Connect with us

Sicurezza Informatica

Ubisoft indaga su un presunto nuovo Incidente di Sicurezza

Pubblicato

in data

Tempo di lettura: < 1 minuto.

Ubisoft, noto editore francese di videogiochi famoso per titoli come Assassin’s Creed, FarCry, Tom Clancy’s Rainbow Six Siege e il recente Avatar: Frontiers of Pandora, sta indagando su un presunto incidente di sicurezza. La notizia emerge dopo che sono state divulgate online immagini del software interno e degli strumenti di sviluppo dell’azienda.

Dettagli dell’Incidente e Indagini in Corso

Ubisoft ha confermato a BleepingComputer di essere a conoscenza di un presunto incidente di sicurezza dei dati e di essere attualmente in fase di indagine. “Siamo a conoscenza di un presunto incidente di sicurezza dei dati e stiamo attualmente indagando. Non abbiamo altro da condividere in questo momento”, ha dichiarato Ubisoft.

Secondo quanto riportato dal collettivo di ricerca sulla sicurezza VX-Underground, un attore di minaccia non identificato ha affermato di aver violato Ubisoft il 20 dicembre, con l’intenzione di esfiltrare circa 900 GB di dati. Nell’ambito di questo presunto attacco, l’attore di minaccia ha dichiarato di aver ottenuto l’accesso al server SharePoint di Ubisoft, a Microsoft Teams, Confluence e al pannello MongoDB Atlas, condividendo screenshot di alcuni di questi servizi.

Precedenti Incidenti di Sicurezza

Ubisoft ha già subito violazioni in passato. Nel 2020, il gruppo ransomware Egregor ha violato l’azienda, rilasciando parti del codice sorgente del gioco Ubisoft Watch Dogs. Inoltre, nel 2022, l’azienda ha subito un secondo attacco che ha interrotto i suoi giochi, sistemi e servizi.

Situazione Attuale e Misure di Sicurezza

Al momento, non è chiaro se l’incidente attuale sia collegato a precedenti violazioni o a recenti problemi di sicurezza rivelati da MongoDB Atlas. Ubisoft non ha fornito ulteriori dettagli sull’incidente, ma è probabile che l’azienda stia adottando misure per valutare l’entità della violazione e per rafforzare le sue difese contro future minacce alla sicurezza con il fine di evitare un altro incidente.

Sicurezza Informatica

Marko Polo prende di mira criptovalute e gamer con infostealer

Tempo di lettura: 3 minuti. L’operazione globale Marko Polo prende di mira utenti di criptovalute e gamer con malware infostealer.

Pubblicato

in data

Tempo di lettura: 3 minuti.

L’operazione di cybercriminalità conosciuta come Marko Polo, recentemente scoperta, ha portato alla compromissione di decine di migliaia di dispositivi a livello globale, puntando in particolare su utenti di criptovalute, gamer e sviluppatori di software. Secondo un’indagine condotta dal gruppo di ricerca Insikt Group, il gruppo Marko Polo utilizza una vasta gamma di malware infostealer, inclusi AMOS, Stealc e Rhadamanthys, per rubare dati sensibili. Le tecniche di attacco impiegate spaziano dal spearphishing all’uso di marchi falsi e campagne di malvertising per indurre le vittime a scaricare software dannoso. Questo approccio rappresenta una seria minaccia sia per i consumatori che per le aziende, con potenziali perdite finanziarie nell’ordine di milioni di euro.

Tecniche di attacco e malware utilizzati

Il gruppo Marko Polo utilizza una combinazione di strumenti sofisticati e tecniche di social engineering per raggiungere i propri obiettivi. Tra le tattiche più efficaci vi sono gli attacchi di spearphishing attraverso messaggi diretti sui social media, che prendono di mira principalmente personalità del mondo delle criptovalute e del gaming. Le vittime vengono spesso convinte a scaricare software dannoso, credendo che si tratti di offerte di lavoro legittime o opportunità di collaborazione.

L’operazione ha colpito in particolar modo utenti che utilizzano sia sistemi Windows che macOS, dimostrando l’abilità del gruppo di operare su più piattaforme. Su Windows, il malware più diffuso è Stealc, un infostealer che raccoglie dati da browser e applicazioni di criptovalute. Un altro malware utilizzato è Rhadamanthys, capace di rubare una vasta gamma di informazioni, inclusi dati delle criptovalute. Invece, per gli utenti macOS, Marko Polo utilizza AMOS, un malware capace di accedere ai dati critici del portachiavi Apple, rubare credenziali Wi-Fi, password e altre informazioni criptate.

Distribuzione del malware e impatto globale

L’indagine di Recorded Future ha identificato oltre 30 campagne distinte e 50 varianti di malware utilizzate nell’operazione Marko Polo. Questi malware vengono distribuiti attraverso una vasta gamma di canali, tra cui pubblicità dannose, file torrent e persino software di meeting online falsi. Alcuni dei marchi più comunemente utilizzati per queste truffe includono Fortnite, Zoom, e RuneScape. Le vittime, spesso inconsapevoli del rischio, scaricano questi programmi dannosi dai siti web compromessi, mettendo a rischio la loro privacy e i loro dati finanziari.

Il gruppo ha guadagnato milioni di euro attraverso queste operazioni, e il numero di dispositivi compromessi potrebbe continuare a crescere. Questo tipo di attacco non solo espone gli utenti privati al furto di identità e ai danni finanziari, ma rappresenta anche un rischio per le aziende, con potenziali violazioni dei dati e danni alla reputazione aziendale.

L’operazione Marko Polo dimostra l’evoluzione costante delle minacce cibernetiche, in cui i gruppi di cybercriminali sviluppano tecniche sempre più sofisticate e mirate per colpire specifici settori, come quello delle criptovalute e del gaming. Il successo di questa operazione, che ha portato alla compromissione di migliaia di dispositivi e a perdite finanziarie considerevoli, sottolinea la necessità di difese adattabili e consapevolezza della sicurezza informatica. Aziende e utenti privati devono essere costantemente vigili per proteggersi da queste minacce in continua evoluzione.

Prosegui la lettura

Sicurezza Informatica

Twelve prende di mira la Russia con attacchi devastanti

Pubblicato

in data

Tempo di lettura: 3 minuti.

Il gruppo hacktivista Twelve utilizza un arsenale di strumenti disponibili pubblicamente per condurre attacchi distruttivi contro obiettivi allocati in Russia. A differenza dei classici gruppi ransomware che chiedono riscatti, Twelve preferisce criptare i dati delle vittime e successivamente distruggere l’infrastruttura con un wiper, impedendo qualsiasi tentativo di recupero.

Questo approccio riflette l’intento del gruppo di causare il massimo danno possibile senza derivarne un beneficio finanziario diretto. Fondato nell’aprile 2023, Twelve è emerso nel contesto della guerra russo-ucraina e ha condotto una serie di attacchi volti a paralizzare le reti delle vittime, interrompendo le operazioni aziendali.

Analisi della catena di attacco di Twelve e il suo impatto globale

Nel 2024, il gruppo cybercriminale noto come Twelve ha attirato l’attenzione pubblicando dati personali di individui sul suo canale Telegram. Sebbene il canale sia stato successivamente bloccato per violazione delle norme di Telegram, il gruppo è rimasto attivo, utilizzando tecniche avanzate per attacchi cyber, tra cui la cancellazione e crittografia di dati sensibili, rendendo il recupero delle informazioni quasi impossibile.

Il gruppo Twelve e la sua affiliazione con DARKSTAR

Fondato nell’aprile 2023 nel contesto del conflitto russo-ucraino, Twelve si è specializzato nell’attacco a organizzazioni governative della Russia. L’obiettivo principale del gruppo è causare danni massimi alle sue vittime. Utilizzano tecniche condivise con il gruppo di ransomware DARKSTAR, che si concentra su estorsioni tramite doppia crittografia. Questa collaborazione tra i due gruppi riflette la complessità delle moderne minacce cibernetiche, in cui obiettivi e tattiche variano all’interno di uno stesso sindacato.

Catena di attacco Unified Kill Chain

L’analisi delle azioni del gruppo Twelve viene condotta seguendo la metodologia Unified Kill Chain, che segmenta un attacco informatico in diverse fasi, dalla compromissione iniziale fino all’impatto finale. In particolare, il gruppo ha dimostrato una notevole capacità di infiltrazione nelle reti aziendali utilizzando strumenti ben noti come Cobalt Strike, Mimikatz, PowerView e altri per ottenere l’accesso e muoversi lateralmente all’interno delle infrastrutture IT delle vittime.

Fasi dell’attacco: Infiltrazione, sfruttamento e movimento laterale

Durante la fase iniziale, Twelve si affida spesso all’accesso tramite account legittimi di dominio, VPN o certificati SSH. Utilizzano strumenti di scansione e analisi come Advanced IP Scanner e BloodHound per ottenere informazioni sulle infrastrutture di rete delle vittime. Per l’escalation dei privilegi, vengono sfruttati comandi PowerShell e strumenti per alterare le policy di dominio.

Nella fase di esecuzione, Twelve distribuisce malware attraverso il sistema di pianificazione delle attività di Windows, eseguendo script in PowerShell per avviare ransomware e wiper (strumenti per cancellare dati). L’algoritmo di ransomware, basato su codice LockBit 3.0, è configurato per crittografare i dati delle vittime in modo rapido ed efficiente, lasciando pochi segni del proprio passaggio.

Impatto finale e crittografia dati

L’obiettivo principale del gruppo è la compromissione della confidenzialità, integrità e disponibilità delle informazioni delle vittime. Utilizzando strumenti come 7z per archiviare i dati rubati, Twelve li carica su piattaforme di condivisione file come DropMeFiles, garantendo una rapida esfiltrazione dei dati sensibili. I ransomware distribuiti hanno caratteristiche avanzate, tra cui la capacità di diffondersi in rete e cancellare i log di sistema per evitare il rilevamento.

Il gruppo Twelve, analizzato da Kaspersky, si basa su un arsenale di strumenti pubblicamente disponibili, rendendo potenzialmente più semplice la rilevazione e la prevenzione dei suoi attacchi e la sua capacità distruttiva, di concerto con l’affiliazione a gruppi come DARKSTAR, rappresenta una minaccia significativa per le entità della Russia.

Prosegui la lettura

Sicurezza Informatica

Lazarus continua con offerte di lavoro

Tempo di lettura: 2 minuti. Un gruppo di hacker nordcoreani prende di mira i settori energetico e aerospaziale con attacchi di phishing e un malware chiamato MISTPEN.

Pubblicato

in data

lazarus
Tempo di lettura: 2 minuti.

Lazarus, gruppo APT collegato alla Corea del Nord identificato come UNC2970 da Mandiant, ha lanciato una serie di attacchi mirati contro il settore energetico e aerospaziale. Questi attacchi si basano su campagne di phishing camuffate da offerte di lavoro, con l’obiettivo di compromettere le reti aziendali e accedere a informazioni sensibili tramite un malware chiamato MISTPEN.

Le offerte di lavoro di Lazarus

Lazarus si presenta come un gruppo di reclutatori, inviando e-mail e messaggi WhatsApp con offerte di lavoro per attirare l’attenzione di dirigenti e manager di alto livello nel settore dell’energia e dell’aerospazio. I messaggi contengono offerte di lavoro apparentemente legittime, corredate da file ZIP che includono una descrizione di lavoro in formato PDF. Tuttavia, il file PDF può essere aperto solo utilizzando una versione trojanizzata di Sumatra PDF, un visualizzatore PDF open-source.

Una volta che la vittima apre il file PDF con il software compromesso, viene eseguito un launcher chiamato BURNBOOK, che attiva il malware MISTPEN. Questo malware consente agli hacker di ottenere l’accesso remoto al sistema infetto, raccogliendo informazioni sensibili e trasferendo file eseguibili dal server di comando e controllo degli aggressori.

La minaccia rappresentata da MISTPEN

MISTPEN è una backdoor leggera, scritta in C, progettata per scaricare ed eseguire file da un server remoto. Questo malware utilizza una libreria DLL trojanizzata, wtsapi32.dll, per avviare la catena di infezione. Una volta installato, il malware comunica con il server degli aggressori attraverso URL di Microsoft Graph, garantendo un flusso continuo di dati tra la vittima e gli attaccanti.

Sfruttamento di software open-source

UNC2970 ha dimostrato un’abilità notevole nel modificare versioni open-source di software legittimi come Sumatra PDF. Questo approccio permette loro di evitare sospetti e compromettere i sistemi utilizzando programmi che, all’apparenza, sembrano sicuri. È importante notare che non si tratta di un attacco alla catena di fornitura, poiché non è stata rilevata alcuna vulnerabilità nel software originale, ma di una versione modificata dagli hacker.

Prosegui la lettura

Facebook

CYBERSECURITY

Economia8 ore fa

Stati Uniti: presto divieto per i veicoli cinesi e russi

Tempo di lettura: 2 minuti. Gli Stati Uniti propongono un divieto su hardware e software cinesi e russi nei veicoli...

Sicurezza Informatica3 giorni fa

SambaSpy: nuovo RAT che prende di mira gli utenti italiani

Tempo di lettura: 3 minuti. SambaSpy, un nuovo RAT, prende di mira gli utenti italiani attraverso una sofisticata campagna di...

Sicurezza Informatica3 giorni fa

Temu e Dell: indagini sui recenti attacchi informatici

Tempo di lettura: 2 minuti. Temu e Dell sono coinvolte in segnalazioni di violazioni dei dati: ecco le indagini su...

Sicurezza Informatica4 giorni fa

Dr.Web disconnette i server dopo una violazione e Cloudflare subisce un’interruzione regionale

Tempo di lettura: 2 minuti. Dr.Web disconnette i server dopo un attacco informatico e Cloudflare affronta un'interruzione regionale che limita...

Sicurezza Informatica5 giorni fa

CISA nuove vulnerabilità, aggiornamenti per Apple e GitLab

Tempo di lettura: 2 minuti. Ultimi aggiornamenti di sicurezza: vulnerabilità aggiunte da CISA, aggiornamenti Apple e GitLab risolve una falla...

