Sicurezza Informatica
Thailandia colabrodo: studenti in rivolta al grido di #banTcas dopo 23.000 dati personali esposti in rete
Il consiglio dei presidenti delle università tailandesi ha annunciato una intromissione nel suo sistema di registrazione che ha messo a dura prova la sicurezza dell’infrastruttura, esponendo i dati personali di circa 23.000 studenti messi in vendita nel dark web.
Il consiglio ha insistito sul fatto che i dati delle ammissioni trapelati, che includevano informazioni personali e risultati degli esami, erano attuali solo fino a maggio scorso, dopo la rabbia scoppiata per la violazione dei dati. #BanTCAS è stato l’hashtag che ha spopolato nel Twitter thailandese questa mattina, proprio in riferimento a quanto accaduto al Thai University Central Admission System (TCAS).
“Il sistema TCAS2022 è stato cambiato in un nuovo modello con un sito web migliorato dove i dati sensibili sono memorizzati in un formato privato che non può essere direttamente accessibile“, si legge nella dichiarazione del consiglio che ha provato a rassicurare gli studenti esposti.
I dati sono stati elencati per la vendita in un mercato online specializzato in fughe di notizie. Il set di dati include i nomi completi degli studenti, i numeri di identificazione e i risultati degli esami. Includeva anche codici che indicavano la loro priorità, l’ID della domanda, la classifica e punteggi non specificati.
“Vendo dati numero carta d’identità Thailandia 23k [mytcas.com]”, si legge nella voce del forum pubblicata martedì.
“Il numero della carta d’identità è uscito così. Come sarà responsabile? … Ve l’ho già detto, le scuse non bastano. Questo è così inefficace. Avete il coraggio di fare qualcos’altro?”, ha twittato LostinRun insieme a #BanTCAS.
Il sistema di ammissioni ha provato a calmierare gli animi minimizzando il fatto, dicendo che i record erano solo una frazione dei suoi più di 826.000 record, ma si è scusato per la violazione e ha detto che avrebbe presentato una denuncia alla polizia e al ministero IT.
Gli archivi di dati non criptati e insicuri hanno portato a un flusso costante di violazioni che hanno rivelato le informazioni personali di viaggiatori, immigrati e cittadini in tutti i settori del governo.
Proprio nel giugno 2021, un sito web per i cittadini stranieri per registrarsi per la vaccinazione ha iniziato a diffondere i loro dati privati. Anche i registri dei viaggiatori che cercavano di entrare in Thailandia alla fine dell’anno scorso erano accessibili con poco sforzo.
Sicurezza Informatica
Kryptina RaaS: da tool scartato a ransomware aziendale
Tempo di lettura: 2 minuti. Kryptina, da strumento open-source gratuito a elemento chiave negli attacchi ransomware di Mallox contro le aziende.
Il mercato dei ransomware ha subito una trasformazione notevole negli ultimi anni, con strumenti che inizialmente venivano ignorati diventati ora elementi chiave in attacchi su larga scala. È il caso di Kryptina, un Ransomware-as-a-Service (RaaS) inizialmente offerto come strumento open-source e gratuito, che è diventato parte integrante degli attacchi informatici enterprise, grazie soprattutto alla sua integrazione con il famigerato gruppo ransomware Mallox.
L’evoluzione di Kryptina: un salto inatteso
Kryptina, originariamente pubblicato nel 2023, era progettato per essere un RaaS basato su Linux con tutte le funzionalità necessarie per lanciare campagne ransomware, inclusa la gestione dei payload, la configurazione dei pagamenti e l’organizzazione di attacchi. Nonostante queste funzionalità, inizialmente il tool non ha suscitato grande interesse tra gli attori malevoli, fino a quando, nel maggio 2024, un affiliato del gruppo ransomware Mallox ha rivelato l’esistenza di varianti Linux basate proprio su Kryptina.
Questo affiliato ha modificato leggermente il codice sorgente di Kryptina, rimuovendo il branding originale, ma mantenendo intatte le principali funzionalità. Queste modifiche hanno permesso al malware di evolversi, da tool scartato a strumento essenziale per attacchi a grandi aziende.
L’adozione da parte di Mallox: Ransomware su misura
Mallox, noto anche come TargetCompany, è un gruppo ransomware che ha iniziato a operare nel 2021 e si è concentrato su attacchi a grandi imprese, sfruttando vulnerabilità critiche, come quelle in MS SQL Server. L’adozione di Kryptina da parte di questo gruppo dimostra la crescente tendenza alla “commoditizzazione” degli strumenti ransomware. Gli affiliati di Mallox hanno utilizzato Kryptina per creare varianti specifiche per Linux, sfruttando le sue capacità di crittografia e distribuzione di payload attraverso campagne altamente mirate.
