Sicurezza Informatica
Dopo l’arresto di REvil, trema il Dark Web
La società di sicurezza informatica Trustwave ha scoperto che l’arresto del 14 gennaio messo in piedi dall’FSB russo in sfavore della banda di ransomware REvil ha causato paura e ansia nell’universo clandestino del crimine informatico. Dopo aver analizzato alcune discussione nei forum clandestini del dark web, Trustwave ha scoperto che i criminali informatici, una volta al sicuro, oggi ritengono di poter finire in prigione e hanno preso in considerazione la possibilità di trasferirsi.
Il servizio di sicurezza interno russo ha affermato che l’operazione è avvenuta su richiesta delle autorità statunitensi per affrontare gli attacchi ransomware provenienti dal Paese.
L’FSB ha affermato di aver sequestrato 426 milioni di rubli (circa $ 5,6 milioni), $ 600.000 in dollari USA, Є500.000 in euro e 20 auto di lusso dopo aver arrestato 14 membri della ransomware gang REvil.
Una eventuale collaborazione tra FSB russo e Stati Uniti fa molta paura ed ha aumentato l’ansia nei circoli clandestini. “Questo è un grande cambiamento” pensano in molti. “Non ho alcun desiderio di andare in galera”, ha esclamato un utente attivo nei forum criminali. Dalla Russia ci potrebbe essere una fuga di capitali annessa a menti criminali verso altri lidi come India, Cina, Medio Oriente o Israele.
Queste preoccupazioni hanno confermato che le bande di ransomware percepivano la Russia come un rifugio per le loro attività criminali. Tuttavia, lasciare la patria del Cremlino può solo aumentare le possibilità di arresto ed estradizione negli Stati Uniti come avvenne per il fondatore di Alpha Bay: estradiato dalla Thailandia e morto in carcere “suicida” nel Canada che lo riaccolse a braccia aperte.
Le lavanderie di criptovalute sotto osservazione
Sembrerebbe che l’FBI stia prendendo di mira gruppi di ransomware attraverso gli exchange di denaro liquido e di criptovalute, che si sospettano stiano collaborando con l’FBI a Mosca e di aver prestato le loro collaborazioni negli interrogatori.
La vera sorpresa per molte gang criminali specializzate nei ransomware è quella di non essere protette dallo stato e, visti gli ultimi risvolti, chi credeva il contrario, adesso deve cambiare idea.
In un momento di panico generale, aumenta anche la diffidenza nei confronti degli amministratori dei forum online, adducendo una attività di informazione da parte di qualche admin in favore delle forze dell’ordine e molto probabilmente si tratterebbe di una persona soprannominata RED \ KAJIT, amministratore del forum Ramp, sospettato di lavorare per la controparte. Gli amministratori dei forum fanno paura anche perchè hanno accesso alle informazioni sui membri e potrebbero condividerle con le agenzie di sicurezza come parte di un patteggiamento o per incentivi come ricompense finanziarie.
C’era già aria di guai in giro per Mosca e Sanpietroburgo
Trustware ha analizzato la conversazione di un membro che prevedeva nel novembre 2021 che gli arresti sarebbero avvenuti entro due mesi. Tuttavia, alcuni credevano di poter evitare l’arresto e continuare le loro attività di ransomware. Un membro ha offerto diverse soluzioni per eludere le forze dell’ordine nel caso in cui l’FSB russo avesse collaborato con le autorità statunitensi. Ha consigliato di utilizzare Tor per l’anonimato, archiviare risorse digitali rubate su diversi computer e utilizzare la crittografia. Inoltre, ha consigliato ai criminali informatici di evitare inutili chiacchiere sul dark web, aggiungendo che “ora è pericoloso scrivere qualsiasi cosa, ovunque“. Ha anche avvertito che le telecamere a circuito chiuso erano ovunque a Mosca e San Pietroburgo, un enorme rischio per la sicurezza dei criminali informatici coinvolti nel ritiro fisico di denaro estorto.
