Sicurezza Informatica
VexTrio: broker criminale per oltre 60 affiliati
VexTrio, broker cybercrime, opera un vasto programma di affiliazione criminale, agendo da intermediario per il traffico malevolo per più di 60 attori di minacce, inclusi ClearFake e SocGholish. Secondo i nuovi ritrovamenti di Infoblox, VexTrio è considerato il più grande broker di traffico malevolo descritto nella letteratura di sicurezza.
Attività Principali di VexTrio
Rete di Domini: VexTrio gestisce una rete di oltre 70.000 domini conosciuti, mediando traffico per un massimo di 60 affiliati.
Attacchi e Distribuzione Malware: Ha contribuito a campagne malevole che diffondono adware, spyware, programmi potenzialmente indesiderati (PUP), contenuti pornografici e il malware Glupteba.
Uso di un Algoritmo di Generazione di Domini (DDGA): VexTrio sfrutta domini generati attraverso un algoritmo basato su un dizionario per diffondere i suoi attacchi.
Complessità e Impatto di VexTrio
Sistema di Traffico Basato sul DNS: VexTrio utilizza il protocollo DNS per recuperare URL di reindirizzamento, agendo come un sistema di distribuzione di traffico basato sul DNS (TDS).
TDS in Due Varianti: Il TDS di VexTrio viene in due varianti, una basata su HTTP e l’altra su DNS, quest’ultima utilizzata per la prima volta nel luglio 2023.
Affiliati e Infrastruttura Complessa: Gli attori di minaccia che si affidano a VexTrio inoltrano il traffico dai loro siti compromessi ai server TDS controllati da VexTrio, per poi reindirizzarlo verso altri siti fraudolenti o reti affiliate malevole.
Implicazioni per la Sicurezza
VexTrio dimostra la sofisticatezza e la resilienza degli ecosistemi criminali online, rendendo la classificazione e l’attribuzione precise una sfida notevole. La sua attività sottolinea l’importanza della vigilanza e della prevenzione per combattere efficacemente il cybercrime.
Sicurezza Informatica
Vulnerabilità nei Comandi OS di FortiSIEM: Aggiornamenti e Soluzioni
Tempo di lettura: < 1 minuto. Fortinet ha rilasciato una patch per una vulnerabilità critica di FortiSIEM, permettendo a un attaccante remoto di eseguire comandi non autorizzati.
Fortinet ha recentemente rilasciato informazioni su una vulnerabilità critica identificata in FortiSIEM, denominata “Improper Neutralization of Special Elements used in an OS Command” (CWE-78). Questa vulnerabilità può permettere a un attaccante remoto non autenticato di eseguire comandi non autorizzati tramite richieste API appositamente formulate.
Prodotti affected
La vulnerabilità interessa le seguenti versioni di FortiSIEM:
- Versioni 7.1.0 fino a 7.1.1
- Versioni 7.0.0 fino a 7.0.2
- Versioni 6.7.0 fino a 6.7.8
- Versioni 6.6.0 fino a 6.6.3
- Versioni 6.5.0 fino a 6.5.2
- Versioni 6.4.0 fino a 6.4.2
Soluzioni
Fortinet consiglia di aggiornare FortiSIEM alle seguenti versioni per mitigare la vulnerabilità:
- Versione 7.1.3 o superiore
- Versione 7.0.3 o superiore
- Versione 6.7.9 o superiore
- Versione 7.2.0 o superiore (prossima)
- Versione 6.6.5 o superiore (prossima)
- Versione 6.5.3 o superiore (prossima)
- Versione 6.4.4 o superiore (prossima)
Riconoscimenti
Fortinet ringrazia il ricercatore di sicurezza Zach Hanley (@hacks_zach) di Horizon3.ai per aver scoperto e segnalato questa vulnerabilità con una divulgazione responsabile.
Timeline
- 2023-10-02: Pubblicazione iniziale
- 2024-01-31: Aggiornamento con due varianti (CVE-2024-23108, CVE-2024-23109) e versioni aggiornate nelle soluzioni.
La vulnerabilità di FortiSIEM rappresenta un rischio significativo per le infrastrutture che utilizzano queste versioni del software. È essenziale aggiornare immediatamente alle versioni consigliate per garantire la sicurezza del sistema.
Sicurezza Informatica
Europol: 25 anni di sicurezza in Europa
Tempo di lettura: < 1 minuto. Europol celebra 25 anni di lotta contro il crimine organizzato e il terrorismo in Europa con una serie di eventi e nuovi traguardi.
Il 2024 segna il 25 ° anniversario di Europol, l’agenzia europea per la cooperazione nell’applicazione della legge, fondata per combattere il crimine organizzato e il terrorismo. Dalla sua nascita come piccola unità antidroga europea nel 1994, Europol è cresciuta fino a diventare un’organizzazione con oltre 1.700 membri del personale e 295 ufficiali di collegamento, lavorando insieme all’Aia con l’obiettivo comune di mantenere l’Europa sicura.
