Questo metodo di attacco rappresenta una forma sofisticata di ingegneria sociale, che sfrutta l’apparenza di autenticità di siti e documenti allegati per manipolare gli utenti e fargli eseguire script dannosi.
Questi siti Web compromessi sono spesso realizzati con cura per sembrare autentici, aumentando la probabilità di conformità dell’utente.
L’impossibilità di visualizzare la pagina o il documento per assenza di un componente ed il pop-up verosimile che invita facilmente ad una soluzione, sono un invito allettante che tiene basse le soglie di allerta dell’utente, lasciando libere di agire le leve emotive di urgenza, bisogno e curiosità.

Ecco come viene strutturato il Metodo di Attacco:

1. Siti Web Compromessi: Gli utenti vengono attirati su siti Web apparentemente legittimi, accuratamente realizzati per sembrare autentici, questo può avvenire anche tramite allegati mail.
2. Reindirizzamento a Domini Dannosi: Dopo aver visitato questi siti, magari in allegato alla missiva, le vittime vengono reindirizzate a domini che ospitano finestre popup false.
3. Falsi Prompt di Errore: Le finestre popup di errore ingannano gli utenti inducendoli a eseguire azioni semplici che per risolvere il problema, che in realtà mirano ad incollare uno script in un terminale PowerShell senza che ne abbia consapevolezza.
4. Script Codificati in Base64: Gli aggressori utilizzano script codificati in base64. Questi, una volta eseguiti, scaricano ed eseguono file HTA (HTML Application) da server remoti.
5. Distribuzione di Malware: I file HTA distribuiscono malware come DarkGate e Lumma Stealer sul sistema target, che eseguiranno quindi furto di dati ed altre attività dannose per l’utente.

Una volta attivo, il malware compirà diverse attività dannose:
Tra queste, il furto di dati personali, l’elusione dei sistemi di rilevamento tramite la cancellazione del contenuto degli appunti, e la persistenza del malware nel sistema tramite l’esecuzione di processi in finestre ridotte a icona.

Qui la ricerca dei laboratori McAfee:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clickfix-deception-a-social-engineering-tactic-to-deploy-malware/

Mitigazioni Consigliate

In Italia, molte aziende affrontano sfide significative nella protezione contro queste sofisticate minacce informatiche.

Spesso, la consapevolezza delle tattiche di ingegneria sociale e degli schemi di phishing è limitata.

È fondamentale organizzare sessioni di formazione regolari per istruire gli utenti sulle tecniche di attacco più comuni. La formazione continua è una delle prime linee di difesa, poiché gli utenti ben informati sono meno propensi a cadere vittime di questi inganni.

La protezione degli endpoint è altrettanto cruciale. Le aziende devono installare e mantenere aggiornati software antivirus e antimalware su tutti i dispositivi. Tuttavia, molte piccole e medie imprese italiane trascurano l’importanza di aggiornamenti regolari, esponendo i propri sistemi a vulnerabilità facilmente sfruttabili.

Il filtraggio delle e-mail e del web rappresenta un’altra area critica. Implementare filtri e-mail efficaci può bloccare molte minacce prima che raggiungano l’utente finale. Inoltre, soluzioni di filtraggio web possono impedire l’accesso a siti web notoriamente dannosi. Anche in questo caso, la mancanza di investimenti in soluzioni avanzate di sicurezza può lasciare le aziende italiane esposte a rischi elevati.

L’implementazione di firewall e sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS) è fondamentale per monitorare e bloccare il traffico di rete dannoso. Tuttavia, molte aziende italiane mancano di personale qualificato per gestire e monitorare queste soluzioni, rendendo la loro rete vulnerabile.

La segmentazione della rete e l’applicazione del principio del privilegio minimo sono strategie efficaci per limitare la diffusione del malware all’interno di un’organizzazione. Questo significa ridurre al minimo l’accesso degli utenti alle risorse necessarie per svolgere il loro lavoro. La mancanza di policy di sicurezza rigorose e di segmentazione della rete è una debolezza comune tra molte imprese.

L’autenticazione a più fattori (MFA) è un ulteriore livello di sicurezza che può proteggere i dati sensibili. Implementare l’MFA aiuta a prevenire accessi non autorizzati, ma spesso le aziende italiane non adottano questa pratica per timore di complicare l’accesso ai sistemi da parte dei dipendenti.

Assicurarsi che tutti i sistemi operativi, i software e le applicazioni siano aggiornati con le ultime patch di sicurezza è essenziale. Tuttavia, la gestione degli aggiornamenti può essere una sfida logistica, soprattutto per le aziende con risorse IT limitate.

Monitorare e analizzare costantemente i registri di sistema e di rete per individuare segnali di compromissione è una pratica fondamentale per una sicurezza proattiva. La mancanza di strumenti di monitoraggio adeguati rende difficile per molte aziende italiane rilevare attività sospette in tempo reale.

La crittografia dei dati sensibili, sia in transito che a riposo, è un’altra misura di sicurezza importante per proteggere i dati da accessi non autorizzati. Infine, eseguire regolarmente il backup dei dati importanti e conservarli in modo sicuro è essenziale per garantire il recupero in caso di attacco ransomware o violazione dei dati.

In sintesi, affrontare queste sfide richiede un investimento significativo in formazione, strumenti di sicurezza avanzati e monitoraggio continuo. Solo attraverso un impegno costante e l’adozione di best practice di sicurezza le aziende italiane possono proteggersi efficacemente dalle minacce come la tecnica di social engineering Clickfix.

#clickfix #mcafee #socialengineering #phishing #italy #cybersecurity #cyberthreat #cybereducation

Tra i casi più rilevanti caso rilevante del primo semestre 2024 ricordiamo quello ai danni del pubblico di clienti Binance, dove diversi utenti hanno ricevuto email e SMS fraudolenti che sembravano provenire dalla piattaforma ufficiale, inducendoli a fornire informazioni sensibili. Questi messaggi spesso imitavano notifiche di sicurezza o aggiornamenti dell’account, aumentando la loro apparente legittimità​ (Reddit)​​ (Binance)​.

Allo stesso modo, le utenze MetaMask sono state bersaglio di attacchi di phishing che sfruttavano email urgenti per spingere i malcapitati a cliccare su link malevoli.
Questi messaggi falsi avvertivano gli utenti che i loro portafogli erano bloccati e richiedevano azioni rapide per evitare perdite di criptovaluta. In molti casi, queste truffe hanno portato al furto di asset digitali dagli account delle vittime​ (Consumer Advice)​.

Le truffe mirate ai possessori di criptovalute utilizzano tecniche di ingegneria sociale per indurre gli utenti a divulgare le loro chiavi private o credenziali di accesso.
Gli asset rubati vengono poi rapidamente prosciugati dai portafogli delle vittime, lasciandole spesso senza alcuna speranza di recupero.
Una tendenza particolarmente preoccupante è l’emergere di campagne di phishing mirate su varie piattaforme di social media, tra cui X e Instagram.
In questi casi, account noti o insospettabili, rubati da criminali informatici, vengono utilizzati come canali inconsapevoli per distribuire URL dannosi a un pubblico più ampio.
L’impiego di account compromessi conferisce un’aria di legittimità allo schema fraudolento, aumentando così la probabilità che utenti e conoscenti ignari cadano vittime della truffa.

Un recente studio di Cisco Talos ha evidenziato come vari aspetti del “Web 3”, come il metaverso e gli smart contract, siano stati abusati per indurre gli utenti a svuotare i loro portafogli di criptovaluta.
Si annota nella ricerca anche un elevato impiego di documenti di Google Forms come vettore di attacco per queste truffe.

Metodi di Attacco: Connessione del Wallet e QR Code

Dopo essere stati convogliati con l’inganno verso un sito apparentemente legittimo, in realtà astutamente ideato per il phishing, agli utenti viene chiesto di connettere i loro wallet di criptovaluta al fine di ottenere determinate ricompense o rivendicare token premio.
A questo punto per la connessione del wallet e riscossione, si viene invitati alla scansione di un codice QR tramite il proprio telefono cellulare.
Il codice QR proposto apparentemente punta verso il premio desiderato, offrendo l’illusione di un processo di accesso senza interruzioni al sito/wallet cedente.
In realtà, questa azione concede al sito di phishing la cattura delle credenziali di accesso dell’utente, permettendo così lo svuotamento non autorizzato del suo wallet di criptovaluta.

Come Proteggersi:

Ricordando che si tratti di operazioni non tutelate, oltre a mantenere elevate le soglie di attenzione, sarebbe ideale attivare comportamenti sicuri e tutelanti:

1. Effettuare Ricerche Approfondite:
   Prima di registrarsi o investire in qualsiasi criptovaluta che prometta rendimenti rapidi e significativi, meglio effettuare ricerche approfondite.
   Le opportunità ad alto rendimento spesso comportano rischi elevati e molte di queste promesse potrebbero essere truffe.
   
2. Verificare la Legittimità del Sito Web:
   Prima di fornire le tue informazioni personali o registrare i tuoi account o wallet di criptovaluta, verificare sempre la legittimità del sito web.
   Cerca segnali di credibilità come URL sicuri (https), design professionale e recensioni positive da fonti attendibili.
   Evitare di cliccare link diretti da piattaforme terze, social o mail, effettuando controlli incrociati con device che NON contengano il proprio wallet.
   
3. Aggiornare i Prodotti di Sicurezza ed attivare autenticazioni di tipo strong come quelle multifattore:
   Prodotti di sicurezza costantemente aggiornati hanno più probabilità di rilevare e bloccare siti web dannosi noti che impiegano queste tattiche ingannevoli.
   Gli aggiornamenti regolari forniscono la protezione più recente contro minacce e truffe in evoluzione nello spazio delle criptovalute.
   Accessi e conferme di azione in multifattore, limitano le possibilità di attacco e di truffa in caso di distrazione dell’utente.

L’aumento degli attacchi di phishing mirati alla sottrazion di cruptovalute sottolinea ancora una volta come l’utenza media sia poco informata.
Proteggere le proprie risorse digitali richiede attenzione, conoscenza e l’adozione di misure preventive efficaci.
Restare aggiornati sulle nuove truffe e capire come funzionano può fare la differenza tra mantenere i propri asset al sicuro e diventare vittima di un furto.

Fonti aggiuntive, link utili e research Cisco Talos a questi link:

https://support.metamask.io/privacy-and-security/staying-safe-in-web3/signature-phishing/

https://blog.talosintelligence.com/how-do-cryptocurrency-drainer-phishing-scams-work/

#cryptodrainer #cryptothief #phishing #malvertising #socialengineering #malware #cybersecurity #cybereducation #observere

L’indagine di Mandiant rilasciata il 10 giugno non ha trovato alcuna prova che suggerisca che l’accesso non autorizzato agli account dei clienti Snowflake derivi da una violazione del loro ambiente aziendale.
Ogni incidente a cui Mandiant ha risposto in questa campagna è stato ricondotto a credenziali del cliente compromesse.