Il codice sorgente di Kryptina 2.2, originariamente offerto a 500 dollari e successivamente reso gratuito, è stato modificato per adattarsi alle esigenze di Mallox. Il gruppo ha mantenuto intatta la struttura di base, compresa l’implementazione della crittografia AES-256, ma ha rimosso ogni riferimento all’autore originale del tool, Corlys, per renderlo più “anonimo”.
Tecniche di crittografia e funzionalità di Kryptina
Il cuore del ransomware Mallox, basato su Kryptina, utilizza la crittografia AES-256 in modalità CBC per crittografare i file delle vittime. Le chiavi di crittografia sono offuscate tramite XOR e codificate in Base64, con i file crittografati che vengono poi distribuiti attraverso una rete di server di comando e controllo (C2). Le funzioni principali, come krptna_process_file()
, sono state mantenute nel codice sorgente modificato, confermando che l’intera architettura crittografica di Kryptina è stata riutilizzata senza alterazioni significative.
Le modifiche effettuate dagli affiliati
Gli affiliati di Mallox hanno apportato alcune modifiche alla documentazione originale di Kryptina, traducendola in russo e riducendo il contenuto originale, rendendolo più essenziale per gli attacchi. Anche il template per le note di riscatto è stato aggiornato per riflettere il marchio Mallox, sostituendo ogni riferimento a Kryptina.
Le implicazioni per la Sicurezza Aziendale
L’adozione di strumenti come Kryptina da parte di gruppi ransomware affiliati come Mallox rappresenta una minaccia significativa per le imprese. La facilità con cui il codice open-source può essere modificato e utilizzato per lanciare attacchi su larga scala rende più difficile tracciare e contrastare queste minacce. Le aziende secondo Sentinel Labs, autore della ricerca, devono essere consapevoli di questa evoluzione nel panorama dei ransomware e implementare strategie di difesa proattive per prevenire attacchi basati su strumenti come Kryptina.
Sicurezza Informatica
Necro Trojan ha infettato 11 milioni di dispositivi su Google Play
Tempo di lettura: 2 minuti. Il Necro Trojan infetta app su Google Play e mod non ufficiali di Spotify e WhatsApp, minacciando milioni di dispositivi Android.
Negli ultimi mesi, il Necro Trojan è tornato a diffondersi tramite Google Play e attraverso modifiche non ufficiali di applicazioni popolari come Spotify e WhatsApp. Questo malware avanzato sfrutta tecniche di steganografia e offuscamento per nascondersi nei file delle applicazioni, eludere i controlli di sicurezza e infettare milioni di dispositivi Android. In questo articolo, esploreremo come questo trojan si è evoluto e quali applicazioni sono state compromesse.
Necro Trojan infetta Google Play: una nuova minaccia
Il Necro Trojan, noto anche come loader multi-stadio, è tornato alla ribalta infettando app su Google Play, tra cui la popolare Wuta Camera e Max Browser. Queste applicazioni, scaricate da milioni di utenti, hanno incluso il Necro Trojan a partire da specifiche versioni. Questo malware, nascosto all’interno di moduli pubblicitari o SDK, è in grado di eseguire diverse operazioni dannose. Tra le azioni principali vi sono l’installazione di altre app, l’esecuzione di codice arbitrario, l’iscrizione a servizi a pagamento e la creazione di tunnel attraverso il dispositivo infetto.
L’infezione è stata scoperta quando i ricercatori hanno individuato che il Necro loader sfrutta tecniche di steganografia per nascondere il payload all’interno di immagini PNG. Queste immagini vengono scaricate in background, estraendo dati crittografati per attivare il malware senza allertare l’utente. Dopo essere stato segnalato, Google ha rimosso le versioni infette di Wuta Camera e Max Browser dal Play Store, ma il problema rimane nei mod di applicazioni scaricabili da fonti non ufficiali.
Modifiche non ufficiali di Spotify e WhatsApp infette dal Necro Trojan
Una delle principali modalità di diffusione del Necro Trojan è rappresentata dalle modifiche non ufficiali di applicazioni popolari, in particolare Spotify Plus e versioni modificate di WhatsApp. Questi mod sono spesso distribuiti su siti web non verificati, con la promessa di offrire funzionalità aggiuntive rispetto alle versioni ufficiali. Tuttavia, come dimostrato dalla recente scoperta del mod Spotify Plus infetto, queste versioni contengono pericolosi malware.
Nel caso di Spotify Plus, la versione 18.9.40.5 include un SDK pubblicitario che invia dati crittografati a un server di comando e controllo (C2), il quale a sua volta restituisce un payload nascosto tramite steganografia. Una volta attivato, il trojan è in grado di eseguire diverse azioni dannose secondo Kaspersky, inclusa la visualizzazione di pubblicità invisibili, la manipolazione delle impostazioni di rete e l’accesso a informazioni sensibili sul dispositivo dell’utente.