REvil ha pestato i piedi sbagliati
Altri partecipanti alle discussioni nel dark web hanno incolpato il gruppo ransomware REvil per aver attirato l’attenzione, attaccando organizzazioni multimiliardarie in paesi potenti come gli Stati Uniti, vantandosi di ciò.
Un membro ha sottolineato che “essere una superstar nel nostro business è una pessima idea”. “Era necessario pensare prima di scalare e crittografare aziende, scuole e stati multimiliardari”, ha affermato. “Con chi hanno osato competere?”
Sicurezza Informatica
Vulnerabilità Apple in Vision Pro e macOS
Tempo di lettura: 2 minuti. Le vulnerabilità scoperte in Apple Vision Pro e macOS hanno esposto gli utenti a rischi significativi, ma Apple ha risposto prontamente con aggiornamenti di sicurezza.
Di recente, due importanti vulnerabilità di sicurezza sono state identificate nei dispositivi Apple, una riguardante il nuovo Apple Vision Pro e l’altra legata a un grave problema di sicurezza su macOS. Entrambi i problemi hanno potenzialmente esposto gli utenti a rischi significativi, ma Apple ha risposto prontamente con aggiornamenti di sicurezza per proteggere i propri dispositivi e i dati degli utenti.
Vulnerabilità dell’Apple Vision Pro: attacco GAZEploit
Una vulnerabilità recentemente scoperta, identificata come CVE-2024-40865, ha colpito l’Apple Vision Pro, un dispositivo di realtà mista lanciato da Apple. Questo difetto di sicurezza, noto come GAZEploit, ha permesso a potenziali attaccanti di sfruttare i movimenti oculari degli utenti per determinare ciò che veniva digitato sulla tastiera virtuale del dispositivo. I ricercatori hanno scoperto che osservando il comportamento dell’avatar virtuale di un utente, era possibile ricostruire il testo inserito, inclusi dati sensibili come password e altre informazioni private.
L’attacco si basava su un modello di apprendimento supervisionato che analizzava i movimenti oculari e la posizione della tastiera virtuale, mappando queste informazioni ai tasti corrispondenti. Questo processo, noto come keystroke inference, rappresentava una grave minaccia per la privacy degli utenti. Tuttavia, Apple ha risolto il problema con l’aggiornamento a visionOS 1.3, sospendendo il componente vulnerabile chiamato Persona durante l’uso della tastiera virtuale.
Vulnerabilità di macOS: attacco Zero-Click tramite invito al Calendario
Nel frattempo, una vulnerabilità in macOS ha esposto gli utenti a un attacco “zero-click” tramite inviti al calendario. Questa vulnerabilità, identificata come CVE-2022-46723, ha consentito agli attaccanti di inviare inviti malevoli che, una volta ricevuti, permettevano l’installazione di software dannoso senza alcuna interazione da parte dell’utente. Questo tipo di attacco è particolarmente pericoloso perché non richiede che l’utente faccia nulla, rendendo molto difficile individuarlo o evitarlo.
Apple ha risposto prontamente a questa minaccia con un aggiornamento per rafforzare i permessi dell’app Calendario e impedire l’esecuzione di software dannoso. Questo rapido intervento ha dimostrato l’impegno di Apple nel proteggere i suoi utenti e nel garantire la sicurezza dei loro dati.
Le recenti vulnerabilità in Apple Vision Pro e macOS hanno evidenziato quanto sia importante per gli utenti rimanere vigili e aggiornare regolarmente i propri dispositivi. Nonostante Apple abbia risposto rapidamente con patch di sicurezza, queste minacce sottolineano la necessità di una costante attenzione alla sicurezza informatica.
Sicurezza Informatica
Android.Vo1d: Malware infetta 1,3 Milioni di TV Box in 200 Paesi
Tempo di lettura: 2 minuti. Android.Vo1d, un malware che ha infettato oltre 1,3 milioni di TV Box in 197 paesi, sfrutta vulnerabilità in versioni obsolete di Android per scaricare software malevolo.