Nell’aprile 2024, Mandiant ha ricevuto informazioni su database compromessi che sono stati successivamente individuati come provenienti dall’istanza Snowflake di una vittima. Dopo essere stata informata, la vittima ha incaricato Mandiant di indagare sul sospetto furto di dati. L’indagine ha rivelato che l’istanza Snowflake dell’organizzazione era stata compromessa utilizzando credenziali rubate tramite malware infostealer. L’attore di minacce ha utilizzato queste credenziali per accedere all’istanza Snowflake e sottrarre dati preziosi. Al momento della compromissione, sull’account non era abilitata l’autenticazione a più fattori (MFA).

Il 22 maggio 2024, dopo aver ottenuto ulteriori informazioni che indicavano una campagna più ampia mirata ad altre istanze di clienti Snowflake, Mandiant ha immediatamente contattato Snowflake e iniziato a avvisare le potenziali vittime. Circa 165 organizzazioni potenzialmente esposte sono state notificate da Mandiant e Snowflake.

UNC5537 ha ottenuto l’accesso alle istanze di clienti Snowflake di più organizzazioni tramite credenziali rubate, principalmente da diverse campagne malware di infostealer, utilizzando programmi come IDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA e METASTEALER.

La campagna di minacce di UNC5537 è stata facilitata da tre fattori principali:

1. Gli account compromessi non avevano l’autenticazione a più fattori abilitata, richiedendo solo un nome utente e una password validi.
2. Le credenziali rubate identificate nell’output del malware infostealer erano ancora valide, in alcuni casi anche anni dopo il furto, e non erano state aggiornate.
3. Le istanze dei clienti Snowflake non disponevano di elenchi di rete consentiti per limitare l’accesso solo da posizioni attendibili.

Questa campagna non è il risultato di strumenti, tecniche o procedure particolarmente nuove o sofisticate. Il vasto impatto è dovuto al crescente mercato degli infostealer e alla mancanza di misure di sicurezza adeguate:

• UNC5537 è stato probabilmente in grado di aggregare le credenziali per le istanze Snowflake delle vittime accedendo a varie fonti di registri di infostealer. L’economia clandestina degli infostealer è molto attiva, con ampi elenchi di credenziali rubate disponibili sia gratuitamente che a pagamento.
• Le istanze compromesse non richiedevano l’autenticazione a più fattori e molte credenziali non erano state aggiornate per anni. Inoltre, non erano stati utilizzati elenchi di autorizzazioni di rete per limitare l’accesso a posizioni attendibili.
• Una volta aggregati i dati la hacker gang ha svluppato un agente definito da Mandiant “Frostbite” per ricognire le istanze Snowflake ed interrogazioni SQL.
  (Su Alienvault è già disponibile l’elenco degli Indicatori di compromissione in formato pulse https://otx.alienvault.com/pulse/666979aec22f2fa003a8737b )
  

La campagna ai danni delle utenze Snowflake evidenzia le conseguenze della diffusione di grandi quantità di credenziali rubate nel mercato degli infostealer e potrebbe rappresentare un focus specifico su piattaforme SaaS simili.
Mandiant ritiene che UNC5537 continuerà questo modello di intrusione, prendendo di mira altre piattaforme SaaS in futuro.

Impostare e pretendere Autenticazioni Multifattore, Policy di pass rotation, monitoring e controllo sulla Supply Chain sono tra le soluzioni più comuni ma anche più efficaci per ridurre le superfici di attacco in casi similari.

Qui l’analisi Mandiant:

https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion/

#Snowflake #Mandiant #databreach #infostealer #frostbite #UNC5537 #cybercrime #cybersecurity #cybertreath

Il 31 maggio Live Nation ha confermato un data breach ai danni della propria sussidiaria Ticketmaster.

https://www.sec.gov/Archives/edgar/data/1335258/000133525824000081/lyv-20240520.htm

L’attacco rivendicato da ShinyHunters, consisterebbe in una sottrazione, secondo gli hackers, di 1,3 TB di dati, tra cui:

• Dettagli completi di 560 milioni di clienti (nome, indirizzo, e-mail, telefono)
• Vendita di biglietti, informazioni sull’evento, dettagli dell’ordine.
• Dettaglio CC – cliente, ultimi 4 della carta, data di scadenza.
  

La violazione sarebbe stata perpetrata passando tramite il provider di servizi di archiviazione in cloud Snowflakes.
La piattaforma dati cloud di Snowflake è utilizzata sa oltre 9000 clienti, tra cui alcune delle più grandi aziende a livello mondiale, come Adobe, AT&T, Capital One, HP, Kraft Heinz, Mastercard, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, Western Union, Yamaha e molti altri.

Da questo punto in poi, la vicenda si complica.

Nei pedissequi comunicati visibili anche sul suo community forum, Snowflakes avrebbe avviato subito le indagini:

Snowflake ed esperti di sicurezza informatica di terze parti, CrowdStrike e Mandiant, hanno fornito una dichiarazione congiunta relativa all’ indagine  che coinvolge anche alcuni altri account di clienti Snowflake, tra cui potrebbe essere inclusa Santander.

( https://community.snowflake.com/s/question/0D5VI00000Emyl00AB/detecting-and-preventing-unauthorized-user-access )

Il comunicato, in aggiornamento ,ad ora resta fermo sulla posizione iniziale ed asserisce che:

• non hanno identificato prove che suggeriscano che questa attività sia stata causata da una vulnerabilità, un’errata configurazione o una violazione della piattaforma Snowflake;
• non sono state identificate prove che suggeriscano che questa attività sia stata causata da credenziali compromesse del personale attuale o precedente di Snowflake;
• sembra trattarsi di una campagna mirata rivolta agli utenti con autenticazione a fattore singolo;
• nell’ambito di questa campagna, gli autori delle minacce hanno sfruttato credenziali precedentemente acquistate o ottenute tramite malware di infostealing; E 
• sono state trovate prove che un autore di minacce ha ottenuto credenziali personali e ha avuto accesso agli account demo appartenenti a un ex dipendente di Snowflake. Non conteneva dati sensibili. Gli account demo non sono collegati alla produzione o ai sistemi aziendali di Snowflake. L’accesso è stato possibile perché l’account demo non era protetto da Okta o Multi-Factor Authentication (MFA), a differenza dei sistemi aziendali e di produzione di Snowflake.

Nel corso dell’indagine, Snowflake avrebbe prontamente informato i clienti ritenuti potenzialmente coinvolti.

Le raccomandazioni declinate alle organizzazioni, suggeriscono di adottare immediatamente misure di prevenzione,mitigazione e contenimento quali:

• Applicare l’autenticazione a più fattori su tutti gli account;
• Configurare le regole dei criteri di rete per consentire accesso solo agli utenti autorizzati o consentire solo il traffico da posizioni attendibili (VPN, NAT del carico di lavoro cloud, ecc.); E
• reimpostare e modificare le credenziali di Snowflake.

Nonostante quanto sopra, altri clienti di Snowflakes si stanno facendo avanti, asserendo di aver rilevato sottrazioni di dati , come nel caso di QuoteWizard, controllata di LendingTree.

Altri, come Advance Auto Parts devono ancora notificare pubblicamente la violazione e denunciare l’incidente alla Securities and Exchange Commission degli Stati Uniti, ma sui forum nel dark web sono già apparsi annunci e comunicati relativi a massicce sottrazioni di dati dal cloud interessato.

( https://www.bleepingcomputer.com/news/security/advance-auto-parts-stolen-data-for-sale-after-snowflake-attack/ )

Per tutta risposta, Venerdì il fornitore di servizi di archiviazione cloud ha inoltre  avvisato i clienti  che sta indagando su “un aumento” degli attacchi che hanno preso di mira alcuni dei loro account, mentre il CISO di Snowflake ha aggiunto che alcuni account dei clienti sono stati compromessi il 23 maggio.

“Siamo venuti a conoscenza di un accesso potenzialmente non autorizzato a determinati account cliente il 23 maggio 2024. Durante la nostra indagine, abbiamo osservato un aumento dell’attività a partire da metà aprile 2024 da indirizzi IP e client sospetti che riteniamo siano correlati ad accesso non autorizzato”

Restano tuttora fermi sul negare proprie falle di sicurezza o di errata configurazione, come pure risultano poco chiare le motivazioni per l’assenza di comportamenti proattivi come il reimpostare forzatamente le password del parco clienti e rendere obbligatoria una autenticazione multi fattore.

#snowflake #databreach #livenation #ticketmaster #dataleak #datastolen #cybercrime #malware

Panoramica delle Campagne Malevole

Il numero complessivo di campagne malevole riscontrate ogni settimana varia, ma mostra una preoccupante costanza, che sintetizziamo di seguito:

• Totale Campagne Malevole: Da gennaio al 10 maggio 2024, il numero di campagne settimanali è stato costantemente elevato, con un picco di 30 campagne nella settimana dell’8-14 aprile.
  
• Indicatori di Compromissione (IOC): Ogni settimana sono stati identificati centinaia di IOC, con un totale che varia da 136 a 305 per settimana.
  
• Temi Principali: Le campagne malevole hanno sfruttato principalmente temi legati a “Banking”, “Pagamenti”, “Ordini”, e tematiche correlate a “INPS” e “Agenzia delle Entrate”.

Malware Predominanti

Tra i malware più frequentemente impiegati spiccano AgentTesla, SpyNote e Irata, ciascuno con un modus operandi distintivo ed estremamente aggressivo.

• AgentTesla: Questo malware ha dominato il panorama con diverse campagne settimanali. È noto per rubare credenziali e informazioni sensibili tramite email fraudolente.
  
• SpyNote: Mirato specificamente ai dispositivi Android, SpyNote si maschera spesso da applicazioni legittime come INPS Mobile, compromettendo così i dispositivi delle vittime e rubando informazioni personali.
  
• Irata: Utilizzato in campagne di smishing, Irata sfrutta SMS malevoli che inducono gli utenti a scaricare un APK infetto, con l’obiettivo di compromettere i dispositivi Android e rubare dati bancari.

Phishing Mirato: INPS e Agenzia delle Entrate

Da nove mesi, le campagne di phishing mirate a tematiche INPS e Agenzia delle Entrate sono state particolarmente persistenti.
Queste campagne cercano di ingannare gli utenti con email e SMS e portali che sembrano provenire da fonti ufficiali, chiedendo informazioni personali o inducendo a scaricare malware.

• INPS: Le campagne di smishing mirate ai clienti INPS sono costanti e sofisticate, mirando a sottrarre documenti di identità e informazioni sensibili tramite messaggi SMS fraudolenti ed applicazioni fraudolente.
• Agenzia delle Entrate: Le campagne di phishing utilizzano frequentemente il brand dell’Agenzia delle Entrate o marchi governativi, per inviare email fasulle che richiedono credenziali o inducono le vittime a scaricare malware, in particolare attraendo tramite potenziali riscossioni di bonus economici verso finti portali creati ad hoc.

Italia in difficoltà

L’analisi mostra chiaramente che l’Italia sia sotto un attacco persistente da parte di cybercriminali che utilizzano una varietà di tecniche e malware per compromettere dispositivi e rubare dati sensibili.