Evoluzione e traguardi
Nel corso di questi 25 anni, Europol ha subito una costante evoluzione per adattarsi ai cambiamenti nel panorama del crimine organizzato e del terrorismo. Ecco alcuni dei traguardi chiave dell’agenzia:
- 1993: Fondazione dell’Unità Antidroga Europea.
- 2001: Primo accordo di cooperazione con paesi non UE (Islanda e Norvegia).
- 2010: Europol diventa un’agenzia UE a tutti gli effetti.
- 2013: Apertura del Centro Europeo per la Criminalità Informatica (EC3).
- 2016: Creazione del Centro Europeo Antiterrorismo (ECTC) e lancio del sito web dei criminali più ricercati d’Europa.
- 2019: Creazione di un Innovation Lab per supportare la comunità delle forze dell’ordine.
- 2020: Blocco dell’uso illegale della comunicazione criptata EncroChat da parte di gruppi criminali organizzati.
- 2021: Supporto agli investigatori nel bloccare l’uso illegale della comunicazione criptata Sky ECC.
- 2022: Lancio dell’Unità di Informatica Forense Digitale.
- 2024: Oltre 3.000 autorità di contrasto collegate a Europol attraverso SIENA, provenienti da più di 70 paesi ed entità internazionali. Nomina del primo Ufficiale per l’Intelligenza Artificiale.
Celebrazioni per l’anniversario
Per celebrare questo traguardo dei 25 anni, Europol ha organizzato una serie di eventi durante tutto l’anno. Le celebrazioni sono iniziate il 28 maggio con la conferenza “EU versus Crime“, co-organizzata da Europol e la Commissione Europea. Gli eventi culmineranno a settembre con la Convenzione dei Capi della Polizia Europea presso la sede di Europol.
Sicurezza Informatica
Cyber Signals: il rischio crescente delle frodi con Carte Regalo
Tempo di lettura: 2 minuti. Microsoft rivela le tecniche di Storm-0539 nelle frodi con carte regalo e offre raccomandazioni per la difesa.
Nell’era delle transazioni digitali e dello shopping online, il crimine informatico rappresenta una minaccia sempre più preoccupante e, tra queste minacce, le frodi con carte regalo e carte di pagamento stanno diventando sempre più pervasiva ed evoluta. Microsoft esplora le tattiche, le tecniche e le procedure di un attore di minacce informatiche noto come Storm-0539, noto anche come Atlas Lion, e le sue attività nel furto di carte regalo.
Aumento delle attività di intrusione
Nel maggio 2024, Microsoft ha osservato un aumento del 30% nelle attività di Storm-0539 rispetto ai due mesi precedenti. Storicamente, questo gruppo aumenta le sue attività di attacco prima delle principali stagioni festive. Tra settembre e dicembre 2023, è stato osservato un aumento del 60% delle attività di intrusione, coincidente con le festività autunnali e invernali.
Tecniche di frode e metodi di intrusione
Storm-0539 opera dal Marocco e si occupa di crimini finanziari come la frode con carte regalo. Le loro tecniche includono phishing, smishing, registrazione di dispositivi nei sistemi delle vittime per ottenere accesso persistente e sfruttamento di tali accessi per colpire organizzazioni di terze parti. Una volta compromessi gli account dei dipendenti, gli attaccanti si spostano lateralmente attraverso la rete, cercando di identificare i processi aziendali legati alle carte regalo e di comprometterli.
Utilizzo delle risorse Cloud
Il gruppo utilizza le loro conoscenze approfondite del cloud per condurre ricognizioni sui processi di emissione delle carte regalo, sui portali delle carte regalo e sui dipendenti con accesso alle carte regalo. Questa abilità consente loro di creare infrastrutture di attacco basate sul cloud, evitando i costi iniziali comuni nell’economia del crimine informatico.
Difesa contro Storm-0539
Microsoft consiglia che, per difendersi dagli attacchi di Storm-0539, le organizzazioni devono trattare i portali delle carte regalo come obiettivi ad alto valore, monitorandoli e auditandoli continuamente per rilevare eventuali attività anomale. Implementare politiche di accesso con privilegi minimi e adottare un’architettura di sicurezza che preveda l’uso di MFA resistente al phishing sono alcune delle raccomandazioni chiave. Inoltre, educare i dipendenti sui rischi del phishing e smishing può aiutare a prevenire l’intrusione iniziale.
- Sicurezza Informatica1 settimana fa
Julian Assange: non vi sarà estradizione negli USA
- Inchieste7 giorni fa
Mazarsiu e Temunao: non solo truffa, ma un vero metodo
- Economia1 settimana fa
La Germania potrebbe rimuovere Huawei e ZTE dalle reti 5G
- Sicurezza Informatica1 settimana fa
Trojan bancario Grandoreiro: nuove campagne globali
- Economia7 giorni fa
Linktree: 50 milioni di utenti e programma di Social Commerce
- Tech1 settimana fa
Samsung velocizza la ricarica wireless sul Galaxy Watch 7
- L'Altra Bolla6 giorni fa
X nasconde i “Mi Piace” e ne rimuoverà la scheda dai Profili
- L'Altra Bolla6 giorni fa
TikTok: report rivela una campagna di propaganda della Cina