Recentemente, i ricercatori di Doctor Web hanno scoperto una nuova minaccia chiamata Android.Vo1d, un malware che ha infettato circa 1,3 milioni di dispositivi TV Box in 197 paesi. Il malware è un backdoor che si installa nella memoria di sistema del dispositivo, permettendo agli attaccanti di scaricare e installare software di terze parti in modo segreto. L’infezione colpisce diversi modelli di TV Box, spesso basati su versioni obsolete di Android, rendendo questi dispositivi particolarmente vulnerabili agli attacchi.
Il Malware Android.Vo1d: Meccanismo di attacco
Il malware Android.Vo1d si diffonde principalmente sfruttando vulnerabilità nei dispositivi TV Box con versioni obsolete di Android. Gli attaccanti utilizzano il backdoor per ottenere accesso root al sistema e inserire componenti maligni, come i file vo1d e wd, che vengono memorizzati in directory critiche del sistema. Questo consente al malware di persistere anche dopo un riavvio del dispositivo.
Il file install-recovery.sh, presente su molti dispositivi Android, viene modificato per assicurare l’esecuzione automatica dei componenti del malware. Inoltre, il malware utilizza altri strumenti, come daemonsu e debuggerd, per mascherare i suoi processi e aggirare i meccanismi di sicurezza.
Diffusione e Impatti Globali
L’infezione si è diffusa a livello globale, con la maggior parte dei casi segnalati in paesi come Brasile, Marocco, Pakistan, Arabia Saudita, Russia e Argentina. Una delle ragioni per cui gli attaccanti hanno scelto di colpire i TV Box è che spesso utilizzano versioni di Android obsolete, come la 7.1, che presentano vulnerabilità non risolte e non ricevono più aggiornamenti di sicurezza.
Il malware può scaricare ed eseguire nuovi eseguibili, su comando da server di controllo remoto, e monitorare directory specifiche per installare ulteriori file APK malevoli. Questo rende i dispositivi infetti estremamente vulnerabili, soprattutto se l’utente non installa software di sicurezza.
La scoperta di Android.Vo1d evidenzia secondo drWeb ancora una volta l’importanza di mantenere aggiornati i dispositivi e di evitare l’uso di firmware non ufficiali. Gli utenti di TV Box sono particolarmente a rischio a causa dell’assenza di aggiornamenti di sicurezza. Soluzioni antivirus, come quelle fornite da Doctor Web, possono aiutare a rilevare e rimuovere il malware su dispositivi con accesso root.
Sicurezza Informatica
Hadooken Malware: Nuova Minaccia per le Applicazioni WebLogic
Tempo di lettura: 3 minuti. Il malware Hadooken prende di mira server WebLogic non protetti, sfruttando vulnerabilità per installare cryptominer e malware Tsunami.
Il malware Hadooken, recentemente scoperto dai ricercatori di Aqua Nautilus, rappresenta una nuova minaccia per i server WebLogic di Oracle, comunemente utilizzati in ambienti aziendali critici come quelli bancari e di e-commerce. Questo malware sfrutta vulnerabilità note nei server WebLogic, inclusi problemi di configurazione e password deboli, per ottenere accesso non autorizzato, eseguire codice malevolo e installare un cryptominer, oltre a un malware Tsunami. L’attacco, ribattezzato Hadooken, prende il nome dal celebre attacco “surge fist” del videogioco Street Fighter, e si sta diffondendo rapidamente in ambienti che utilizzano server WebLogic vulnerabili.