Il tessuto economico, composto prevalentemente da PMI, poco erudite in ambito sicurezza, ed una postura generalmente inadeguata in termini di difese da minacce informatiche, rendono molto appetibile l’Italia in questo momento storico.
Delle 471 campagne rilevate, ben 401 sono specificatamente concepite, disegnate e strutturate appositamente per il mercato italiano e per i suoi utenti, con grande conoscenza dei processi e dei flussi che caratterizzano i bersagli emulati, vedi ad esempio i finti portali agenzia delle entrate o le app INPS fraudolente.
La grande diffusione di dispositivi Android non aggiornati è particolarmente invitante per i cybercriminali, che sfruttano le vulnerabilità adottando malware come AgentTesla, SpyNote e Irata, mentre le campagne di phishing mirate con tematiche INPS e Agenzia delle Entrate continuano a rappresentare una minaccia significativa.

L’utenza italiana e le aziende devono lavorare su una acquisizione di crescenti consapevolezze in materia di cybereducazione e minacce, nonché adottare sia misure di monitoraggio che di sicurezza adeguate, come l’uso di software antivirus aggiornati, la verifica delle fonti prima di cliccare su link sospetti, e la segnalazione di messaggi fraudolenti alle autorità competenti.
La collaborazione tra cittadini, organizzazioni e agenzie di sicurezza informatica sarà sempre più essenziale per combattere efficacemente queste minacce e proteggere i dati sensibili.

#certagid #malware #italy #cybersecurity #cyberthreat #cybermenace #cybereducation #agenttesla #malwarecampaign #inps #phishing

Gli utenti domestici, spesso meno informati o dotati di risorse per la sicurezza rispetto alle aziende, sono bersagli appetibili per i cybercriminali.
Questi criminali cercano dati finanziari, come carte di credito e portafogli di criptovalute, e informazioni personali, che possono essere sfruttati o venduti a terzi.
Software come Vidar, StealC e Lumma Stealer vengono distribuiti tramite YouTube con la promessa di software piratato o crack di videogiochi.
I collegamenti nelle descrizioni di questi video portano al download di malware, compromettendo i dispositivi degli utenti .

E’ quanto recentemente scoperto dai ricercatori di Proofpoint ed avallato da Cybereason.
L’ingegnoso schema di attacco prevede il recupero di credenziali , sovente già disponibili nel dark web, di account in disuso con un buon seguito e allocati in differenti aree geografiche.

Vengono a questo punto selezionati tematiche in voga tra giocatori di giovane età, e poi prodotti video che promettono codici, cheat e trucchi per i suddetti videogiochi, quindi creati utenti che commentano positivamente, in modo da avallare come il corretto funzionamento dei trucchi.

I video, mostrano addirittura tutorial sulle procedure da eseguire per far funzionare i codici bonus, in realtà volte a disattivare antivirus e misure di sicurezza del Device attaccato.

Questa strategia di distribuzione è particolarmente insidiosa perché spesso prende di mira utenti giovani, compresi bambini, che hanno meno capacità di riconoscere contenuti dannosi o rischi online.
I criminali, sfruttando l’accesso ai dispositivi, possono acquisire informazioni che li aiutano a risalire lungo la catena di distribuzione, ampliando l’impatto dei loro attacchi, o asservirne gli strumenti per schierarli all’interno della propria linea di Bot per DDOS.

Ulteriormente, Un dispositivo compromesso, se appartenente ad un genitore può diventare un trampolino di lancio per accedere a reti aziendali o altri dispositivi, aumentando così i danni e i proventi derivanti dalle attività illecite.

In questo contesto, è importante riconoscere i segni di un account sospetto o compromesso. Questi segni possono includere intervalli di tempo significativi tra i video pubblicati, contenuti che differiscono notevolmente dai video precedenti, differenze nelle lingue e descrizioni dei video contenenti collegamenti potenzialmente dannosi. Questi indicatori sono utili per rilevare attività sospette e adottare misure per limitare i rischi.

Oltre al rischio di crimini informatici, non dimentichiamo che le organizzazioni possono far parte di un più ampio contesto gerarchico.

L’approvvigionamento di beni, risorse e arsenali telematici è una componente centrale di qualsiasi conflitto, che può influenzare l’esito delle operazioni. 

I cybercriminali possono agire sia per fini personali, come il profitto finanziario, che per scopi più ampi, come la destabilizzazione di organizzazioni o persino di nazioni, o la partecipazione ad eventi di haktivism e cyber-warfare. 

Il passaggio attraverso dispositivi compromessi di utenti domestici può contribuire a sostenere tali attività, conferendo un ruolo più ampio ai danni derivanti da queste minacce informatiche.

Controllate i vostri apparecchi, e magari anche di più i vostri utenti famigliari.

Qui ricerca Proofpoint:

https://www.proofpoint.com/us/blog/threat-insight/threat-actors-deliver-malware-youtube-video-game-cracks

Qui le tecniche identificate da Cybereason:

https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos

#youtube #malware #hacking #ddos #infostealer #cybersecurity

L’Operazione Cronos, risultato della collaborazione delle forze dell’ordine e dei dipartimenti internazionali di undici paesi, ha permesso di porre un freno alle operazioni di LockBit , procedendo al sequestro di vari siti Web pubblici utilizzati dal gruppo per connettersi alla propria infrastruttura e riuscendo a prendere il controllo dei server utilizzati dagli amministratori di LockBit.
Questa azione ha interrotto le capacità dei criminali di attaccare e crittografare le reti delle vittime.

La task force internazionale ha anche ottenuto numerose chiavi di decrittazione, provvidenziali per aiutare le vittime a recuperare i propri dati ed ha ribadito che procederà con il proprio impegno nel contrastare i ransomware, affermando che LockBit è solo uno dei molti gruppi che sono stati e verranno smantellati dalle autorità.

L’azione coordinata internazionale ha portato allo sviluppo di funzionalità di decrittazione che possono aiutare centinaia di vittime in tutto il mondo a ripristinare i propri sistemi crittografati da LockBit.

Le vittime sono incoraggiate a contattare l’FBI per verificare se i loro sistemi possano essere decifrati con successo.

Questo è il Link di riferimento:

https://lockbitvictims.ic3.gov/

Inoltre grazie ad esperti giapponesi è stato pubblicato anche un altro tool di supporto per decrittare i dati delle vittime:

https://www.nomoreransom.org/en/decryption-tools.html#Lockbit30

Oltre agli arresti e alle azioni contro i membri principali di LockBit, sono stati emessi mandati di perquisizione che hanno permesso all’FBI di interrompere server utilizzati dagli amministratori di LockBit per gestire strumenti criminali come “StealBit”, utilizzati per organizzare e trasferire i dati delle vittime.

La variante ransomware LockBit, emersa nel 2020, ha rapidamente guadagnato notorietà per la sua attività aggressiva e dannosa.
Operando su un modello di “ransomware-as-a-service”, i membri di LockBit progettano il ransomware e reclutano affiliati per distribuirlo.
Gli affiliati, a loro volta, eseguono gli attacchi contro sistemi informatici vulnerabili e chiedono riscatti per decrittografare i dati rubati.

L’operazione congiunta ha coinvolto numerose agenzie e organizzazioni internazionali, dimostrando la determinazione nel contrastare le minacce informatiche e perseguire i responsabili.

Ulteriori risorse per la protezione dalle minacce ransomware sono disponibili su StopRansomware.gov.

L’interruzione del gruppo ransomware LockBit rappresenta un importante successo nella lotta contro la criminalità informatica su scala globale, dimostrando l’efficacia della cooperazione internazionale e dell’azione congiunta delle forze dell’ordine.
Risulta implicito che non si debba abbassare la guardia con questo primo successo, le hacker gang sono ben note per essere in grado di rivoluzionare se stesse ed adattarsi a scenari differenti con estrema rapidità.

L’attività continua deve essere supportata da una salvaguardia dei propri dati e delle proprie strutture mediante controllo continuo, educazione del personale ed aggiornamenti regolari, onde limitare le occasioni di alimentare l’ecosistema criminale con facili bersagli.

Comunicato stampa completo a questo link:

https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant

#lockbit #lockbitdown #cybersecurity #ransomware #cybernews #cybereducation #observere

Allo stesso tempo, anche le VPN, che dovrebbero garantire una connessione sicura e crittografata per il lavoro remoto, sono diventate un bersaglio sempre più allettante per gli hacker.
Ivanti, ad esempio, che dopo le precedenti due scoperte, ha recentemente rivelato di aver riscontrato un nuovo zero-day sotto attacco attivo, con le autorità informatiche tedesche che segnalano di aver rilevato sistemi compromessi dalla nuova vulnerabilità. 

La CISA ha reagito con urgenza, richiedendo alle agenzie federali di disconnettere le apparecchiature VPN Ivanti vulnerabili entro 48 ore. Anche se sono state rilasciate patch per tutte le vulnerabilità, la scoperta di nuovi zero-day mette in evidenza la continua minaccia che queste tecnologie affrontano e di come ci si trovi sempre più una gara tra difensori ed attaccanti ricolmi di risorse.

Infine, anche i fornitori di servizi di sicurezza di alto livello, come Cloudflare, non sono immuni agli attacchi. Anche se nel caso specifico l’azienda è riuscita a respingere l’attacco senza alcuna violazione dei dati dei clienti, l’incidente sottolinea l’importanza della trasparenza e della gestione proattiva delle vulnerabilità. Il fallimento nel ruotare un token derivante da un precedente attacco al sistema di supporto di Okta ha contribuito alla compromissione temporanea di Cloudflare.

In questo contesto, l’adozione di politiche Zero Trust, come quelle adottate da Cloudflare, diventa sempre più cruciale. Questo approccio implica che nessuna connessione, interna o esterna, dovrebbe essere considerata attendibile a priori, richiedendo una continua verifica dell’identità e delle autorizzazioni per ogni accesso alla rete. Anche se può sembrare un cambiamento significativo, soprattutto per aziende meno mature dal punto di vista della sicurezza, è fondamentale per rendere più difficile il lavoro dei criminali informatici e proteggere i dati sensibili da attacchi sempre più sofisticati e diffusi.

Nella continua battaglia tra gli hacker aggressori e i difensori, che spesso sono limitati a reazioni passive come rinforzare, correggere, sorvegliare e mitigare senza la possibilità di contrattaccare, diventa essenziale adottare politiche di sicurezza avanzate come il modello Zero Trust. Tuttavia, è altrettanto importante implementare campagne educative continue a tutti i livelli, partendo dai singoli cittadini fino ad arrivare ai fornitori di servizi, al fine di innalzare mediamente il livello di sicurezza.

Questo approccio non solo aumenterebbe la consapevolezza delle minacce digitali e delle pratiche di sicurezza, ma potrebbe anche limitare l’afflusso di finanziamenti che alimenta l’acquisizione di risorse e strumenti utilizzati dagli hacker. Riducendo il sostentamento e i rifornimenti delle linee di attacco, potremmo rendere meno allettanti le attività di hacking, contribuendo a creare un ambiente digitale più sicuro e resiliente per tutti gli attori coinvolti.

Comunicato Cloudflare:

https://blog.cloudflare.com/thanksgiving-2023-security-incident

Comunicato Ivanti:

https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Comunicato Anydesk

https://anydesk.com/en/public-statement

#zerotrust #databreach #vpn #ivanti #anydesk #cloudflare #cybersecurity #cyberthreats #cybereducation

Il processo difensivo di risposta sembrerebbe sia  stato immediatamente attivato al fine di investigare, interrompere attività dannose, mitigare l’attacco e bloccare ulteriori accessi da parte dell’autore della minaccia.

