Sicurezza Informatica
Sanzioni contro l’amministratore di LockBit
Tempo di lettura: 2 minuti. Nuove sanzioni globali contro l’amministratore di LockBit per crimini ransomware e azioni legali in corso.
In un recente sviluppo internazionale, autorità del Regno Unito, Stati Uniti e Australia hanno rivelato la seconda fase dell’Operazione Cronos contro LockBit, una delle operazioni di ransomware più pervasive al mondo con sanzioni. Il russo identificato come amministratore e sviluppatore di LockBit è ora soggetto a congelamenti di beni e divieti di viaggio imposti dal Foreign, Commonwealth and Development Office del Regno Unito, dall’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli USA e dal Dipartimento degli Affari Esteri e del Commercio dell’Australia.
Dettagli dell’accusa
Negli Stati Uniti, è in corso un’accusa contro l’amministratore di LockBit, che include l’accusa di aver creato, sviluppato e gestito il ransomware LockBit. Le indagini hanno rivelato che LockBit ha condotto oltre 7,000 attacchi tra giugno 2022 e febbraio 2024, con i maggiori impatti registrati negli Stati Uniti, Regno Unito, Francia, Germania e Cina. Questi attacchi hanno utilizzato i servizi offerti da LockBit, dimostrando l’ampio raggio di azione del gruppo nel cyber crimine.
Supporto alle vittime e strumenti di decrittazione
Le forze dell’ordine hanno ora in possesso oltre 2,500 chiavi di decrittazione e stanno continuando a contattare le vittime di LockBit per offrire supporto. Inoltre, Europol ha distribuito circa 3,500 pacchetti di intelligenza alle vittime in 33 paesi. Strumenti di decrittazione sono stati sviluppati e resi disponibili gratuitamente sul portale No More Ransom, disponibile in 37 lingue.
Sito di perdite controllato dalla NCA
Dopo aver preso il controllo nel febbraio, il sito di perdite del gruppo ransomware sul dark web è stato riprogettato dalle forze dell’ordine per ospitare una serie di articoli che espongono le diverse azioni intraprese contro LockBit. Il sito controllato dalla NCA è nuovamente utilizzato per ospitare una gamma di informazioni che espongono il gruppo criminale.
Operazione Taskforce Cronos
L’operazione internazionale Cronos Taskforce continua a mirare e a interrompere il ransomware LockBit, con il coinvolgimento di numerose autorità internazionali, tra cui la National Crime Agency (NCA) del Regno Unito, l’FBI e la polizia nazionale di diversi paesi europei e non solo.
Le azioni intraprese rappresentano un importante passo avanti nella lotta globale contro il cyber crimine, dimostrando un impegno internazionale nella lotta al ransomware e alle sue ramificazioni. Queste misure mirano a indebolire significativamente la capacità e la credibilità del gruppo ransomware LockBit, segnando un progresso significativo nella sicurezza cybernetica globale.
Sicurezza Informatica
Automattic Blocca WP Engine: Accesso Limitato alle Risorse di WordPress.org
Tempo di lettura: 3 minuti. Automattic ha bloccato WP Engine dall’accesso alle risorse di WordPress.org, creando tensioni nella comunità di WordPress e sfide per gli utenti dell’hosting.
Un’importante notizia nel mondo di WordPress è emersa recentemente: Automattic, la società dietro WordPress.com, ha deciso di bloccare l’accesso di WP Engine alle risorse di WordPress.org, inclusi temi e plugin ufficiali. Questa mossa ha creato tensione all’interno della comunità di WordPress, in quanto WP Engine è uno dei maggiori servizi di hosting WordPress, e questo blocco potrebbe avere un impatto significativo su clienti e sviluppatori.
Cosa ha portato al blocco di WP Engine
Il blocco dell’accesso di WP Engine a WordPress.org è dovuto a controversie riguardo all’utilizzo eccessivo delle risorse di WordPress.org, da parte di WP Engine, che secondo Automattic ha causato un impatto negativo sulle prestazioni del sito principale e dei suoi servizi. WP Engine, in quanto servizio di hosting che fornisce soluzioni gestite per siti WordPress, si è trovato in conflitto con le politiche di Automattic riguardo all’uso delle risorse, inclusi l’accesso ai temi e plugin ospitati su WordPress.org.
Il blocco e le conseguenze per WP Engine
A seguito della decisione di Automattic, WP Engine non ha più accesso diretto alle risorse di WordPress.org, il che significa che l’hosting non può più accedere automaticamente a temi, plugin e aggiornamenti direttamente dal repository ufficiale di WordPress. Questa situazione potrebbe creare diversi disagi per gli utenti di WP Engine che dipendono dai temi e plugin aggiornati costantemente attraverso WordPress.org.