Attacco ai Server WebLogic: Hadooken in azione
I server WebLogic, sviluppati da Oracle, sono ampiamente utilizzati per gestire e distribuire applicazioni aziendali su larga scala. Tuttavia, a causa delle loro vulnerabilità, sono spesso bersagliati dagli attori delle minacce. In questo caso, l’attacco Hadooken sfrutta un sistema di honeypot per ottenere l’accesso iniziale attraverso una combinazione di vulnerabilità e password deboli. Dopo l’accesso, l’attacco si divide in più fasi che coinvolgono l’esecuzione di codice remoto, l’installazione di script shell e Python, e infine l’esecuzione del payload principale.
Il malware Hadooken utilizza una combinazione di script shell e Python per eseguire i suoi payload su server compromessi. Questi script scaricano ed eseguono il malware da directory temporanee, eliminandolo successivamente per evitare il rilevamento. La componente principale del malware include un cryptominer, progettato per sfruttare le risorse del server infetto a beneficio degli attaccanti. Una seconda componente, il malware Tsunami, non viene attivata immediatamente, ma può essere utilizzata per ulteriori attacchi in futuro.
Inoltre, Hadooken cerca di ottenere informazioni sensibili, come chiavi SSH e credenziali utente, per eseguire attacchi laterali su altri server all’interno della stessa rete. Questo movimento laterale consente agli attaccanti di diffondere ulteriormente il malware e di compromettere più risorse. Infine, i log vengono eliminati per evitare che l’attacco venga rilevato dalle misure di sicurezza.
Metodi di propagazione del Malware
Una volta che il malware Hadooken ottiene l’accesso al server WebLogic, esegue una serie di passaggi per stabilire una presenza persistente. Viene utilizzato un sistema di cron jobs per eseguire il malware a intervalli regolari, consentendo al cryptominer di funzionare in modo continuo e di mantenere il controllo del server compromesso. I file malevoli vengono nascosti in diverse directory sotto nomi comuni come /usr/bin/crondr o /mnt/-java, rendendo più difficile il loro rilevamento.
Il malware utilizza anche tecniche di offuscamento, come la codifica base64, per mascherare le sue attività e sfuggire ai controlli di sicurezza. Gli attori delle minacce dietro Hadooken non si limitano a colpire solo i server Linux, ma potrebbero prendere di mira anche sistemi Windows con il ransomware Mallox, distribuito tramite script PowerShell.
La pericolosità del malware Hadooken risiede nella sua capacità di sfruttare server WebLogic mal configurati e non aggiornati, diffondendosi lateralmente attraverso la rete e compromettendo altre risorse. Le analisi mostrano che il malware utilizza indirizzi IP associati a gruppi di minaccia come TeamTNT e Gang 8220, ma non ci sono prove definitive che li colleghino direttamente a questi attacchi.
Il malware Hadooken rappresenta una minaccia crescente per le organizzazioni che utilizzano server WebLogic non protetti. Questo attacco evidenzia l’importanza di mantenere aggiornati i sistemi e di rafforzare le misure di sicurezza, come l’uso di password forti e la protezione delle console amministrative esposte e Acquasec consiglia alle aziende di implementare soluzioni di sicurezza avanzate, come strumenti di scansione delle configurazioni e di monitoraggio runtime, per rilevare e prevenire attacchi futuri.
- Inchieste1 settimana fa
Stretta contro la disinformazione russa e WhisperGate
- Inchieste1 giorno fa
Apple sempre più in basso: crisi annunciata e pubblico deluso
- Tech1 settimana fa
IFA 2024: tutte le novità in questo speciale
- Inchieste5 giorni fa
NAFO: i propagandisti di Kiev che minacciano il Governo
- Smartphone5 giorni fa
Huawei Mate XT: il primo smartphone pieghevole tri-fold
- Tech7 giorni fa
iPhone 16 Pro Max e Galaxy Tab S10: novità tra 4K, 8K e tasto AI
- Tech1 settimana fa
Apple Watch Ultra 3, AirPods 4 e Beats: le novità attese il 9 Settembre
- Smartphone6 giorni fa
iPhone 16, Plus, Pro e Pro Max finalmente ufficiali