Stando alle investigazioni, le prime attività risalirebbero alla fine di novembre 2023, quando l’autore della minaccia avrebbe sfruttato un attacco spray password per compromettere un account tenant di test non di produzione.

Successivamente, avrebbero utilizzato le autorizzazioni ottenute per accedere a una limitata percentuale di account di posta elettronica aziendali Microsoft, tra cui alcuni membri del team dirigenziale senior e dipendenti dei dipartimenti di sicurezza informatica e legal.
Durante l’attacco, parrebbero essere state estratte alcune e-mail e documenti allegati.
L’indagine suggerisce che l’obiettivo sarebbe stato proprio comprendere di quali informazioni relative a Midnight Blizzard disponesse Microsoft.
Tutti i dipendenti colpiti sarebbero stati tempestivamente avvisati.

L’attacco non è stato il risultato di una vulnerabilità nei prodotti o servizi Microsoft. Nel comunicato, il colosso di Redmond asserisce che non vi sia alcuna prova che l’autore della minaccia abbia avuto accesso agli ambienti dei clienti, ai sistemi di produzione, al codice sorgente o ai sistemi di intelligenza artificiale.
Si dice tuttavia pronto ad informare tempestivamente i soggetti eventualmente coinvolti di eventuali azioni da intraprendere.

Non solo, la riflessione seguente dall’attacco porta ancora una volta a dover considerare come minacce primarie i gruppi hacker sostenuti da risorse nazionali, con una dichiarazione di cambio di rotta e rinnovamento dei processi di sicurezza e rischio aziendale.

Microsoft dichiara di essere già sul punto di agire per applicare i rinnovati e più attuali standard di sicurezza ai sistemi legacy di proprietà di Microsoft e ai processi aziendali interni, sottolinenando di essere pronta a sostenere interruzioni ai processi aziendali esistenti pur di applicare i necessari cambiamenti.

Qui il comunicato:

https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/

#Microsoft #Microsoftdatabreach #databreach #midnightblizzard #cybercrime  #cyberthreat

Tra le attività di routine e preoccupazioni di qualsiasi responsabile alla sicurezza informatica svetta il ragionato e costante aggiornamento delle applicazioni, che diventa ancora più urgente in caso vengano segnalate gravi falle in programmi di uso quotidiano:
Una vulnerabilità in Google Chrome, rientra perfettamente in questo perimetro

Qui le patch notes diffuse il 16 gennaio per Chrome Desktop, inerente sistemi Windows, MAC e Linux:
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

La correzione è giunta abbastanza rapidamente, in meno di una settimana dopo che la segnalazione anonima giunta a Google della falla.

La problematica è stata identificata come CVE-2024-0519, una vulnerabilità che potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario e causare crash del programma.

Google ha evitato di fornire ulteriori dettagli sulla natura degli attacchi e sui potenziali autori nel tentativo di prevenire ulteriori sfruttamenti della vulnerabilità zero-day, come già successo per quelle del 2023.

Come ben sappiamo nonostante campagne di bug-hunting tenute dalle compagnie e l’impegno ad una divulgazione etica da parte di ricercatori leciti presso vendor ed enti preposti, le Zero-day emergono generalmente dopo la scoperta e lo sfruttamento da parte di gang criminali.

Il commercio delle vulnerabilità zero-day è un fenomeno interessante e complesso che si pone alla fine del ciclo di scoperta e sfruttamento delle debolezze.

Il concetto di vulnerabilità zero-day si svela come un intricato fenomeno che alimenta un mercato nero in cui le informazioni relative a queste falle sono scambiate come preziose merci.
Le vulnerabilità zero-day, che sono sconosciute agli sviluppatori o non ancora corrette, danno vita a “exploit” che vengono prima sfruttati attivamente da cerchie più o meno ristrette di alti specialisti del crimine, per poi venire commercializzati nei mercati virtuali del dark web , generalmente una volta che l’effetto di esclusività si è ridotto.

Trovare sugli scaffali di questi supermarket del crimine delle vere e proprie Zero-day, data la complessità e rarità della sua natura è un evento piuttosto remoto, generalmente la commercializzazione avviene in prossimità o nel momento in cui queste passino al livello Half-day, ossia vulnerabilità di cui i produttori abbiano da poco conosciuto l’esistenza e proceduto a patchare.

In quest’ottica il volano mediatico fa pubblicità e permette di vendere massivamente le modalità di attacco alle gang meno esperte, sfruttando l’opportunità data dalla lentezza con cui sistemi pubblici e privati vengono aggiornati per aggredire bersagli nuovi o in spending da tempo.

Patchare e ridurre la superficie degli attacchi è quindi sempre anche una gara contro il tempo.

#patching #chrome #google #zeroday #cyberattack #cybersecurity #cyberthreat

Fortunatamente l’inizio dell’anno comincia senza Zero-day conosciute, sebbene nell’elenco spicchino 6 CVE catalogati con un punteggio di base pari o superiore ad 8 e siano riscontrate due debolezze critiche che per la loro sfruttabilità potrebbero permettere ai malintenzionati di aggirare i sistemi di autenticazione e prendere il possesso dei sistemi impattati.

• 12 permettono l’esecuzione di codice remoto
• 11 rientrano nell’ambito della sottrazione e divulgazione delle informazioni
• 10 elevazioni dei privilegi
• 7 vulnerabilità incentrate sull’aggiramento delle funzioni di sicurezza;
• 5 impiegabili per negazioni di servizio
• 3 di spoofing.

Qui il dettaglio della patch:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan

Dettagliando, le vulnerabilità critiche che preoccupano maggiormente sono le seguenti:

• CVE-2024-20674 (punteggio CVSS: 9,0): si tratta di una vulnerabilità di bypass della funzionalità di sicurezza identificata in Windows Kerberos:
• CVE-2024-20700 (punteggio CVSS: 7,5): vulnerabilità di esecuzione di codice remoto identificata in Windows Hyper-V.

Cui sommare questo elenco prioritario:

Il consiglio come sempre è quello di un rapido e massiccio aggiornamento dei sistemi personali ed aziendali.
Patchare gente, patchare..

#PatchTuesday #Microsoft #cve #Cyberthreat #exploit #update #patching #cybersecurity

La Proposta Radicale: Vietare i Pagamenti dei Riscatti

La crisi dei ransomware sta portando gli specialisti ad abbracciare sempre più un approccio radicale:
la proposta di divieto totale dei pagamenti dei riscatti come soluzione realmente efficace.
Questo pericoloso crimine informatico, essendo orientato al profitto, dovrebbe perdere il suo incentivo finanziario.

Se i riscatti diventassero non redditizi a fronte delle risorse impiegate, secondo molti analisti gli attacchi si ridurrebbero rapidamente.
Su questa tesi sarebbero considerate necessarie le evidenti difficoltà iniziali che potrebbero affliggere le aziende colpite, a fronte di una contrazione della spirale di attacchi.

Le Obiezioni :

Tra le più evidenti obiezioni va considerato il concreto rischio che molte aziende violino la legge e paghino comunque segretamente, in funzione dei danni di immagine che per molti manager comporta una ammissione di attacco o data breach.
Tuttavia, l’impiego della misura del divieto non si prefisserebbe necessariamente lo scopo di fermare tutti i pagamenti, ma bensì quello di puntare ad una riduzione sufficiente a rendere il ransomware non redditizio.
Considerando quindi che la maggior parte delle aziende preferirebbe rispettare la legge, nell’arco di un tempo ragionevole il traguardo verrebbe probabilmente raggiunto.
Anche se un’idea tanto radicale implicherebbe problemi nel breve termine, continuare a non vietare i pagamenti implicherebbe danni a lungo termine per tutte le vittime, garantendo un flusso continuo e sempre più impiegato di attacchi ransomware.

La Doppia Estorsione: Una Tattica in Aumento

I criminali informatici, spesso richiedendo pagamenti in criptovalute difficili da rintracciare, adottano la doppia estorsione. Oltre al riscatto, minacciano di esporre online dati precedentemente rubati se le vittime non pagano entro un certo periodo. Questa minaccia supplementare esercita una pressione aggiuntiva sulle organizzazioni attaccate.

La Situazione in Italia: Una Minaccia Crescente

L’Italia, in particolare, ha subito un aumento preoccupante di attacchi ransomware.
Nel primo trimestre del 2023, sono stati registrati 33 attacchi, con un tasso di crescita del 44% rispetto al 2022. Nel secondo trimestre, il numero è salito a 53, portando il totale a 86 attacchi e un impressionante tasso di crescita del 96% rispetto al 2022.

Tra le fonti impiegate per queste numeriche è stato impiegato l’eccellente progetto italiano Ransomfeed, una dashboard di monitoring dedicata a questa tipologia di attacchi.
https://ransomfeed.it/

Azioni Immediate

In conclusione, la minaccia ransomware richiede azioni immediate di contenimento e riduzione.
Propugnare il divieto dei pagamenti dei riscatti sebbene risulti una proposta audace, potrebbe diventare essenziale.
L’Italia già di suo dovrebbe superare la diffidenza e l’approssimazione con cui vengono considerate le spese inerenti cybersicurezza e cybereducazione, con un indirizzamento da parte dello stato ad intensificare la sua sicurezza informatica e investire in risorse che proteggano le aziende e le infrastrutture critiche.
Globalmente, la comunità internazionale deve collaborare per affrontare questa minaccia cibernetica e garantire la sicurezza e la resilienza delle nazioni di fronte al crescente pericolo del ransomware.
Con il numero di aziende vittime di ransomware in aumento del 185% dall’inizio dell’anno, diviene vitale esplorare soluzioni concrete per proteggere le organizzazioni e preservare la sicurezza dei dati.

In Italia, l’80% delle vittime di ransomware sono rappresentate da PMI, che spesso per mezzi, cultura aziendale e risorse cyber impiegate, faticano a rilevare per tempo, far fronte al data breach o blocco subito nonchè denunciarlo e risolverlo, con conseguenze che spesso implicano la chiusura aziendale entro sei mesi dall’attacco.

Adottare strategie di backup multilivello potrebbe risultare cruciale per garantire la protezione continua dei dati. Tra le strategie in fase di testing si evidenziano applicazioni dotate di versioning e object lock, funzioni che se ben gestite insieme ad un livello di cyber education crescente potrebbero dare risultati promettenti. 

Il cosiddetto versioning consentirebbe di conservare molteplici versioni di un file, offrendo così una difesa contro gli attacchi ransomware.
Parallelamente, l’object lock introdurrebbe una barriera aggiuntiva, permettendo agli utenti di ‘bloccare’ un file per impedire modifiche, cancellazioni o cifrature non autorizzate, il che combinato con una gestione dei log e temporizzando la funzione potrebbe ridurre ulteriormente le finestre di attacco.

#ransomware #cybersecurity #ransomfeed #cybereducation #italy #observere

La situazione critica si è estesa come detto alle aziende private che utilizzano Westpole come fornitore di servizi cloud, ad esempio il Gruppo Buffetti S.p.A. e Dylog, entrambi legati a PA Digitale.
La dipendenza dal servizio di fatturazione Quifattura, basato sui server di Westpole, ha aggravato ulteriormente la portata degli inconvenienti.