Gli utenti di WP Engine potrebbero ora dover cercare modi alternativi per ottenere aggiornamenti e risorse, come installare manualmente plugin e temi, il che aumenta la complessità della gestione del proprio sito. Questa situazione potrebbe influire sulla sicurezza dei siti WordPress ospitati su WP Engine, in quanto gli aggiornamenti rapidi e automatici sono essenziali per prevenire vulnerabilità e mantenere i siti sicuri.
Le prospettive e la reazione di WP Engine
WP Engine ha dichiarato di essere consapevole della situazione e di star lavorando per trovare una soluzione con Automattic. Il team di WP Engine sta cercando di negoziare per ristabilire l’accesso alle risorse di WordPress.org e garantire un servizio continuo e di qualità ai propri clienti. La reazione della società sembra focalizzata sul mantenere una buona relazione con WordPress e assicurare che i propri clienti non risentano degli effetti di questo blocco.
D’altro canto, Automattic si è mostrata ferma nella sua posizione, sostenendo la necessità di gestire le risorse di WordPress.org in modo responsabile e garantire che tutti i servizi che vi accedono rispettino le regole e non creino carichi eccessivi sulle infrastrutture.
Impatto sulla comunità di WordPress
Questa controversia ha un impatto significativo sulla comunità di WordPress, sia per gli sviluppatori che per gli utenti finali. Da una parte, gli sviluppatori di plugin e temi che ospitano le loro risorse su WordPress.org potrebbero risentire di una riduzione della visibilità tra gli utenti WP Engine. Dall’altra, gli utenti finali che ospitano i loro siti su WP Engine potrebbero dover affrontare sfide nella gestione dei loro siti, soprattutto per quanto riguarda la sicurezza e gli aggiornamenti.
Nel più ampio contesto della comunità di WordPress, questa disputa sottolinea la tensione che può nascere tra i servizi di hosting e i fornitori di risorse e piattaforme. La dipendenza dalle risorse centralizzate di WordPress.org e le regole che ne disciplinano l’accesso giocano un ruolo chiave nel mantenere l’ecosistema in equilibrio.
Un equilibrio da ristabilire
Il blocco di WP Engine da parte di Automattic segna un punto di tensione nell’ecosistema WordPress, evidenziando la necessità di equilibrare le risorse condivise tra host e fornitori di servizi. Mentre WP Engine lavora per ripristinare l’accesso alle risorse di WordPress.org, la comunità di WordPress resta in attesa di vedere come questa disputa verrà risolta e come influenzerà la gestione dei siti ospitati su WP Engine.
Sicurezza Informatica
Keylogger e backdoor di Kimsuky: nuove minacce
Tempo di lettura: 3 minuti. Una nuova variante del malware Kimsuky combina keylogging e backdoor per attacchi mirati con capacità avanzate
L’unità di ricerca di Palo Alto Networks, Unit 42, ha recentemente analizzato una nuova variante del keylogger e della backdoor sviluppati dal gruppo di minacce avanzate persistenti (APT) nordcoreano noto come Kimsuky. Questo gruppo è conosciuto per operazioni di spionaggio informatico a livello globale, principalmente contro enti governativi, organizzazioni di ricerca e altri obiettivi strategici. La nuova variante presenta miglioramenti significativi sia nelle sue capacità di raccolta dati che nei metodi di elusione dei sistemi di sicurezza. Vediamo più da vicino cosa rende questa nuova minaccia così pericolosa e come opera.
Chi è Kimsuky?
Kimsuky è un gruppo di cyber spionaggio nordcoreano che ha operato per anni contro una varietà di obiettivi, principalmente in Corea del Sud, Stati Uniti, Europa e Giappone. L’obiettivo principale di questo gruppo è lo spionaggio politico e militare, prendendo di mira enti governativi, istituzioni di ricerca, gruppi di analisi politica e diplomatici. Kimsuky è noto per l’utilizzo di malware personalizzati e tecniche di phishing mirato per ottenere accesso a dati sensibili.
Il gruppo ha una storia consolidata nell’uso di keylogger e backdoor per mantenere un accesso persistente alle reti compromesse. Le loro attività includono la raccolta di credenziali, lo spionaggio di comunicazioni email e il furto di documenti sensibili. La nuova variante di malware analizzata da Unit 42 presenta funzionalità avanzate che rendono il malware più efficace e difficile da rilevare.
Nuova variante del Keylogger e Backdoor
La variante appena scoperta è una combinazione di un keylogger (software progettato per registrare i tasti premuti sulla tastiera della vittima) e una backdoor (che permette all’attaccante di ottenere un accesso remoto al sistema compromesso). Questa combinazione rende la minaccia particolarmente efficace nel sottrarre informazioni sensibili come credenziali di accesso, dati personali e documenti riservati.