Sicurezza Informatica6 giorni fa

Smantellata piattaforma di comunicazione criptata Ghost

Tempo di lettura: 2 minuti. Una coalizione globale, coordinata da Europol, smantella la piattaforma criptata Ghost utilizzata dal crimine organizzato,...

23andme 23andme
Sicurezza Informatica6 giorni fa

23andMe paga 30 milioni per risolvere causa databreach

Tempo di lettura: < 1 minuto. 23andMe paga 30 milioni di dollari per risolvere una causa legale legata alla violazione...

Sicurezza Informatica6 giorni fa

Cina: Starlink per rilevare velivoli stealth e phishing contro NASA e Difesa USA

Tempo di lettura: 4 minuti. La Cina propone di rendere obbligatoria l'etichettatura dei contenuti generati da IA online, imponendo trasparenza...

Sicurezza Informatica6 giorni fa

Google Chrome adotta ML-KEM per la crittografia post-quantistica

Tempo di lettura: 2 minuti. Google Chrome adotta ML-KEM per la crittografia post-quantistica, abbandonando Kyber per migliorare sicurezza ed efficienza....

Sicurezza Informatica6 giorni fa

CISA lancia FOCAL, rilascia avvisi ICS e sanziona Intellexa

Tempo di lettura: 4 minuti. CISA rilascia il piano FOCAL, rilascia nuovi ICS e con l'FBI chiede di risolvere vulnerabilità...

Truffe recenti

Sicurezza Informatica2 settimane fa

Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove

Tempo di lettura: < 1 minuto. Una nuova truffa "Il tuo partner ti tradisce" chiede il pagamento per vedere prove...

Sicurezza Informatica2 mesi fa

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica2 mesi fa

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste3 mesi fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste3 mesi fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica3 mesi fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica4 mesi fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica4 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste4 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Tech

Galaxy S25 Plus Galaxy S25 Plus
Tech7 ore fa

Galaxy S25 e S26 con fotocamera da 50MP e AI Key sul Tab S10

Tempo di lettura: 3 minuti. Samsung sta mantenendo il suo slancio innovativo su più fronti, ma sembra intenzionata a mantenere...

Smartphone8 ore fa

Samsung Galaxy Ring, M15 Prime e M55s 5G in Europa

Tempo di lettura: 3 minuti. Scopri i nuovi lanci di Samsung, tra cui il Galaxy Ring disponibile in Europa, il...

Smartphone8 ore fa

HarmonyOS Next e OxygenOS 15: differenti, ma rivolti a iOS

Tempo di lettura: 3 minuti. Huawei lancia HarmonyOS Next con 10.000 app supportate, mentre OnePlus si ispira a iOS per...

Smartphone8 ore fa

Apple: nuove beta di watchOS, tvOS, visionOS, macOS e iOS 18.1

Tempo di lettura: 4 minuti. Apple continua a migliorare i suoi sistemi operativi con il rilascio di nuove versioni beta...

Smartphone18 ore fa

Galaxy S24 FE: prezzi e specifiche trapelati prima del lancio

Tempo di lettura: 2 minuti. Prezzi e le specifiche del Samsung Galaxy S24 FE trapelati prima del lancio, inclusi dettagli...

Smartphone18 ore fa

iPhone 17 con 120hz e 16 Pro Max quarto al mondo per le foto

Tempo di lettura: 3 minuti. Esplora le novità della serie iPhone 17, con display a 120Hz, e i risultati dei...

Smartphone18 ore fa

Motorola Razr 50s e OnePlus Ace 5: benchmark e certificazioni

Tempo di lettura: 4 minuti. Motorola Razr 50s e OnePlus Ace 5: specifiche dai benchmark Geekbench e dalle certificazioni, con...

Smartphone18 ore fa

Samsung: One UI 6.1.1 e beta di One UI 7.0 per i Galaxy

Tempo di lettura: 2 minuti. Samsung rilascia One UI 6.1.1 per Galaxy Z Fold 4, Flip 4, S22 e Tab...

Smartphone20 ore fa

OnePlus 13 e OPPO Find X8: Nuovi dettagli dalle certificazioni MIIT e IMDA

Tempo di lettura: 3 minuti. Scopri i dettagli trapelati su OnePlus 13 e OPPO Find X8 dalle recenti certificazioni MIIT...

Tech21 ore fa

Qualcomm Snapdragon 6s Gen 3 vs 4 Gen 2: il confronto

Tempo di lettura: 2 minuti. Confronto tra Qualcomm Snapdragon 6s Gen 3 e Snapdragon 4 Gen 2: benchmark e specifiche...

Tendenza