Le versioni modificate di WhatsApp distribuite su siti non ufficiali, come il mod con nome pacchetto com.leapzip.animatedstickers.maker.android, contengono anch’esse il Necro Trojan. Questi mod sono in grado di scaricare ed eseguire file JAR nascosti, consentendo al trojan di eseguire codice arbitrario e compromettere ulteriormente la sicurezza del dispositivo.
Sicurezza Informatica
Marko Polo prende di mira criptovalute e gamer con infostealer
Tempo di lettura: 3 minuti. L’operazione globale Marko Polo prende di mira utenti di criptovalute e gamer con malware infostealer.
L’operazione di cybercriminalità conosciuta come Marko Polo, recentemente scoperta, ha portato alla compromissione di decine di migliaia di dispositivi a livello globale, puntando in particolare su utenti di criptovalute, gamer e sviluppatori di software. Secondo un’indagine condotta dal gruppo di ricerca Insikt Group, il gruppo Marko Polo utilizza una vasta gamma di malware infostealer, inclusi AMOS, Stealc e Rhadamanthys, per rubare dati sensibili. Le tecniche di attacco impiegate spaziano dal spearphishing all’uso di marchi falsi e campagne di malvertising per indurre le vittime a scaricare software dannoso. Questo approccio rappresenta una seria minaccia sia per i consumatori che per le aziende, con potenziali perdite finanziarie nell’ordine di milioni di euro.
Tecniche di attacco e malware utilizzati
Il gruppo Marko Polo utilizza una combinazione di strumenti sofisticati e tecniche di social engineering per raggiungere i propri obiettivi. Tra le tattiche più efficaci vi sono gli attacchi di spearphishing attraverso messaggi diretti sui social media, che prendono di mira principalmente personalità del mondo delle criptovalute e del gaming. Le vittime vengono spesso convinte a scaricare software dannoso, credendo che si tratti di offerte di lavoro legittime o opportunità di collaborazione.
L’operazione ha colpito in particolar modo utenti che utilizzano sia sistemi Windows che macOS, dimostrando l’abilità del gruppo di operare su più piattaforme. Su Windows, il malware più diffuso è Stealc, un infostealer che raccoglie dati da browser e applicazioni di criptovalute. Un altro malware utilizzato è Rhadamanthys, capace di rubare una vasta gamma di informazioni, inclusi dati delle criptovalute. Invece, per gli utenti macOS, Marko Polo utilizza AMOS, un malware capace di accedere ai dati critici del portachiavi Apple, rubare credenziali Wi-Fi, password e altre informazioni criptate.
Distribuzione del malware e impatto globale
L’indagine di Recorded Future ha identificato oltre 30 campagne distinte e 50 varianti di malware utilizzate nell’operazione Marko Polo. Questi malware vengono distribuiti attraverso una vasta gamma di canali, tra cui pubblicità dannose, file torrent e persino software di meeting online falsi. Alcuni dei marchi più comunemente utilizzati per queste truffe includono Fortnite, Zoom, e RuneScape. Le vittime, spesso inconsapevoli del rischio, scaricano questi programmi dannosi dai siti web compromessi, mettendo a rischio la loro privacy e i loro dati finanziari.
Il gruppo ha guadagnato milioni di euro attraverso queste operazioni, e il numero di dispositivi compromessi potrebbe continuare a crescere. Questo tipo di attacco non solo espone gli utenti privati al furto di identità e ai danni finanziari, ma rappresenta anche un rischio per le aziende, con potenziali violazioni dei dati e danni alla reputazione aziendale.
L’operazione Marko Polo dimostra l’evoluzione costante delle minacce cibernetiche, in cui i gruppi di cybercriminali sviluppano tecniche sempre più sofisticate e mirate per colpire specifici settori, come quello delle criptovalute e del gaming. Il successo di questa operazione, che ha portato alla compromissione di migliaia di dispositivi e a perdite finanziarie considerevoli, sottolinea la necessità di difese adattabili e consapevolezza della sicurezza informatica. Aziende e utenti privati devono essere costantemente vigili per proteggersi da queste minacce in continua evoluzione.
- Intelligenza Artificiale1 settimana fa
Scoperta rivoluzionaria: molecole trasformano il futuro del calcolo
- Sicurezza Informatica7 giorni fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste2 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica4 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Sicurezza Informatica3 giorni fa
Lazarus continua con offerte di lavoro
- Sicurezza Informatica3 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti
- Sicurezza Informatica7 giorni fa
23andMe paga 30 milioni per risolvere causa databreach