- Tecniche di Evasione dei Sistemi di Sicurezza: La nuova variante ha integrato tecniche di offuscamento più avanzate, rendendo il malware più difficile da individuare per i sistemi antivirus e gli strumenti di sicurezza. L’uso di metodi di offuscamento del codice e strumenti anti-analisi rende l’identificazione e la mitigazione della minaccia più complesse per i team di sicurezza.
- Capacità di Keylogging Migliorate: Il keylogger nella nuova variante è stato potenziato per essere in grado di registrare sequenze di tasti su una vasta gamma di applicazioni, inclusi i browser web e i client di posta elettronica. Questo permette agli attaccanti di sottrarre dati sensibili come credenziali di accesso, conversazioni e informazioni riservate senza che l’utente se ne accorga.
- Backdoor e Controllo Remoto: La backdoor consente agli attaccanti di controllare il sistema compromesso da remoto, raccogliendo informazioni, scaricando ulteriori malware o esfiltrando dati. La backdoor è progettata per essere persistente, quindi anche se il dispositivo viene riavviato, il malware rimane attivo e continua a funzionare.
Come viene distribuito questo malware?
La variante analizzata viene distribuita attraverso attacchi di spear-phishing, in cui email personalizzate e convincenti vengono inviate agli obiettivi mirati. Queste email spesso contengono documenti infetti o link che, una volta cliccati, installano il malware sul dispositivo della vittima. Una volta che il malware è installato, può iniziare a registrare i tasti premuti e a comunicare con il server di comando e controllo degli attaccanti, inviando i dati raccolti.
Tecniche di persuasione e Social Engineering
Kimsuky utilizza tecniche avanzate di social engineering per indurre le vittime ad aprire email e documenti infetti che insediano il keylogger. Le email di spear-phishing sono spesso progettate per sembrare provenienti da fonti legittime, come enti governativi, istituzioni accademiche o partner commerciali, aumentando la probabilità che la vittima interagisca con il contenuto dannoso.
Consigli per la sicurezza e la difesa
Per difendersi da minacce come questa variante del malware di Kimsuky, Palo Alto consiglia alle organizzazioni e agli individui di adottare misure di sicurezza informatica proattive. Ecco alcuni suggerimenti chiave:
- Formazione sulla Sicurezza Informatica: Educare il personale sulle minacce di phishing e sulle migliori pratiche per evitare email sospette.
- Implementazione di Sistemi di Sicurezza Avanzati: Utilizzare soluzioni antivirus aggiornate e sistemi di rilevamento delle minacce in grado di individuare e bloccare attività dannose.
- Aggiornamento Regolare del Software: Assicurarsi che tutti i software e i sistemi operativi siano aggiornati con le ultime patch di sicurezza per ridurre il rischio di exploit.
- Monitoraggio e Analisi delle Reti: Implementare sistemi di monitoraggio del traffico di rete per identificare attività anomale che potrebbero indicare la presenza di malware.
Minaccia in evoluzione e sempre più sofisticata
La nuova variante del keylogger e della backdoor di Kimsuky rappresenta una minaccia significativa per organizzazioni e individui. Le sue capacità avanzate e le tecniche di evasione rendono questo malware difficile da rilevare e da contrastare. Le organizzazioni che potrebbero essere obiettivi di attacchi simili devono adottare misure preventive di sicurezza informatica e mantenersi aggiornate sulle ultime minacce per difendere efficacemente i propri dati e sistemi.
Sicurezza Informatica
“SloppyLemmings” e le campagne di cyber spionaggio in Asia del Sud
Tempo di lettura: 3 minuti. L’APT SloppyLemmings sta conducendo campagne di cyber spionaggio nel Sud Asia: tecniche di attacco e come proteggersi da queste minacce.
Il recente report di Cloudflare sulla minaccia “SloppyLemmings” rivela dettagli cruciali sulle operazioni di cyber spionaggio condotte da questo gruppo di hacker nel Sud Asia. Le campagne di attacco mirano principalmente a organizzazioni governative, settori delle telecomunicazioni, infrastrutture critiche e istituti di ricerca di diversi Paesi della regione, con l’obiettivo di raccogliere informazioni sensibili. In questo articolo analizzeremo le tattiche e le tecniche utilizzate da SloppyLemmings, così come le implicazioni di queste operazioni sulla sicurezza informatica della regione.
Chi è SloppyLemmings?
SloppyLemmings è un gruppo di attori malevoli che si concentrano su operazioni di spionaggio informatico, sfruttando vulnerabilità di sistemi e infrastrutture tecnologiche. Sebbene non siano ancora del tutto chiari i loro obiettivi a lungo termine, sembra che il gruppo sia interessato principalmente a ottenere informazioni sensibili e a monitorare le attività delle istituzioni governative e delle aziende tecnologiche di rilievo nel Sud Asia.