È evidente come la pubblica amministrazione si trovi impreparata e abbandonata a se stessa di fronte a minacce cibernetiche sempre più sofisticate.
I budget limitati e le architetture obsolete rendono l’amministrazione vulnerabile a attacchi, in particolare quelli mirati alle supply chain. 

Questa vulnerabilità Italiana è particolarmente critica anche worldwide per settori chiave come l’istruzione, la pubblica amministrazione e le telecomunicazioni, come sottolineato anche dai trend di analisi attacchi a livello globale.

Il recupero dei dati criptati sembra andato a buon fine, con l’Agenzia Cyber (ACN) che ha annunciato il successo nel ripristino di oltre 1700 soggetti pubblici legati a PA Digitale e la risoluzione complessiva in una nota del 19 dicembre.

11 giorni di duro lavoro e di blocco dei servizi, i cui impatti a lungo termine non possono e non devono essere trascurati.

La gang Lockbit, responsabile dell’attacco, ha richiesto un riscatto a Westpole, confermando di essere gli artefici dell’operazione.
L’approccio ransomware as a service (RaaS) adottato da Lockbit evidenzia, come si sostiene da tempo, la trasformazione delle gang di hacker non attiviste in sistemi di stampo aziendale  organizzati e commerciali, elemento questo che evidenzia la necessità di una risposta tempestiva e coordinata da parte dei governi.

La segnalazione di CISA del 22 novembre aveva già messo in guardia sull’utilizzo da parte degli affiliati Lockbit del CVE 2023-4966 per aggirare le protezioni di password e autenticazione a più fattori. Questo evento rappresenta un ulteriore avvertimento sulla necessità di attuare misure preventive a livello di politiche di sicurezza.

Infine, la pubblica amministrazione, attraverso PA Digitale S.p.A., ha annunciato il ripristino delle funzionalità operative e l’avvio di attività di miglioramento delle prestazioni.
Tuttavia, la vera portata dei danni emergerà solo con la pubblicazione della rivendicazione da parte degli affiliati di Lockbit.
È evidente che gli attacchi alle supply chain di ogni settore rimarranno una minaccia predominante anche nel 2024, sottolineando l’urgente necessità di rafforzare le difese cibernetiche ponendo dei dictat a livello governativo.

#cybersecurity #ransomware #lockbit #cyberthreat #cyberattack #westpole

Negli ultimi tempi, una pericolosa campagna di tipologia phishing ha ripreso consistenza, prendendo di mira gli utenti del rinomato portale di prenotazioni, Booking.com. 

I truffatori stanno cercando di sfruttare la fiducia degli utenti nel brand, provando a sfruttare il sistema di messaggistica e la e-mail di conferma delle prenotazioni dedicato agli albergatori ed host del portale.

I messaggi di posta elettronica, di fatto, hanno un mittente teoricamente legittimo presso il quale l’utente ha effettivamente effettuato una prenotazione.
Nel testo si  segnala un pagamento non andato a buon fine, viene richiesto il reinserimento di alcuni dati, tra cui ovviamente anche quelli di una carta di credito valida, facendo leva sulla minaccia di disdetta della prenotazione qualora non si proceda entro un utopico tempo massimo di 24 ore a provvedere.
Nell’e-mail è presente un link esterno molto simile anche nella forma che andrebbe a direzionare l’utenza verso un sito di proprietà degli attaccanti.

Booking.com non sembra aver ancora indicato violazioni del suo sistema, bensì ha invece attribuito la problematica a violazioni nei sistemi di posta elettronica degli hotel ed host partner.

La campagna fraudolenta impiega sia e-mail che messaggi diretti attraverso l’app di Booking.com, entrambi in lingua inglese.
I truffatori impossessandosi delle credenziali, generalmente tramite degli info stealer, rilevati dalle CTI in azione anche il 10 dicembre, impersonano gestori di hotel o appartamenti, comunicando agli utenti che il pagamento per un soggiorno effettivamente prenotato non sia andato a buon fine. 

Per risolvere il presunto problema, pena cancellazione, gli utenti sono invitati a cliccare sul sopracitato link malevolo fornito nella comunicazione.

Il collegamento veicola l’utente verso una pagina web ben falsificata che imita fedelmente l’aspetto di Booking.com.
Qui, le vittime meno attente vengono indotte a  reinserire vari dati, inclusi gli estremi di una carta di credito, con il pretesto di risolvere il problema di pagamento. 

L’artificio volto concretamente a rubare informazioni personali, finanziarie nonché chiaramente ad ottenere denaro, è caratterizzato da toni allarmistici, ufficiali e di netta urgenza, espressi sempre in lingua inglese a dispetto della lingua principale dell’host.

Oltre a prestare attenzione al potenziale indicatore linguistico differente rispetto alle comunicazioni precedenti, per evitare di cadere vittima di queste truffe, è fondamentale essere consapevoli di alcune indicazioni chiave:

• Booking.com è in realtà un portale generalmente sicuro, con chiare regole a tutela di utenti e albergatori che non invia e non invierà mai e-mail o messaggi in app contenenti richieste di inserire nuovamente le credenziali di pagamento attraverso link esterni.

• Eventuali errori grammaticali, discrepanze linguistiche o incongruenze nei messaggi ricevuti, devono essere sempre considerate indicatore che attivi l’attenzione dell’utente.

• Toni allarmistici e ultimatum non fanno parte delle linee guida del portale.

Booking.com ha preso atto di questa campagna di phishing e sta lavorando attivamente per proteggere i propri utenti. 

La società ha reso noti dettagli sulle tecniche utilizzate dai truffatori e ha avviato campagne di sensibilizzazione per educare gli utenti su come identificare tentativi di phishing.

Alcuni consigli:

• Verificare l’Autenticità: Sempre verificare la legittimità delle comunicazioni ricevute, specialmente se richiedono informazioni sensibili.
• Verificare gli orari di invio della comunicazione , diffidare di toni urgenti e tempistiche di scadenza anomale.
• Non Cliccare su Link Sospetti: Evita di cliccare su link provenienti da messaggi o e-mail sospette. E’ sempre preferibile accedere direttamente al sito ufficiale di Booking.com tramite il browser o la app.
• Aggiorna le Credenziali: Cambiare regolarmente le password e utilizzare combinazioni complesse aumenta la sicurezza degli account.
• In Caso di dubbi  contattare sempre prima l’assistenza di Booking.com direttamente

La campagna di phishing contro gli utenti di Booking.com è un promemoria dell’importanza di essere sempre vigili online.
Mantenere un alto livello di consapevolezza e adottare pratiche di sicurezza informatica è essenziale per proteggere i propri dati personali e finanziari. 

Condividendo articoli come questo ed educando i propri utenti è possibile contenere queste minacce digitali, riducendo i rischi e rendendo meno appetibili o perlomeno di realizzazione meno semplice truffe massificate.

#booking.com #phishing #newmenace #socialengineering #fraud #cybereducation #cybersecurity

Un recente studio condotto da Binarly Research, con grande dispiegamento di energie e risorse, ha gettato una luce preoccupante sul mondo della sicurezza informatica. Secondo il rapporto, centinaia di modelli di computer Windows e Linux, provenienti da praticamente quasi tutti i produttori di hardware, sono vulnerabili a potenziali attacchi che consentirebbero l’esecuzione di firmware dannoso durante il processo di avvio. Queste vulnerabilità, battezzate LogoFAIL, sono particolarmente inquietanti in quanto sono quasi impossibili da rilevare o rimuovere, nonché ulteriormente possono essere sfruttate con relativa facilità da un attaccante preparato.

Il team di Binarly Research ha indagato approfonditamente sugli elementi vulnerabili nell’analisi delle immagini nell’intero ecosistema del firmware UEFI. Sorprendentemente, la ricerca ha rivelato che tutti i principali produttori di dispositivi, sia quelli basati su architettura x86 che su ARM, possono essere coinvolti in questa vulnerabilità.

La vulnerabilità si concentra sui parser di immagini utilizzati per visualizzare i loghi durante l’avvio o nella configurazione del BIOS.
Questi parser, in teoria, dovrebbero garantire una corretta visualizzazione del logo, ma le personalizzazioni introdotte dai produttori, come la possibilità di modificare il logo di avvio, aprono una porta per possibili attacchi.

Normalmente, il logo viene letto direttamente da un volume firmware, spesso protetto da tecnologie di avvio verificate basate su hardware come Intel Boot Guard. Tuttavia, i LogoFAIL sfruttano una falla nel sistema, consentendo agli aggressori di inserire moduli dannosi anziché limitarsi a personalizzare il logo.

Il bootloader UEFI, l’ESP (EFI System Partition), è stato identificato come un obiettivo principale per moderni bootkit UEFI come ESPecter e FinSpy. Questi attacchi sostituiscono i bootloader del sistema operativo, ottenendo così la capacità di persistere per manovre future, mettendo a rischio la sicurezza dell’intero sistema.

Il pericolo aumenta ulteriormente quando si considerano le personalizzazioni specifiche dell’OEM (Original Equipment Manufacturer) di ogni produttore. Le funzionalità di personalizzazione diventano una nuova superficie di attacco, poiché consentono agli aggressori di modificare il logo durante l’avvio del sistema e lanciare attacchi basati sui dati personalizzati.

L’exploit di queste vulnerabilità dipende ovviamente dalla capacità dell’utente di inserire dati nei parser, limitandone quindi per ora l’uso ad utenze esperte o a kit di attacco molto personalizzati e costosi.
Quando questi parser sono utilizzati per visualizzare un logo durante l’avvio e possono essere manipolati da un utente malintenzionato, la minaccia di LogoFAIL diventa tangibile.

Per chi desidera approfondire la questione e comprendere il processo dettagliato, Binarly Research ha reso disponibili informazioni aggiuntive e la prova di concetto (POC) nel seguente link: LogoFAIL: The Dangers of Image Parsing During System Boot.

Inoltre, per ulteriori dettagli sull’impatto su scala più ampia dell’industria del software, incluso il rilascio di codice sorgente MSI con chiavi OEM Intel trapelate, si consiglia di consultare il seguente link: Leaked MSI Source Code with Intel OEM Keys: How Does This Affect Industry-Wide Software Supply Chain?.

La comunità della sicurezza informatica è ora chiamata a prestare particolare attenzione a queste vulnerabilità e ad adottare le contromisure necessarie per proteggere i sistemi da potenziali attacchi che potrebbero sfruttare le falle esposte da LogoFAIL.

#LogoFail #exploit #cyberthreat #newmenace #parser #cybersecurity #BinarlyResearch #Observere #SystemBoot

Una buona notizia che traccia anche la via del comportamento etico che andrebbe tenuto nei confronti degli utenti e che si denota per pro attività.

Protagonista della segnalazione è stata Salt Security, azienda leader nel settore della sicurezza API, che mercoledì 23 ottobre aveva pubblicato una nuova ricerca sulle minacce condotta dai suoi Salt Labs evidenziante le vulnerabilità della sicurezza API scoperte nell’accesso social e nell’autenticazione aperta (OAuth) adottata da più società online, tra cui Grammarly, Vidio e Bukalapak.

Il bug interessava l’accesso social – ossia la richiesta di accesso ad un servizio web mediante le proprie credenziali esistenti per una piattaforma come Facebook o Google – per degli errori nelle implementazioni del protocollo comune di Open Authentication.

Un portavoce di Grammarly ha espresso tutta la propria gratitudine verso Salt Security.

Con un bacino di più di 30 milioni di utenze che utilizzano quotidianamente lo strumento AI al fine di rivedere i propri testi, il danno potenziale in caso di esfiltrazione dati sarebbe potuto essere elevatissimo.

Secondo il report la vulnerabilità non ha avuto originato fortunatamente compromissioni di account.

I problemi riscontrati erano legati non tanto al prodotto, quanto al modo in cui OAuth viene implementato dalle varie parti che lo impiegano. 

L’estrema utilità del Social-Login e la facilità con cui può essere implementato a livello base, ne fanno uno strumento di elevatissimo successo che però necessita di maggior consapevolezza e tecnica per un inserimento sicuro.

In questo caso, la tecnica utilizzata “Pass-The-Token Attack” permetteva di aggirare il protocollo inserendo un token verificato da un altro sito ed utilizzarlo per accedere all’account utente.

( https://attack.mitre.org/techniques/T1550/ )

Un caso similare, sempre rilevato e notificato da Salt Security aveva interessato ed era stato risolto ad inizio anno sulla piattaforma Booking.com

La riflessione su come applicazioni di login facilitato tramite social possano rientrare nel mirino di attori malevoli non dovrebbe essere presa con leggerezza, come pure andrebbe riconsiderato il suo utilizzo massivo, rivedendolo secondo più precise e consapevoli azioni di testing e configurazione, o secondo sue rielaborazioni che magari non lascino esposti direttamente i possibili dati social reali degli utenti.

#cybersecurity #patch #grammarly #saltsecurity #oauth #vulnearbilitysolved #cybereducation #cyberthreat

Un’idea errata che, per quanto romantica, andrebbe sostituita con quella di vere e proprie società organizzate sommerse, intente ad ideare, costruire e vendere prodotti, supportate da campagne marketing mirate nel dark web, tutorial di configurazione e servizi di post-vendita.

Evilproxy, è uno di questi prodotti.
Disponibile sul dark web per l’equivalente di circa 400 dollari, questo kit rappresenta una piattaforma PaaS (Phishing as a Service) che, in particolare, offrirebbe la capacità di creare pagine di phishing personalizzate atte ad agire con funzioni di reverse proxy e cookie injection.

Le pagine prodotte, del tutto simili a quelle lecite emulate, sarebbero progettate per catturare i cookie di sessione degli utenti, al fine di consentire agli aggressori di impersonare le vittime e superare l’autenticazione a più fattori (MFA) per ottenere accesso a un sito web legittimo.

Le prime tracce risalirebbero a maggio 2022, quando  era stato individuato dal team Hunter di Resecurity.
L’uso di una versione del kit perfezionata sarebbe poi stato rilevato a Luglio 2023, come apparirebbe dalla ricerca di Menlo Labs che ha individuato e bloccato tale campagna malevola ai danni di manager negli Stati Uniti dove veniva utilizzato per emulare mail mirate del noto portale INDEED.

Un attacco mirato che rappresenta generalmente il primo passaggio di catene di attacco più strutturate, volte a compromettere poi mail aziendali, clonare identità e colpire le aziende in cui i malcapitati lavorano con danni economici spesso notevoli.

L’evoluzione in società dei gruppi di hacker costituisce un segnale potente per la sicurezza generale degli utenti, visto che sistemi pronti all’uso come quelli da loro creati, come EvilProxy, rendono accessibili anche agli utenti meno esperti mezzi potenti e perfezionati, elevando il livello medio di azione della platea degli attori malevoli.

In conseguenza di tale innalzamento, le piccole e medie imprese, tradizionalmente meno dotate di sistemi di sicurezza, potrebbero più facilmente rientrare nel mirino di attività illecite, ed essere poi sfruttate oltre che per rapidi proventi economici anche per risalire la china della supply-chain ed intaccare bersagli più grossi.

Ancora una volta, informare, investire in corsi di sensibilizzazione e aggiornare i propri livelli di sicurezza, ad esempio adottando soluzioni MFA resistenti al phishing come le autenticazioni passwordless FIDO, appaiono come le soluzioni più rapide ed indicate  per mitigare concretamente i rischi.

Link al report Menlo Security:

https://www.menlosecurity.com/blog/evilproxy-phishing-attack-strikes-indeed/

#evilproxy #phishing #cyberthreat #cyberattack #indeed #cybereducation #indeed #newthreats #cybersecurity #observere

Usufruendo di liste di numeri facilmente reperibili nell’ambiente, i criminali tendono una trappola semplice eppur ben articolata, che sfrutta le tecniche del social engineering per indurre le vittime ad inviare denaro in maniera istantanea ai malcapitati.

Ma vediamo come funziona:

O tramite sms o direttamente tramite whatsapp un numero sconosciuto inoltra alla potenziale vittima un messaggio con una di queste varianti: “ Ciao, sono tuo figlio, questo è il mio nuovo numero di telefono/ ho cambiato sim telefonica/ ho rotto il telefono, mi manderesti un messaggio via whatsapp? “

Se la vittima risponde, spesso dopo aver confrontato la foto profilo, il truffatore personalizza la conversazione, facendo emergere di avere un qualche problema ed invitando progressivamente la vittima a effettuare un bonifico istantaneo urgente per aiutarlo.

In altri casi, il truffatore potrebbe, sempre puntando tutto su fiducia, protezione per il nucleo familiare e senso di urgenza, estrapolare dati sensibili o password dalla conversazione, finendo addirittura in alcuni casi, con l’inviare un link malevolo per estrarre altri dati, magari bancari o di carte di credito.

In caso la vittima provasse a chiamare il numero, l’hacker non risponderà dducendo problematiche di linea disturbata, scarso segnale o impedimenti particolari.

La truffa era già circolata in più occasioni, incluso il periodo estivo, ma i nuovi data leak e la facilità con cui si possono circuire utenti non istruiti la ha riportata in vigore in queste settimane.

I consigli sono sempre quelli di effettuare un doppio check e verificare con il numero di telefono che già abbiamo in memoria.

Diffidiamo sempre di link sospetti, richieste di dati personali, password o conversazioni dai toni troppo urgenti.

La distrazione, la fretta e poca cyber-educazione restano armi ben sfruttate dai cybercriminali, quindi parliamone e diffondiamo la conoscenza con i nostri cari.

#whatsapp #truffe #cyberthreat #cybercrime #smishing #socialengineering #cyberfraud #fraud #cybereducation #phishing

Google ha reagito prontamente alla scoperta di una vulnerabilità zero-day in Chrome, la quale è stata sfruttata da un fornitore di spyware commerciale.

La segnalazione di questa vulnerabilità è giunta al team di Chrome solo due giorni prima del rilascio della patch che ha corretto altre due vulnerabilità Zero-day come vedremo dopo, grazie all’opera instancabile di Clement Lecigne, membro del Threat Analysis Group (TAG) di Google.
A seguito della segnalazione la società ha confermato la scoperta asserendo di aver rilevato l’esistenza di un exploit per questa vulnerabilità, identificata con il codice CVE-2023-5217, la quale è stata descritta come un “heap buffer overflow nella codifica vp8 in libvpx”.

( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5217 )

Secondo alcuni esperti di settore la falla sarebbe già stata attivamente utilizzata da un fornitore di servizi di sorveglianza commerciale.

In un’ottica di gestione etica delle informazioni, l’avviso diffuso da Google non fornisce ulteriori dettagli sugli attacchi che hanno sfruttato questa vulnerabilità zero-day.
Google ha specificato che “l’accesso ai dettagli e ai collegamenti dei bug potrebbe essere limitato fino a quando la maggior parte degli utenti non avrà installato la correzione”.

Questo chiaramente per impedire che attori malevoli meno preparati si affrettino ad abusare della nuova vulnerabilità sfruttando la notizia ed approfittando dei tempi usualmente lunghi con cui utenti e società meno solerti vanno ad aggiornare i propri sistemi. 

In questa ultima patch, Google ha risolto anche altri due difetti di elevata gravità segnalati dai ricercatori:

• CVE-2023-5186 – Una vulnerabilità use after free (UAF) nelle password
  ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5186 )
• CVE-2023-5187 – Una vulnerabilità use after free (UAF) nelle estensioni
  ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5187 )

La medesima falla, a seguito della scoperta di Clement Lecigne, è stata corretta da Mozilla per il suo browser Firefox

Ancora una volta, patching is the way..

#zeroday #patching #exploit #google #cyberthreat #cybersecurity #observere

L’indagine di Privacy Not Included condotta dalla fondazione no-profit fortemente voluta da Mozilla, rivela un panorama preoccupante, evidenziando come i principali marchi automobilistici non solo collezionino dati sensibili  estremamente profilati dei propri utilizzatori, ma probabilmente potrebbero avere anche gravi lacune nella protezione dei suddetti dati.

QUI l’indagine di Privacy Not Included:
https://foundation.mozilla.org/en/privacynotincluded/categories/cars/

Se guidi un veicolo recentemente prodotto, è probabile che tu stia condividendo molto più di quanto pensi con la tua auto.
Le moderne automobili sono dotate di una vasta gamma di sensori, telecamere e microfoni che raccolgono dati in modo costante.
I dati raccolti vanno ben oltre le informazioni relative alla guida stessa e possono includere dettagli sensibili come la tua razza, espressioni facciali, peso, abitudini di guida ed ovviamente anche tracciare la tua posizione ed i tempi di sosta.
Addirittura, alcuni veicoli possono monitorare la forza con cui premi il pedale del freno. Questo solleva seri interrogativi sulla protezione della privacy dei guidatori.

L’indagine di Mozilla ha esaminato 25 dei principali marchi automobilistici e ha rilevato che nessuno di essi ha soddisfatto i requisiti minimi in termini di privacy e sicurezza dei dati. Marchi rinomati come FIAT , Ford, Toyota, Tesla, Audi e Subaru sono stati citati nell’indagine per la raccolta indiscriminata di dati personali dei conducenti.

Questo solleva una domanda fondamentale: cosa ne è della nostra privacy quando saliamo in macchina?

Un aspetto preoccupante è che molti conducenti non sono nemmeno consapevoli del fatto che i loro veicoli raccolgono dati così sensibili. 

A differenza delle applicazioni o dei dispositivi smart home, la maggior parte delle persone non ha il controllo diretto sulla disattivazione di questi sensori e telecamere. Questa mancanza di consapevolezza e controllo espone i guidatori a un rischio significativo in termini di privacy.

Inoltre, i veicoli moderni sono spesso dotati di servizi connessi, come radio satellitari e sistemi di navigazione GPS e APP dedicate alla auto.

Questi servizi non solo offrono un livello di comfort elevato, ma rappresentano anche un altro canale attraverso il quale vengono raccolti dati, con profilazione persino di molti gusti specifici dei passeggeri.
 Inoltre, i dispositivi telematici collegati all’auto, che inviano informazioni sulla guida direttamente alle compagnie assicurative o al telefono del guidatore, rappresentano un’altra fonte di dati sensibili.
Anche l’applicazione mobile dell’auto può fornire alle case automobilistiche un accesso diretto ai dati personali dei guidatori.

Un elemento chiave nel panorama della privacy automobilistica rilevato nell’indagine da Privacy Not Included sarebbe l’uso di un linguaggio ambiguo nelle politiche di privacy.
Spesso, le aziende utilizzerebbero quindi termini generici che lasciano margine per la raccolta di dati che potrebbero andare ben oltre quanto dichiarato esplicitamente.
Questa presunta ambiguità renderebbe difficile per i consumatori comprendere appieno quali informazioni vengano effettivamente raccolte e come vengano utilizzate.

La questione della privacy nell’industria automobilistica potrebbe presto diventare un problema centrale tale da richiedere una soluzione immediata.
Gli enti normativi e le aziende automobilistiche stesse dovrebbero impegnarsi a migliorare la trasparenza riguardo alla raccolta di dati e garantire che i guidatori abbiano il controllo completo sulla propria privacy mentre sono al volante.

In conclusione, l’indagine di Privacy Not Included di Mozilla ci ha messo di fronte a una realtà potenzialmente scomoda: i nostri veicoli stanno diventando sempre più curiosi e intrusivi.
È fondamentale che gli automobilisti siano consapevoli di questa situazione e che siano prese misure concrete per proteggere la loro privacy mentre si trovano al volante. Solo attraverso un impegno congiunto delle aziende automobilistiche, dei regolatori e dei consumatori potremo affrontare efficacemente questa sfida cruciale per la nostra era digitale.

Al di là del punto focale dedicato per l’appunto alla privacy, si delinea un secondo scenario di elevata sfida per la cybersecurity, dato che queste presunte banche dati collezionate potrebbero divenire estremamente appetibili per organizzazioni di hacker malevoli.
Ulteriormente una così elevata presenza di device ricettivi all’interno dell’abitacolo, incrociata con l’identità del proprietario, potrebbe renderli bersaglio di attività illecite ulteriori, potenzialmente anche con effetti deleteri, incluso lo scenario potenziale peggiore come la manomissione remota delle capacità di guida e risposta del veicolo.

Una battaglia che quindi vedrà sia internamente le case automobilistiche ad elevare e minimizzare i rischi di hacking dei database e dei veicoli, dall’altro la cybersecurity nazionale nell’aggiungere livelli di sicurezza autonomi per privati ed aziende anche nella gestione delle flotte veicoli. 

#privacynotincluded #automotive #cybersecurity #cyberthreat #privacy #observere #newthreats #mozilla

Link al bollettino Microsoft:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Sep

Le Vulnerabilità Zero-Day

CVE-2023-36802

La prima delle due vulnerabilità zero-day, CVE-2023-36802, ha dimostrato di essere già stata sfruttata dagli attori delle minacce prima dell’emissione di qualsiasi aggiornamento di sicurezza. Questa vulnerabilità rappresenta una seria minaccia per gli utenti di Microsoft Word, poiché permette agli aggressori di eseguire codice in modo remoto sui sistemi bersaglio.

CVE-2023-36761

La seconda vulnerabilità zero-day, CVE-2023-36761, è ancora più preoccupante poiché l’exploit è pubblicamente noto e facilmente accessibile in rete. Questo mette gli utenti di Microsoft Streaming Service Proxy in una posizione di grave rischio, poiché gli aggressori possono sfruttare questa vulnerabilità per ottenere l’accesso non autorizzato ai sistemi colpiti, elevando privilegi fino a livello System

L’Impatto delle Vulnerabilità

Inoltre, le due vulnerabilità zero-day non sono le uniche preoccupazioni nel panorama della sicurezza informatica. Un totale di 59 vulnerabilità sono state scoperte, di cui cinque sono state classificate con un indice di gravità critica, mentre le altre, comprese le due zero-day, sono state valutate come importanti.

Queste vulnerabilità potrebbero essere sfruttate per una serie di tipi di attacchi, tra cui:

• Denial of Service (DoS): Gli aggressori potrebbero causare un’interruzione dei servizi rendendo inaccessibili i sistemi.
• Spoofing: La manipolazione dei dati per impersonare un’altra entità o utente.
• Information Disclosure: La divulgazione non autorizzata di informazioni sensibili.
• Security Feature Bypass: Il bypass di misure di sicurezza per ottenere accesso non autorizzato.
• Elevation of Privilege: L’ottenimento di privilegi elevati per eseguire operazioni dannose.
• Remote Code Execution (RCE): L’esecuzione remota di codice malevolo sui sistemi colpiti.
  

La valutazione di CSIRT Italia

Il Centro di Sicurezza Informatica della Repubblica Italiana (CSIRT Italia) ha emesso un bollettino di sicurezza che sottolinea la gravità delle vulnerabilità scoperte. La stima dell’impatto delle vulnerabilità è stata valutata come “grave/rosso” con un punteggio di 77,94 su 100.
Questo indica un rischio significativo per gli utenti e le organizzazioni che utilizzano i prodotti Microsoft colpiti.

Azioni Consigliate

Date le gravi implicazioni per la sicurezza informatica, è fondamentale che gli utenti e le organizzazioni adottino misure di mitigazione tempestive. Ecco alcune azioni consigliate:

• Aggiornamenti di Sicurezza: Assicurarsi di applicare gli aggiornamenti di sicurezza più recenti forniti da Microsoft per correggere le vulnerabilità note.
• Monitoraggio Costante: Mantenere un monitoraggio costante dei sistemi per rilevare eventuali attività sospette.
• Politiche di Sicurezza: Implementare politiche di sicurezza robuste e limitare l’accesso non necessario ai sistemi critici.
• Sensibilizzazione degli Utenti: Educare gli utenti su pratiche di sicurezza informatica e sull’identificazione delle minacce.
• Risposta agli Incidenti: Avere un piano di risposta agli incidenti pronto in caso di compromissione della sicurezza.
  

Educare il proprio personale, verificando periodicamente le conoscenze, utilizzare sistemi di rilevazione e monitoraggio, nonché effettuare test periodici dei propri sistemi dovrebbero diventare una abitudine anche per le aziende italiane, dove solo il 20% delle aziende ha un programma di cybersicurezza avviato.
È fondamentale che gli utenti e le organizzazioni adottino misure preventive per proteggere i loro sistemi e dati da potenziali attacchi.

Ricordiamo che la scadenza per adeguarsi alla direttiva UE NIS2 è sempre più vicina, nel frattempo, patchare gente, patchare!

#cyberthreat #patchtuesday #microsoft #zeroday #cybercrime #cybereducation #patch #cybersecurity

La notizia della fuga dati era già stata rilasciata l’11 luglio, ma risultava totalmente oscura la maniera in cui il gruppo Storm-0558, organizzazione hacker che si ritiene sia sostenuto dalla Cina, avesse ottenuto questo genere di privilegi esfiltrando una master key consumer impiegata poi per falsificare token ed accedere quindi a determinati account di Outlook.

Le indagini sono state finalmente concluse, ed il processo , seppure non pienamente verificabile, risulta interessantissimo spunto di riflessione.

Il principio per cui un malintenzionato debba solo disporre di una singola fortunata occasione per aggirare un processo di sicurezza tra i più articolati e blindati concepiti, trova ancora una volta riscontro, e ci ricorda molto la teoria del caos, resa famosa a suo tempo da Jurassic Park.
Microsoft dichiara di aver sanato e risolto le micro-anomalie che sommate avrebbero consentito l’evento:
Qui il link al blog:
https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/

L’incidente in 6 sfortunate coincidenze:

• Aprile 2021 – un elemento del processo di firma delle chiavi di sicurezza si blocca. L’incidente genera una istantanea dei processi per l’analisi
• L’immagine include per errore una copia della master key. Il tutto viene inviato ad un ambiente protetto, dove però i sistemi non rilevano la presenza della chiave.
• L’immagine passa fuori dalla zona di quarantena in rete aziendale per ulteriori anali approfondite, la master key non viene ancora rilevata
• L’account di un ingegnere dedicato, viene in qualche modo violato e l’immagine presumibilmente esfiltrata ( questo punto è il più incerto )
• Nel 2018 Microsoft aveva inserito un sistema per agevolare la gestione crittografica di chiavi consumer e aziendali, ma le librerie relative non si erano poi aggiornate
• I sistemi di posta Microsoft hanno iniziato ad utilizzare questo strumento nel 2022, supponendo che le librerie invece fossero aggiornate e quindi seguissero i principi di convalida previsti.

La Narrazione estesa:

Nel mese di aprile 2021, un elemento essenziale nel processo di firma delle chiavi utilizzato per garantire la sicurezza degli account di posta elettronica dei consumatori si è improvvisamente bloccato. Questo incidente ha causato la creazione di un’immagine istantanea del sistema, che sarebbe stata analizzata in seguito. È importante notare che questo sistema di firma delle chiavi dei consumatori è mantenuto in un ambiente altamente isolato e protetto, in cui l’accesso a Internet è rigorosamente limitato al fine di prevenire attacchi informatici. Tuttavia, in modo del tutto inaspettato, l’immagine istantanea ha incluso involontariamente una copia della chiave di firma dei consumatori, ma questo fatto è sfuggito all’attenzione dei sistemi di sicurezza di Microsoft.

Successivamente, l’immagine istantanea è stata spostata dal suo ambiente isolato alla rete aziendale di Microsoft, che è connessa a Internet, allo scopo di eseguire un’analisi più approfondita per comprendere la causa del blocco del sistema. Microsoft ha affermato che questa operazione era in linea con il suo processo standard di debug, ma purtroppo, neppure i sistemi di scansione delle credenziali aziendali hanno rilevato la presenza della chiave nella copia dell’immagine istantanea.

Microsoft ha dichiarato che gli hacker conosciuti come Storm-0558 sono stati in grado di “compromettere con successo” l’account aziendale di un ingegnere di Microsoft che aveva accesso all’ambiente di debug in cui era stata spostata l’immagine dell’istantanea nella rete aziendale di Microsoft nel mese di aprile 2021.
In questa immagine era conservata la chiave di firma di tipo “consumer”.
Seppur premettendo che si tratti di pura supposizione, Microsoft ha indicato che questo rappresenterebbe il meccanismo più probabile attraverso il quale gli hacker abbiano acquisito la chiave.

La chiave di firma dei consumatori aveva la capacità di concedere l’accesso alle caselle di posta elettronica aziendali e personali di vari funzionari governativi e dipartimenti. Tuttavia, a causa di una mancanza di corretta validazione della chiave nei sistemi di posta elettronica di Microsoft, il sistema “accettava automaticamente richieste di firma aziendale” per le email utilizzando un token di sicurezza firmato con la chiave dei consumatori.

Questi errori a cascata hanno aperto la porta a una delle più significative violazioni di sicurezza informatica degli ultimi tempi, con conseguenze potenziali ancora sconosciute.
La violazione è stata considerata parte di una campagna di spionaggio mirato, con l’obiettivo di accedere alle comunicazioni non classificate di funzionari governativi e diplomatici statunitensi di rilievo.
Tra i presunti bersagli vi sarebbero stati la segretaria al Commercio americano, Gina Raimondo, e l’ambasciatore americano in Cina, Nicholas Burns.

Resta da vedere quali ulteriori sviluppi e conseguenze verranno alla luce in seguito a questa serie di eventi sfortunati.
La consapevolezza della costante minaccia cyber e della necessità di disporre misure di sicurezza maggiori dovrebbe diventare sempre più pressante e radicata, comprendendo che anche colossi dalle risorse tecniche ed in denaro praticamente quasi illimitate possono incorrere in problematiche di questo tipo.

#microsoft #outlookbreach #cybercrime #spy #cybersecurity #cybercrime #storm-0558

WinRAR Rilascia una Patch Urgente per Correggere Vulnerabilità Critiche

WinRAR, uno dei software di compressione più utilizzati al mondo, ha pubblicato una patch urgente per affrontare due potenziali difettosità ad alto rischio. La prima di queste vulnerabilità potrebbe permettere ad un aggressore di eseguire codice in remoto su una macchina bersaglio, rappresentando una minaccia critica per la sicurezza dei sistemi. La seconda vulnerabilità corretta è invece uno zero-day utilizzato con successo per sottrarre fondi dagli account di trader, elemento quindi che solleva preoccupazioni aggiuntive riguardo alla sicurezza dei dati finanziari.
Qualora non aveste già operato, Patchare nell’immediato è il nostro umile consiglio.

Interruzioni Ferroviarie nel Nord della Polonia alimentano sospetti di Cyberattacco

Nel nord della Polonia, decine di treni avrebbero subito ritardi e blocchi improvvisi. Fonti varie avrebbero addiritttura riferito che durante questi eventi si sarebbe anche verificata l’emissione dell’inno nazionale russo e di un discorso del presidente Putin.
La natura di questi incidenti avrebbe sollevato sospetti di un possibile cyberattacco, i servizi segreti polacchi potrebbero quindi ora stare conducendo un’indagine per determinarne l’origine.
La situazione in continua evoluzione dello scacchiere est europeo richiederà un elevamento delle soglie di attenzione e misure preventive decisamente immediate.

CISA Avverte sulle Vulnerabilità di ShareFile di Citrix

La Cybersecurity and Infrastructure Security Agency (CISA) avrebbe emesso un avviso di sicurezza urgente in merito a ShareFile di Citrix. Sembrerebbe essere stata rilevata un vulnerabilità tale da permettere ad utenti non autenticati e male intenzionati di compromettere in remoto le zone di storage di un’istanza.
L’avviso avrebbe implicitamente quindi invitato le agenzie federali a implementare le patch disponibili al più presto possibile per mitigare questo rischio significativo per la sicurezza dei dati.

CloudNordic e Azero Colpiti da Potenziale Attacco Ransomware

Le società CloudNordic e Azero avrebbero subito un grave attacco, i cui effetti farebbero pensare ad un ransomware, che avrebbe causato la perdita completa dei dati e dei sistemi di backup. L’attacco potrebbe avere conseguenze devastanti, mettendo in evidenza l’importanza della protezione dei dati e delle misure preventive contro il ransomware, che fin troppi continuano a ignorare.
Nonostante non sia ancora chiaro quale gruppo di cybercriminale sia responsabile dell’attacco, entrambe le società avrebbero fatto intendere che l’infezione avrebbe avuto un impatto significativo sulla loro rete condivisa, con perdita di dati ma assenza di esfiltrazione.

Il Gruppo Hacker “Cult of the Dead Cow” lavora a un Nuovo Sistema di Messaggistica Sicura

Il noto gruppo di hacker “Cult of the Dead Cow”, precedentemente conosciuto per aver distribuito strumenti di hacking, sta attualmente sviluppando un innovativo sistema di messaggistica e social media chiamato “Veilid”. Questo sistema dovrebbe distinguersi per la sua promessa di non conservare dati personali degli utenti, funzionando e ragionando in espansione come una rete peer-to-peer. Questo progetto potrebbe aprire la strada a una maggiore privacy e sicurezza nella comunicazione online, ma anche ovviamente potenzialmente ad usi meno etici.

#cyberattack #cyberrisk #cyberthreat #winrare #patch #ransomware #citrix #vulnerability #recap #cybernews

Ecco dunque un riassunto di alcuni avvenimenti  che potremmo esserci persi:

• Kroll, l’importante azienda specializzata in consulenza sulla sicurezza, ha recentemente confermato di essere stata vittima di una violazione dei suoi sistemi.
  Questo episodio è stato innescato dallo scambio fraudolento della SIM di uno dei suoi dipendenti, il quale ha aperto le porte all’accesso non autorizzato.
  I dati interni, fondamentali per numerose piattaforme di criptovaluta che si affidano alle competenze di Kroll nelle loro procedure di insolvenza in corso, sono stati sottratti. Tra le piattaforme coinvolte si annoverano BlockFi e FTX.

Il provider di appoggio SIM, T-mobile, avrebbe quindi  registrato un coinvolgimento in falle di sicurezza per l’ottava volta. Kroll avrebbe quindi sollevato accuse di negligenza nei confronti di T-Mobile.

• Prospect Medical Holdings ha subito ad inizio mese un attacco di natura potenzialmente ransomware, dopo oltre due settimane dalla dichiarazione i suoi centri ospedalieri sono ancora offline con conseguente accumularsi di ritardi e disagi per interventi , visite ed attività di raccolta precedentemente schedulati. Al momento non è ancora stata supposta alcuna data di risoluzione del caso.

• Duolingo, il social network orientato all’apprendimento di lingue, ha subito una esfiltrazione di dati attraverso una sua API, che parrebbe ancora esposta. I dati di 2,5 milioni di utenti sono stati pubblicati su un forum di hacker. 

• Il Pentagono sta indagando su una potenziale compromissione critica delle comunicazioni tra 17 strutture dell’aeronautica militare dopo che un ingegnere in una base nel Tennessee avrebbe rubato apparecchiature radio governative e le avrebbe portate a casa. 

• La Commissione elettorale del Regno Unito, che supervisiona le elezioni , ha divulgato una violazione ad inizi agosto 2023 , sarebbero quindi stati intercettati nomi ed indirizzi di 40 milioni di persone circa. L’incredibile fatto assumerebbe toni ai limiti dell’assurdo in quanto l’abuso risalirebbe ad agosto 2021 , rilevato dai tecnici solo nell’ottobre 2022 e resa pubblica quasi nel suo anniversario 2023 .
  L’istituto incaricato dei controlli non è riuscito a trovare una spiegazione perché ci sia voluto così tanto tempo per renderlo pubblico. Ricordiamo che i nuovi dettami NIS2 e NLPD imporranno tempi molto stringenti per la comunicazione delle violazioni.

• Un blasonato ricercatore nell’ambito della cyber sicurezza, Mathy Vanhoef , ha divulgato l’esistenza di una possibile minaccia alle VPN, denominata TunnelCrack.
  Secondo lo studioso, la gran parte delle VPN possiede un minimo di due difettosità in ambito sicurezza tramite le quali indurre una vittima a inviare traffico al di fuori del proprio tunnel VPN protetto.

“ I due attacchi risultanti sono chiamati attacco LocalNet e ServerIP. Entrambi possono essere sfruttati quando un utente si connette a una rete Wi-Fi non attendibile. Il nostro attacco ServerIP può essere sfruttato anche da fornitori di servizi Internet dannosi. Gli attacchi manipolano la tabella di routing della vittima per indurre la vittima a inviare traffico all’esterno del tunnel VPN protetto , consentendo a un avversario di leggere e intercettare il traffico trasmesso. “ ( https://tunnelcrack.mathyvanhoef.com/ )

• Citizen Lab durante le sue usuali analisi su prodotti e servizi avrebbe individuato una vulnerabilità estremamente lesiva della privacy in un device con la modica diffusione di 455 milioni di utenti.
  Secondo tale indagine la tastiera  Sogou, annovererebbe alcuni difetti che renderebbe la digitazione dei caratteri individuabile da malintenzionati. In parole povere, se fosse vero, sia l’azienda produttrice che chiunque in possesso delle giuste abilità potrebbe intercettare ciò che le persone scrivono, questo tra l’altro potenzialmente xaggravato da un contesto come quello cinese dove il prodotto avrebbe una buona diffusione.

#cybersecurity #agosto2023 #cyberthreat #cybercrime #databreach #exploit #observere

La scoperta della vulnerabilità:

Domenica scorsa, IVANTI ha annunciato la scoperta di una vulnerabilità zero-day in uno dei suoi strumenti, utilizzato per impostare criteri per dispositivi mobili e applicazioni. Questo bug avrebbe potuto essere sfruttato dagli hacker per ottenere accesso non autorizzato ai dati personali e apportare modifiche alla configurazione dei sistemi tecnologici interessati.
Conscia del rischio di gravi conseguenze per gli utilizzatori e le agenzie senza la correzione adeguata, l’azienda ha agito rapidamente per rilasciare una patch per affrontare il problema.

L’attacco al governo norvegese:

Il 24 luglio, si suppone, il governo norvegese sarebbe stato colpito da un attacco informatico, che avrebbe preso di mira ben 12 ministeri.
Gli hacker avrebbero approfittato della vulnerabilità presente in IVANTI per accedere ai sistemi dei ministeri coinvolti, potenzialmente compromettendo dati sensibili e la sicurezza delle informazioni governative.
Di fronte a questa minaccia, i funzionari della sicurezza norvegese hanno immediatamente messo in guardia circa 20 società di infrastrutture critiche, altre aziende e agenzie pubbliche nel paese, che potrebbero anche essere vulnerabili a questo tipo di attacco.

L’importanza dell’applicazione della patch:

IVANTI ha prontamente rilasciato una patch per correggere la vulnerabilità, ma l’effettiva sicurezza dei sistemi dipende dalla velocità con cui le aziende e le agenzie si affrettano ad applicarla.
La tempistica è cruciale in queste situazioni, poiché ogni ritardo potrebbe lasciare le reti informatiche vulnerabili agli attacchi degli hacker.
I danni di un attacco informatico possono essere enormi, portando a gravi perdite di dati, violazione della privacy e interruzione delle attività aziendali.
Per evitare tali scenari catastrofici, è essenziale che le organizzazioni si assicurino di avere le misure di sicurezza più aggiornate, compreso l’applicare prontamente le patch rilasciate dai fornitori di software.

Il caso dell’attacco al governo norvegese evidenzia la necessità critica di mantenere costantemente aggiornati i sistemi IT e di applicare prontamente le patch per correggere le vulnerabilità. IVANTI, un noto software di gestione per operazioni e sicurezza IT, ha subito una vulnerabilità zero-day che gli hacker hanno sfruttato per colpire il governo norvegese. Le conseguenze di tale attacco possono essere gravi, con la potenziale esposizione dei dati sensibili e delle informazioni governative. Pertanto, le aziende e le agenzie dovrebbero prendere sul serio le minacce informatiche e agire tempestivamente per proteggere i loro sistemi, applicando le patch di sicurezza rilasciate dai fornitori di software.
Solo così potremo preservare l’integrità dei nostri dati e la sicurezza delle operazioni aziendali.

#ivanti #databreach #cybercrime #norway #cyberattack #zeroday #exploit #patching #patch