Connect with us

Sicurezza Informatica

Emerge la Ransomware Gang che ha colpito Denso: è Pandora

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un gruppo di hacker ha rivendicato la responsabilità del furto di informazioni aziendali sensibili da un importante fornitore di parti di ricambio del gruppo Toyota Motor Corp. e sta minacciando di rilasciare presto le informazioni online.

I funzionari della Denso Corp. hanno confermato che l’azienda ha subito un attacco ransomware sul suo centro commerciale in Germania la scorsa settimana.

Un gruppo di criminali informatici che si fa chiamare Pandora ha pubblicato una dichiarazione online il 13 marzo rivendicando la responsabilità dell’attacco. La dichiarazione è stata pubblicata sul sito del gruppo così come riportato sul profilo Twitter del ricercatore @sonoclaudio.

Pandora minaccia di rivelare pubblicamente le informazioni interne dell’azienda il 16 marzo. Sostiene di avere 1,4 terabyte di dati, costituiti da più di 157.000 informazioni, tra cui ordini di acquisto e disegni tecnici.

Denso ha detto che la società è nel bel mezzo della sua indagine su quale tipo di informazioni sono state rubate. Denso ha rifiutato di confermare se il colpevole sta chiedendo un riscatto, ma ha segnalato l’incidente alle autorità di polizia tedesche.

L’azienda si è resa conto del cyberattacco il 10 marzo quando i dipendenti hanno rilevato dei difetti nel sistema informatico, hanno detto i funzionari. L’hub di Denso in Germania supervisiona le vendite, la progettazione e lo sviluppo di parti automobilistiche.

L’azienda ha detto che non è a conoscenza di alcun danno ai suoi processi di gestione degli ordini di vendita, che vengono eseguiti in un ufficio separato. Le attività di vendita non sono state interrotte dall’attacco, ha aggiunto. Quest’ultimo cyberattacco ha seguito uno contro le sue operazioni in Messico nel mese di dicembre. Gli hacker hanno ottenuto un accesso non autorizzato al suo sistema informatico e ottenuto informazioni personali sui dipendenti Denso.

Kojima Press Industry Co, anche un fornitore di parti nella prefettura di Aichi, ha subito un guasto del sistema da un cyberattacco alla fine di febbraio, costringendo tutte le fabbriche Toyota in Giappone per essere chiuso il 1 ° marzo.

Sicurezza Informatica

APT Nordcoreane aggiornano malware BeaverTail per MacOS

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, sono stati scoperti aggiornamenti significativi al malware BeaverTail, utilizzato dalle APT nordcoreane per condurre campagne di cyber spionaggio. Questo malware è stato rilevato in un file immagine per macOS, denominato “MiroTalk.dmg”, che imita il servizio di videochiamate legittimo MiroTalk, ma serve a distribuire una variante nativa di BeaverTail.

Dettagli dell’Infezione

Il malware BeaverTail, originariamente documentato come un malware stealer JavaScript da Palo Alto Networks nel 2023, è stato ora aggiornato per includere funzionalità native per macOS. Questo aggiornamento è stato rilevato da Patrick Wardle, un ricercatore di sicurezza, che ha analizzato il file immagine “MiroTalk.dmg” non firmato.

L’infezione avviene attraverso un’app trojanizzata di nome “MiroTalk”, che una volta eseguita, tenta di esfiltrare dati sensibili dai browser web, portafogli di criptovalute e dal portachiavi di iCloud. Inoltre, è progettata per scaricare ed eseguire ulteriori script Python dal server remoto, come il backdoor InvisibleFerret.

Analisi Tecnica di MiroTalk.dmg

L’analisi statica del file immagine ha rivelato che il malware raccoglie informazioni sensibili da browser come Google Chrome, Brave e Opera, e tenta di esfiltrare questi dati al server di comando e controllo 95.164.17.24. Il malware cerca anche di scaricare ed eseguire ulteriori payload Python, come InvisibleFerret, per mantenere l’accesso remoto persistente.

Wardle ha sottolineato che, nonostante le tecniche di hacking nordcoreane si basino spesso sull’ingegneria sociale, sono comunque molto efficaci. Ha anche menzionato l’uso di strumenti open-source come BlockBlock e LuLu, che possono aiutare a bloccare queste minacce anche senza una conoscenza preliminare.

Campagne di Phishing e altre attività maligne

Il malware BeaverTail è stato distribuito in passato attraverso pacchetti npm falsi ospitati su GitHub e il registro npm, ma le ultime scoperte indicano un cambiamento nel vettore di distribuzione. Gli hacker nordcoreani hanno probabilmente invitato le vittime a partecipare a incontri di assunzione scaricando e eseguendo una versione infetta di MiroTalk ospitata su mirotalk[.]net.

Inoltre, Phylum ha recentemente scoperto un nuovo pacchetto npm malevolo denominato call-blockflow, sospettato di essere opera del gruppo Lazarus, collegato alla Corea del Nord. Questo pacchetto, quasi identico al legittimo call-bind, incorpora funzionalità per scaricare file binari remoti, eseguirli e poi coprire le tracce cancellando e rinominando i file.

Gli hacker nordcoreani continuano a rappresentare una minaccia significativa per gli utenti macOS, utilizzando tecniche sofisticate e social engineering per distribuire malware come BeaverTail. Gli utenti sono invitati a rimanere vigili e utilizzare strumenti di sicurezza adeguati per proteggere i propri sistemi.

Prosegui la lettura

Sicurezza Informatica

FIN7: nuovi attacchi e strumenti automatizzati

Pubblicato

in data

Tempo di lettura: 3 minuti.

FIN7, noto gruppo di cybercriminali, continua a evolversi e rafforzare le sue operazioni con nuovi bypass EDR (Endpoint Detection and Response) e attacchi automatizzati. Originario della Russia e attivo dal 2012, il gruppo ha causato ingenti perdite finanziarie in vari settori industriali. Negli ultimi anni, ha spostato il focus verso le operazioni ransomware, affiliandosi con gruppi come REvil e Conti e lanciando programmi RaaS (Ransomware-as-a-Service) come Darkside e BlackMatter.

Operazioni Sotterranee di FIN7

FIN7 utilizza pseudonimi multipli per mascherare la propria identità e mantenere le operazioni criminali nel mercato clandestino. Recentemente, è stato osservato l’uso di attacchi SQL automatizzati per sfruttare le applicazioni pubbliche. Uno degli strumenti principali sviluppati da FIN7 è AvNeutralizer (noto anche come AuKill), un tool altamente specializzato per manipolare le soluzioni di sicurezza. Questo strumento è stato commercializzato nel mercato criminale sotterraneo ed è stato utilizzato da diversi gruppi ransomware.

FIN7 ha dimostrato una notevole adattabilità, utilizzando campagne di phishing sofisticate e tecniche di ingegneria sociale per ottenere accesso iniziale alle reti aziendali. Ha creato aziende di sicurezza fraudolente, come Combi Security e Bastion Secure, per ingannare i ricercatori di sicurezza e lanciare attacchi ransomware. Nonostante gli arresti di alcuni membri, le attività di FIN7 sono continuate, suggerendo cambiamenti nelle tecniche, tattiche e procedure (TTP) o la formazione di gruppi scissionisti.

Strumenti e Tecniche di FIN7

L’arsenale di FIN7 comprende strumenti come Powertrash, Diceloader, Core Impact e un backdoor basato su SSH. Powertrash è uno script PowerShell pesantemente offuscato, progettato per caricare riflessivamente un file PE incorporato in memoria, permettendo al gruppo di eseguire payload backdoor furtivamente. Diceloader, noto anche come Lizar o IceBot, è una backdoor minima che consente agli attaccanti di stabilire un canale di controllo. Core Impact è uno strumento di penetration testing utilizzato per attività di sfruttamento. Infine, il backdoor basato su SSH viene utilizzato per mantenere la persistenza sui sistemi compromessi.

Commercializzazione e impatti di AvNeutralizer

AvNeutralizer è stato osservato per la prima volta in attacchi condotti dal gruppo ransomware Black Basta nel 2022. Successivamente, è stato utilizzato da altri gruppi ransomware, tra cui AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. AvNeutralizer utilizza tecniche combinate per creare una condizione di denial of service (DoS) in alcune implementazioni di processi protetti, sfruttando il driver TTD Monitor Driver (ProcLaunchMon.sys) e versioni aggiornate del driver Process Explorer.

Il gruppo ha utilizzato pseudonimi come “goodsoft”, “lefroggy”, “killerAV” e “Stupor” per vendere AvNeutralizer su forum di hacking in lingua russa dal 2022, con prezzi variabili tra $4.000 e $15.000. L’uso di multiple identità e la collaborazione con altri enti criminali rendono difficile l’attribuzione delle attività di FIN7 e dimostrano le sue strategie operative avanzate.

Innovazioni e Minacce di FIN7

FIN7 continua a innovare, sviluppando tecniche sofisticate per eludere le misure di sicurezza. La commercializzazione dei suoi strumenti nei forum sotterranei criminali aumenta significativamente l’impatto del gruppo. Le recenti scoperte di SentinelOne mostrano che FIN7 ha aggiornato AvNeutralizer con nuove capacità, rendendolo uno strumento prezioso per i gruppi ransomware.

La continua evoluzione di FIN7 e la sua capacità di adattamento alle difese avanzate rappresentano una minaccia significativa per le imprese in tutto il mondo. Gli esperti di sicurezza devono rimanere vigili e aggiornati sulle ultime tattiche e strumenti utilizzati da questo gruppo di cybercriminali.

Prosegui la lettura

Sicurezza Informatica

Cisco: aggiornamenti sulle vulnerabilità e misure di sicurezza

Pubblicato

in data

Cisco logo
Tempo di lettura: 2 minuti.

Cisco ha recentemente rilasciato aggiornamenti di sicurezza per affrontare diverse vulnerabilità nei suoi prodotti. Questi aggiornamenti sono cruciali per garantire la protezione dei sistemi contro potenziali minacce. Ecco una panoramica dettagliata delle vulnerabilità trattate e delle soluzioni proposte da Cisco.

Vulnerabilità di Caricamento Arbitrario di File in Cisco Identity Services Engine

Leggi l’avviso completo

Cisco ha identificato una vulnerabilità nel Cisco Identity Services Engine (ISE) che potrebbe consentire il caricamento arbitrario di file. Questo difetto potrebbe permettere a un attaccante di caricare file dannosi nel sistema, compromettendo la sicurezza.

Versioni Interessate e Risoluzioni:

  • 3.0 e versioni precedenti: Migrare a una versione corretta.
  • 3.1: Risolto in 3.1P10 (Gennaio 2025).
  • 3.2: Risolto in 3.2P7 (Settembre 2024).
  • 3.3: Risolto in 3.3P3.

Cisco raccomanda di aggiornare alla versione corretta per mitigare il rischio associato a questa vulnerabilità.

Vulnerabilità della Chiave Statica nel Cisco Intelligent Node Software

Leggi l’avviso completo

Una vulnerabilità nel Cisco Intelligent Node Software può permettere l’uso di chiavi crittografiche statiche, compromettendo la sicurezza dei dati.

Versioni Interessate e Risoluzioni:

  • 3.1.2 e versioni precedenti: Risolto in 4.0.0.
  • 23.1 e versioni precedenti (iNode Manager): Risolto in 24.1.

L’aggiornamento alle versioni fisse è essenziale per prevenire possibili compromissioni.

Vulnerabilità di Redirect Aperto nella Serie Cisco Expressway

Leggi l’avviso completo

Un difetto nella serie Cisco Expressway potrebbe consentire attacchi di redirect aperti, portando gli utenti a siti malevoli.

Versioni Interessate e Risoluzioni:

  • Versioni precedenti alla 15: Migrare a una versione corretta.
  • 15: Risolto in 15.0.2.

L’aggiornamento è necessario per evitare potenziali attacchi di phishing.

Vulnerabilità di Iniezione di Template Server-Side nel Cisco Secure Email Gateway

Leggi l’avviso completo

Una vulnerabilità nel Cisco Secure Email Gateway può permettere l’iniezione di codice dannoso tramite template server-side.

Versioni Interessate e Risoluzioni:

  • 14.2 e versioni precedenti: Risolto in 14.2.3-027.
  • 15.0: Risolto in 15.0.0-097.
  • 15.5: Non vulnerabile.

L’aggiornamento alla versione corretta è cruciale per mantenere la sicurezza del sistema.

Vulnerabilità di Scrittura Arbitraria di File nel Cisco Secure Email Gateway

Leggi l’avviso completo

Un’altra vulnerabilità nel Cisco Secure Email Gateway permette la scrittura arbitraria di file, con potenziali conseguenze di sicurezza.

Versioni Interessate e Risoluzioni:

  • AsyncOS 15.5.1-055 e successivi: Risolto.

Vulnerabilità di Cambio Password nel Cisco Smart Software Manager On-Prem

Leggi l’avviso completo

Una vulnerabilità nel Cisco Smart Software Manager On-Prem può permettere cambi di password non autorizzati.

Versioni Interessate e Risoluzioni:

  • 8-202206 e versioni precedenti: Risolto in 8-202212.
  • 9: Non vulnerabile.
Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica2 ore fa

Addio Kaspersky: aggiornamenti gratuiti per sei mesi negli USA

Tempo di lettura: 2 minuti. Kaspersky, azienda di sicurezza informatica russa, sta offrendo ai suoi clienti statunitensi sei mesi di...

Cisco logo Cisco logo
Sicurezza Informatica17 ore fa

Vulnerabilità Cisco: aggiornamenti critici e raccomandazioni

Tempo di lettura: 2 minuti. Cisco ha recentemente pubblicato una serie di advisory di sicurezza riguardanti diverse vulnerabilità critiche nei...

CISA logo CISA logo
Sicurezza Informatica17 ore fa

CISA: vulnerabilità Magento, VMware, SolarWinds e ICS

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiornato il suo catalogo delle vulnerabilità...

Sicurezza Informatica18 ore fa

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Tempo di lettura: 2 minuti. Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi...

Sicurezza Informatica3 giorni fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica5 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica5 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica5 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica5 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica5 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

Truffe recenti

Inchieste1 settimana fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Smartphone49 minuti fa

Galaxy Z Fold 7 Slim sarà spesso quanto un S24 Ultra

Tempo di lettura: 2 minuti. Samsung sta sviluppando nuovi modelli di smartphone pieghevoli e ha recentemente annunciato alcune novità importanti...

Smartphone1 ora fa

Nubia Z60 Ultra Leading Version e Z60S Pro: lancio Imminente

Tempo di lettura: 2 minuti. Nubia, il brand di proprietà di ZTE, si prepara al lancio globale due dei suoi...

Smartphone2 ore fa

Aggiornamento luglio 2024 per Galaxy A14 5G e S24

Tempo di lettura: 2 minuti. Samsung ha iniziato a distribuire l’aggiornamento di sicurezza di luglio 2024 per diversi modelli di...

Intelligenza Artificiale17 ore fa

Nuovo metodo di Intelligenza Artificiale per creare “Impronte” dei Materiali

Tempo di lettura: 2 minuti. Un team di scienziati presso il laboratorio nazionale Argonne ha sviluppato un nuovo metodo basato...

Smartphone18 ore fa

Realme 13 Pro 5G: specifiche rivelate prima del lancio

Tempo di lettura: 3 minuti. Realme è pronta al lancio il Realme 13 Pro 5G, che promette di essere uno...

Smartphone18 ore fa

Samsung rivela One UI 7 e migliora la sicurezza con One UI 6.1.1

Tempo di lettura: 2 minuti. Samsung sta preparando il lancio di One UI 7, che promette di essere uno degli...

Tech18 ore fa

Novità su AMD, Snapdragon e la compatibilità con Linux

Tempo di lettura: 3 minuti. Le ultime notizie nel campo della tecnologia includono importanti sviluppi da parte di AMD, Qualcomm...

VirtualBox VirtualBox
Tech19 ore fa

VirtualBox 7.0.20: manutenzione e aggiornamenti

Tempo di lettura: < 1 minuto. VirtualBox 7.0.20, rilasciato il 16 luglio 2024, è un aggiornamento di manutenzione che introduce...

Smartphone23 ore fa

Samsung lancia il Galaxy M35 5G in India

Tempo di lettura: 2 minuti. Samsung ha ufficialmente lanciato il Galaxy M35 5G in India, poco dopo il suo debutto...

Tech24 ore fa

Audacity 3.6.0: novità e miglioramenti

Tempo di lettura: 2 minuti. Audacity, il popolare software di editing audio open-source, ha rilasciato la versione 3.6.0 con numerose...

Tendenza