Secondo il report di Cloudflare, SloppyLemmings utilizza una serie di tecniche avanzate per infiltrarsi nelle reti delle vittime. Le tattiche includono phishing mirato, sfruttamento di vulnerabilità note e attacchi di spear-phishing, attraverso cui il gruppo riesce a ottenere l’accesso iniziale ai sistemi delle vittime. Una volta ottenuto l’accesso, SloppyLemmings utilizza malware personalizzati per muoversi lateralmente attraverso la rete, raccogliendo informazioni e dati sensibili.
Tecniche di attacco di SloppyLemmings
SloppyLemmings si distingue per la capacità di adattare le sue tecniche di attacco in base al profilo della vittima e al contesto regionale. Ad esempio, spesso gli attacchi si concentrano su sistemi meno sicuri o non aggiornati, sfruttando vulnerabilità note ma non ancora risolte dalle organizzazioni colpite. Il gruppo utilizza inoltre tecniche di offuscamento per mascherare le sue attività, rendendo difficile l’identificazione dei suoi movimenti all’interno delle reti compromesse.
Tra le tecniche più comuni utilizzate da SloppyLemmings troviamo:
- Phishing e Spear-Phishing: Invio di email fraudolente altamente personalizzate per indurre il personale delle organizzazioni vittime a fornire credenziali di accesso o a installare malware sui propri dispositivi.
- Exploitation di Vulnerabilità: Sfruttamento di punti deboli nei sistemi software e hardware delle organizzazioni, specialmente nei sistemi con patch di sicurezza non aggiornate.
- Uso di Malware Personalizzato: Distribuzione di malware progettati per raccogliere dati specifici, monitorare le attività della rete e mantenere un accesso persistente ai sistemi compromessi.
Obiettivi di SloppyLemmings nel Sud Asia
Le attività di SloppyLemmings sono state rilevate principalmente nei Paesi del Sud Asia, tra cui India, Pakistan, Bangladesh, Sri Lanka e Afghanistan. Gli attacchi sono stati diretti principalmente contro enti governativi, agenzie di intelligence, istituzioni militari e fornitori di servizi di telecomunicazione. Questo indica che il gruppo ha un forte interesse nel monitorare le attività politiche, militari e commerciali della regione.
Gli attacchi di SloppyLemmings sembrano essere coordinati e mirati, con una forte enfasi sull’ottenere accesso a informazioni di valore strategico. La capacità del gruppo di muoversi in modo furtivo all’interno delle reti compromesse ha permesso loro di raccogliere dati sensibili senza essere rilevati per periodi prolungati.
Come difendersi dalle minacce di SloppyLemmings
La crescente attività di SloppyLemmings mette in luce l’importanza di adottare misure di sicurezza avanzate per proteggere le infrastrutture informatiche. Le organizzazioni nel Sud Asia e altrove possono seguire una serie di pratiche di sicurezza per difendersi da queste minacce:
- Aggiornamento delle Patch di Sicurezza: Mantenere tutti i sistemi software e hardware aggiornati con le ultime patch di sicurezza per prevenire l’exploit di vulnerabilità note.
- Implementazione di Strumenti Anti-Phishing: Utilizzare soluzioni di sicurezza avanzate per rilevare e bloccare tentativi di phishing e spear-phishing.
- Monitoraggio e Analisi delle Reti: Eseguire un monitoraggio costante delle attività di rete per individuare eventuali comportamenti anomali che potrebbero indicare un’intrusione.
- Formazione del Personale: Educare i dipendenti sulle tecniche di phishing e sulle pratiche di sicurezza informatica per ridurre il rischio di accessi non autorizzati.
Minaccia in continua evoluzione
Le attività di SloppyLemmings, individuate da Cloudflare, rappresentano un crescente rischio per la sicurezza informatica nella regione del Sud Asia. La loro capacità di adattarsi a diversi contesti e sfruttare vulnerabilità meno conosciute rende questo gruppo una minaccia difficile da individuare e fermare. È essenziale che le organizzazioni implementino misure di sicurezza proattive per prevenire queste incursioni e proteggere le proprie informazioni sensibili.
- Sicurezza Informatica1 settimana fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste5 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Sicurezza Informatica6 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Inchieste3 giorni fa
Metaverso Politico: Meloni è la regina del dibattito social
- Sicurezza Informatica5 giorni fa
Lazarus continua con offerte di lavoro
- Tech1 settimana fa
Windows 10 Build 19045.4955: nuovi aggiornamenti KB5043131
- Sicurezza Informatica6 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti
- Sicurezza Informatica1 settimana fa
23andMe paga 30 milioni per risolvere causa databreach