutazioni e recensioni per preoccupazioni legate alla frode.
Implicazioni per gli sviluppatori e l’ecosistema dell’App Store
Le azioni di Apple riflettono il suo impegno a mantenere un ambiente sicuro e affidabile per i suoi utenti e sviluppatori. Con la crescente concorrenza e le pressioni regolamentari, in particolare nell’Unione Europea dove le leggi richiedono una maggiore apertura del sistema operativo iOS a store di app di terze parti, Apple continua a sottolineare l’importanza della sicurezza come caratteristica distintiva del suo ecosistema.
Il blocco di transazioni fraudolente e la gestione proattiva della sicurezza dell’App Store rappresentano un aspetto fondamentale della strategia di Apple per mantenere la fiducia degli utenti e degli sviluppatori, nonostante le sfide poste dall’apertura forzata del suo ecosistema a maggiori opzioni di distribuzione delle app. Mentre Apple si adatta alle nuove normative e risponde alla concorrenza, l’azienda si impegna a proteggere la sicurezza e l’integrità dell’App Store, evidenziando il suo ruolo come leader nell’offrire un ambiente sicuro e protetto per l’acquisto e il download di app.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste2 settimane fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia2 settimane fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra