Sicurezza Informatica
Perchè l’OSINT è vitale nella lotta al CSAM
Tempo di lettura: 3 minuti. Scopri come la collaborazione pubblica nella campagna “Trace an Object” di Europol ha salvato 26 bambini vittime di abusi sessuali.
La campagna di Europol “Trace an Object” ha portato all’identificazione e al salvataggio di 26 bambini vittime di abusi sessuali grazie alle segnalazioni fornite dal pubblico che hanno permesso alle autorità nazionali di identificare e perseguire cinque colpevoli di abusi su minori attraverso tecniche di OSINT. Inoltre, queste segnalazioni hanno aiutato gli investigatori a determinare il paese di origine del materiale abusivo in 127 casi.
Perchè l’OSINT collettivo è vitale contro il CSAM?
OSINT, acronimo di Open Source Intelligence, si riferisce alla raccolta e all’analisi di informazioni disponibili pubblicamente da fonti aperte come internet, social media, notizie, database pubblici e altre risorse accessibili al pubblico. Questo tipo di intelligence sfrutta le informazioni che non sono classificate o segrete, ma che richiedono capacità analitiche per essere estratte e interpretate correttamente.
Nella lotta contro il CSAM (Child Sexual Abuse Material), l’OSINT può svolgere un ruolo cruciale in diversi modi. Ad esempio, gli investigatori possono utilizzare tecniche OSINT per monitorare e analizzare i social media e altri spazi online alla ricerca di attività sospette o di contenuti illegali. Possono anche identificare e tracciare le reti di distribuzione di CSAM, individuando gli utenti coinvolti e le piattaforme utilizzate per la condivisione di tali materiali.
Inoltre, l’OSINT può aiutare le forze dell’ordine a raccogliere prove e costruire casi contro i perpetratori di abusi, contribuendo a localizzare le vittime e i colpevoli. L’analisi delle informazioni provenienti da fonti aperte può rivelare connessioni tra individui e gruppi, permettendo un’azione coordinata per interrompere le reti di distribuzione di CSAM. In sintesi, l’OSINT è uno strumento potente che, se usato efficacemente, può migliorare significativamente gli sforzi globali per combattere lo sfruttamento sessuale dei minori online.
In totale, sono state ricevute quasi 28.000 segnalazioni dal pubblico, ma ne sono necessarie ancora di più. Ogni informazione è preziosa, poiché può aiutare le autorità di polizia a identificare e localizzare i bambini, a volte anche di soli tre anni, e a sottrarli a situazioni di abuso in corso.
Aumento del CSAM
La produzione e la distribuzione di materiale abusivo sessuale su minori dipendono sempre più da Internet, contribuendo alla proliferazione di questo crimine. Negli ultimi tre anni, il database di immagini e video di Europol è cresciuto di oltre il 20%. Oggi, una fotocamera del telefono ha sostituito i complessi set di ripresa del passato, permettendo ai colpevoli di produrre e distribuire materiale quasi contemporaneamente. Utilizzano applicazioni con crittografia end-to-end per scambiare materiale abusivo. Le piattaforme di live-streaming facilitano gli abusi sessuali su minori in diretta, mentre le applicazioni crittografate permettono la comunicazione tra trafficanti e acquirenti.
Questi avanzamenti tecnologici ostacolano gli sforzi degli investigatori per identificare vittime e colpevoli. Inoltre, le immagini generate dall’IA complicano ulteriormente gli sforzi per proteggere i bambini. L’uso della crittografia da parte dei colpevoli e il materiale abusivo generato dall’IA evidenziano come gli sviluppi tecnologici pongano ulteriori sfide alle forze dell’ordine nel garantire la sicurezza pubblica.
Necessità di Contributi Pubblici
L’aumento esponenziale del materiale abusivo sessuale online richiede nuove strategie e tecniche per combattere questo crimine. La cooperazione tra attori privati e pubblici è cruciale per superare le sfide digitali poste dall’uso criminale delle nuove tecnologie. Le forze dell’ordine stanno esplorando nuove tecnologie per aiutare a elaborare la vasta quantità di immagini e video, identificare serie di immagini che ritraggono lo stesso bambino e restringere il paese di produzione per trovare i colpevoli e i bambini, alcuni dei quali sono ancora in pericolo.
Nonostante questi sforzi, molte vittime rimangono non identificate. Gli specialisti dell’identificazione delle vittime esaminano immagini e video fotogramma per fotogramma per trovare qualsiasi elemento che possa condurre all’origine, alla posizione o all’identità della vittima. Alcuni elementi di sfondo, come strade, programmi televisivi o loghi, sono facilmente riconoscibili, mentre altri sono difficili e specifici per paese. L’assistenza del pubblico tramite segnalazioni inviate attraverso la campagna Trace an Object, spesso fatte da volontari esperti di OSINT, può aiutare gli specialisti dell’identificazione delle vittime di Europol e le autorità di polizia nazionali a restringere l’immagine a un paese, identificare il colpevole e, infine, salvare un bambino: un appello al contrasto della produzione di CSAM che è solo la punta dell’iceberg di abusi tremendi sui minori.
Sicurezza Informatica
Kaspersky: addio agli usa con UltraAV
Tempo di lettura: 2 minuti. Kaspersky si disinstalla automaticamente dai computer statunitensi, installando UltraAV senza preavviso, come parte del ritiro dal mercato USA.
La società russa di cybersecurity Kaspersky ha iniziato, giovedì scorso, a rimuovere automaticamente il suo software antivirus dai computer degli utenti statunitensi, sostituendolo con l’antivirus UltraAV, senza preavviso. Questa azione arriva dopo che Kaspersky ha deciso di cessare le sue operazioni negli Stati Uniti, in seguito all’inclusione dell’azienda nella Entity List del governo statunitense, a causa di preoccupazioni per la sicurezza nazionale.
Passaggio forzato a UltraAV senza avviso
La transizione a UltraAV è stata avviata come parte del ritiro di Kaspersky dal mercato statunitense, seguendo il divieto di vendita e aggiornamento del software antivirus Kaspersky a partire dal 29 settembre 2024, imposto dall’amministrazione Biden. Tuttavia, molti utenti hanno segnalato che Kaspersky si è disinstallato automaticamente dai loro dispositivi, installando UltraAV senza alcuna notifica preventiva. Alcuni utenti hanno anche scoperto che, dopo aver tentato di disinstallare UltraAV, questo si reinstallava automaticamente al riavvio del sistema, alimentando ulteriori preoccupazioni sulla possibilità di infezioni malware.
In alcuni casi, è stato installato anche UltraVPN, probabilmente a causa di abbonamenti VPN precedentemente attivi con Kaspersky. Gli utenti hanno espresso preoccupazione e confusione, riportando i loro problemi sui forum online, temendo che i loro dispositivi fossero stati compromessi da un virus.
Ruolo di UltraAV e la collaborazione di Kaspersky
Secondo quanto dichiarato, Kaspersky ha collaborato con UltraAV per garantire la continuità della protezione dei propri utenti negli Stati Uniti, evitando interruzioni nel servizio di sicurezza. La decisione è stata giustificata con la necessità di proteggere i clienti da rischi legati alla cybercriminalità, visto che Kaspersky non sarà più in grado di fornire aggiornamenti o supporto dal 30 settembre 2024. Gli utenti interessati sono stati incoraggiati a consultare la pagina dedicata sul sito di UltraAV per ulteriori informazioni su questa transizione forzata.
Sicurezza Informatica
Kryptina RaaS: da tool scartato a ransomware aziendale
Tempo di lettura: 2 minuti. Kryptina, da strumento open-source gratuito a elemento chiave negli attacchi ransomware di Mallox contro le aziende.
Il mercato dei ransomware ha subito una trasformazione notevole negli ultimi anni, con strumenti che inizialmente venivano ignorati diventati ora elementi chiave in attacchi su larga scala. È il caso di Kryptina, un Ransomware-as-a-Service (RaaS) inizialmente offerto come strumento open-source e gratuito, che è diventato parte integrante degli attacchi informatici enterprise, grazie soprattutto alla sua integrazione con il famigerato gruppo ransomware Mallox.
L’evoluzione di Kryptina: un salto inatteso
Kryptina, originariamente pubblicato nel 2023, era progettato per essere un RaaS basato su Linux con tutte le funzionalità necessarie per lanciare campagne ransomware, inclusa la gestione dei payload, la configurazione dei pagamenti e l’organizzazione di attacchi. Nonostante queste funzionalità, inizialmente il tool non ha suscitato grande interesse tra gli attori malevoli, fino a quando, nel maggio 2024, un affiliato del gruppo ransomware Mallox ha rivelato l’esistenza di varianti Linux basate proprio su Kryptina.
Questo affiliato ha modificato leggermente il codice sorgente di Kryptina, rimuovendo il branding originale, ma mantenendo intatte le principali funzionalità. Queste modifiche hanno permesso al malware di evolversi, da tool scartato a strumento essenziale per attacchi a grandi aziende.
L’adozione da parte di Mallox: Ransomware su misura
Mallox, noto anche come TargetCompany, è un gruppo ransomware che ha iniziato a operare nel 2021 e si è concentrato su attacchi a grandi imprese, sfruttando vulnerabilità critiche, come quelle in MS SQL Server. L’adozione di Kryptina da parte di questo gruppo dimostra la crescente tendenza alla “commoditizzazione” degli strumenti ransomware. Gli affiliati di Mallox hanno utilizzato Kryptina per creare varianti specifiche per Linux, sfruttando le sue capacità di crittografia e distribuzione di payload attraverso campagne altamente mirate.
Il codice sorgente di Kryptina 2.2, originariamente offerto a 500 dollari e successivamente reso gratuito, è stato modificato per adattarsi alle esigenze di Mallox. Il gruppo ha mantenuto intatta la struttura di base, compresa l’implementazione della crittografia AES-256, ma ha rimosso ogni riferimento all’autore originale del tool, Corlys, per renderlo più “anonimo”.
Tecniche di crittografia e funzionalità di Kryptina
Il cuore del ransomware Mallox, basato su Kryptina, utilizza la crittografia AES-256 in modalità CBC per crittografare i file delle vittime. Le chiavi di crittografia sono offuscate tramite XOR e codificate in Base64, con i file crittografati che vengono poi distribuiti attraverso una rete di server di comando e controllo (C2). Le funzioni principali, come krptna_process_file()
, sono state mantenute nel codice sorgente modificato, confermando che l’intera architettura crittografica di Kryptina è stata riutilizzata senza alterazioni significative.
Le modifiche effettuate dagli affiliati
Gli affiliati di Mallox hanno apportato alcune modifiche alla documentazione originale di Kryptina, traducendola in russo e riducendo il contenuto originale, rendendolo più essenziale per gli attacchi. Anche il template per le note di riscatto è stato aggiornato per riflettere il marchio Mallox, sostituendo ogni riferimento a Kryptina.
Le implicazioni per la Sicurezza Aziendale
L’adozione di strumenti come Kryptina da parte di gruppi ransomware affiliati come Mallox rappresenta una minaccia significativa per le imprese. La facilità con cui il codice open-source può essere modificato e utilizzato per lanciare attacchi su larga scala rende più difficile tracciare e contrastare queste minacce. Le aziende secondo Sentinel Labs, autore della ricerca, devono essere consapevoli di questa evoluzione nel panorama dei ransomware e implementare strategie di difesa proattive per prevenire attacchi basati su strumenti come Kryptina.
Sicurezza Informatica
Necro Trojan ha infettato 11 milioni di dispositivi su Google Play
Tempo di lettura: 2 minuti. Il Necro Trojan infetta app su Google Play e mod non ufficiali di Spotify e WhatsApp, minacciando milioni di dispositivi Android.
Negli ultimi mesi, il Necro Trojan è tornato a diffondersi tramite Google Play e attraverso modifiche non ufficiali di applicazioni popolari come Spotify e WhatsApp. Questo malware avanzato sfrutta tecniche di steganografia e offuscamento per nascondersi nei file delle applicazioni, eludere i controlli di sicurezza e infettare milioni di dispositivi Android. In questo articolo, esploreremo come questo trojan si è evoluto e quali applicazioni sono state compromesse.
Necro Trojan infetta Google Play: una nuova minaccia
Il Necro Trojan, noto anche come loader multi-stadio, è tornato alla ribalta infettando app su Google Play, tra cui la popolare Wuta Camera e Max Browser. Queste applicazioni, scaricate da milioni di utenti, hanno incluso il Necro Trojan a partire da specifiche versioni. Questo malware, nascosto all’interno di moduli pubblicitari o SDK, è in grado di eseguire diverse operazioni dannose. Tra le azioni principali vi sono l’installazione di altre app, l’esecuzione di codice arbitrario, l’iscrizione a servizi a pagamento e la creazione di tunnel attraverso il dispositivo infetto.
L’infezione è stata scoperta quando i ricercatori hanno individuato che il Necro loader sfrutta tecniche di steganografia per nascondere il payload all’interno di immagini PNG. Queste immagini vengono scaricate in background, estraendo dati crittografati per attivare il malware senza allertare l’utente. Dopo essere stato segnalato, Google ha rimosso le versioni infette di Wuta Camera e Max Browser dal Play Store, ma il problema rimane nei mod di applicazioni scaricabili da fonti non ufficiali.
Modifiche non ufficiali di Spotify e WhatsApp infette dal Necro Trojan
Una delle principali modalità di diffusione del Necro Trojan è rappresentata dalle modifiche non ufficiali di applicazioni popolari, in particolare Spotify Plus e versioni modificate di WhatsApp. Questi mod sono spesso distribuiti su siti web non verificati, con la promessa di offrire funzionalità aggiuntive rispetto alle versioni ufficiali. Tuttavia, come dimostrato dalla recente scoperta del mod Spotify Plus infetto, queste versioni contengono pericolosi malware.
Nel caso di Spotify Plus, la versione 18.9.40.5 include un SDK pubblicitario che invia dati crittografati a un server di comando e controllo (C2), il quale a sua volta restituisce un payload nascosto tramite steganografia. Una volta attivato, il trojan è in grado di eseguire diverse azioni dannose secondo Kaspersky, inclusa la visualizzazione di pubblicità invisibili, la manipolazione delle impostazioni di rete e l’accesso a informazioni sensibili sul dispositivo dell’utente.
Le versioni modificate di WhatsApp distribuite su siti non ufficiali, come il mod con nome pacchetto com.leapzip.animatedstickers.maker.android, contengono anch’esse il Necro Trojan. Questi mod sono in grado di scaricare ed eseguire file JAR nascosti, consentendo al trojan di eseguire codice arbitrario e compromettere ulteriormente la sicurezza del dispositivo.
- Intelligenza Artificiale1 settimana fa
Scoperta rivoluzionaria: molecole trasformano il futuro del calcolo
- Sicurezza Informatica7 giorni fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste2 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica4 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Sicurezza Informatica3 giorni fa
Lazarus continua con offerte di lavoro
- Sicurezza Informatica3 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti
- Sicurezza Informatica7 giorni fa
23andMe paga 30 milioni per risolvere causa databreach