Buongiorno cari lettori, oggi vi andremo a parlare dell’FBI che ha hackerato degli hacker.

Il Dipartimento di Giustizia ha annunciato questa settimana che gli agenti dell’FBI hanno interrotto con successo Hive, un famigerato gruppo di ransomware, e hanno impedito campagne di riscatto per un valore di 130 milioni di dollari che gli obiettivi non devono più considerare di pagare. Pur affermando che il gruppo Hive è stato responsabile di aver preso di mira oltre 1.500 vittime in oltre 80 paesi in tutto il mondo, il dipartimento ora rivela di essersi infiltrato nella rete del gruppo per mesi prima di lavorare con i funzionari tedeschi e olandesi per chiudere i server e i siti Web di Hive questa settimana.

“In poche parole, usando mezzi legali, abbiamo violato gli hacker”, ha osservato il vice procuratore generale Lisa Monaco durante una conferenza stampa .

L’FBI afferma che hackerando di nascosto i server Hive, è stato in grado di carpire silenziosamente oltre 300 chiavi di decrittazione e restituirle alle vittime i cui dati erano stati bloccati dal gruppo. Il procuratore generale degli Stati Uniti Merrick Garland ha affermato nella sua dichiarazione che negli ultimi mesi l’FBI ha utilizzato quelle chiavi di decrittazione per sbloccare un distretto scolastico del Texas che deve affrontare un riscatto di $ 5 milioni, un ospedale della Louisiana a cui erano stati chiesti $ 3 milioni e un servizio di ristorazione che ha dovuto affrontare un riscatto di $ 10 milioni.

Abbiamo ribaltato la situazione su Hive e smantellato il loro modello di business”, ha affermato Monaco. Hive era stato considerato una delle prime cinque minacce ransomware dall’FBI. Secondo il Dipartimento di Giustizia, Hive ha ricevuto oltre 100 milioni di dollari di riscatto dalle sue vittime dal giugno 2021.

Il modello di “ransomware-as-a-service (RaaS)” di Hive consiste nel creare e vendere ransomware, quindi reclutare “affiliati” per uscire e distribuirlo, con gli amministratori di Hive che prendono una riduzione del 20% di qualsiasi ricavato e pubblicano i dati rubati su un sito “HiveLeaks” se qualcuno si rifiutava di pagare. Gli affiliati, secondo la US Cybersecurity and Infrastructure Security Agency (CISA), utilizzano metodi come il phishing via e-mail, sfruttando le vulnerabilità dell’autenticazione FortiToken e ottenendo l’accesso alle VPN aziendali e ai desktop remoti (utilizzando RDP) che sono protetti solo con accessi a fattore singolo.

Un avviso CISA di novembre spiega come gli attacchi prendono di mira aziende e organizzazioni che gestiscono i propri server Microsoft Exchange. Il codice fornito ai loro affiliati sfrutta exploit noti come CVE-2021-31207 , che, nonostante siano stati patchati dal 2021, spesso rimangono vulnerabili se non sono state applicate le opportune mitigazioni.

Una volta entrati, il loro schema è quello di utilizzare i protocolli di gestione della rete dell’organizzazione per chiudere qualsiasi software di sicurezza, eliminare i registri, crittografare i dati e, naturalmente, lasciare dietro di sé una richiesta di riscatto HOW_TO_DECRYPT.txt nelle directory crittografate che collega le vittime a un pannello di chat dal vivo per negoziare le richieste di riscatto.

Hive è il più grande gruppo di ransomware che i federali hanno smantellato dai tempi di REvil nel 2021 , responsabile della fuga di schemi di MacBook da un fornitore Apple e dal più grande fornitore di carne al mondo. All’inizio di quell’anno, gruppi come DarkSide se ne andarono con successo con un pagamento di $ 4,4 milioni dopo essere penetrati nei sistemi di Colonial Pipeline in un incidente che fece salire alle stelle i prezzi nazionali del gas.

“Quando una vittima segnala di essere stata hackerata, può fare la differenza nel recupero di fondi rubati o nell’ottenere chiavi di decrittazione”, ha affermato Monaco.


Buongiorno cari lettori, oggi vi andremo a parlare degli hacker cinesi che hanno creato un sito per infettare i computer.

Un gruppo di spionaggio informatico cinese ha utilizzato un sito di notizie false per infettare obiettivi del governo e dell’industria energetica in Australia, Malesia ed Europa con malware.

Il gruppo è conosciuto con diversi nomi, tra cui APT40, Leviathan, TA423 e Red Ladon. Quattro dei suoi membri sono stati incriminati dal Dipartimento di Giustizia degli Stati Uniti nel 2021 per aver violato diverse aziende, università e governi negli Stati Uniti e nel mondo tra il 2011 e il 2018.

Il gruppo sta usando il suo falso sito di notizie australiane per infettare i visitatori con il framework di sfruttamento di ScanBox. “ScanBox è un framework di ricognizione e sfruttamento implementato dall’attaccante per raccogliere diversi tipi di informazioni, come l’indirizzo IP pubblico del bersaglio, il tipo di browser Web utilizzato e la sua configurazione”, ha spiegato Sherrod, vicepresidente di Proofpoint per la ricerca e il rilevamento delle minacce De Grippo.

“Questo serve come impostazione per le fasi della raccolta di informazioni che seguono e il potenziale sfruttamento o la compromissione successiva, in cui il malware potrebbe essere distribuito per ottenere persistenza sui sistemi della vittima e consentire all’attaccante di svolgere attività di spionaggio”, ha detto.

Gli attacchi “Watering Hole” che utilizzano ScanBox attirano gli hacker perché il punto di compromissione non è all’interno, ha aggiunto John Bambenek, uno dei principali ricercatori di minacce di Netenrich, una società di operazioni di sicurezza digitale e IT con sede a San Jose, California.

Attacco modulare

La campagna TA423 ha preso di mira principalmente le agenzie governative australiane locali e federali, le società di media australiane e i produttori globali dell’industria pesante che effettuano la manutenzione di flotte di turbine eoliche nel Mar Cinese Meridionale.

Ha notato che le e-mail di phishing per la campagna sono state inviate da indirizzi e-mail di Gmail e Outlook, che si ritiene con “moderata sicurezza” siano stati creati dagli aggressori. Gli hacker delle minacce spesso si atteggiavano a dipendenti della pubblicazione immaginaria “Australian Morning News”, ha spiegato il blog, e fornivano un URL al loro dominio dannoso, sollecitando gli obiettivi a visualizzare il loro sito Web o condividere contenuti di ricerca che il sito Web avrebbe pubblicato.

Se un target ha fatto clic sull’URL, sarebbe stato inviato al sito di notizie false e avrebbe ricevuto, a sua insaputa, il malware ScanBox. Per dare credibilità al loro sito Web fasullo, gli hacker hanno pubblicato contenuti presi da siti di notizie legittimi, come Sky News.

Aumento del phishing

Come dimostrano questi tipi di campagne, il phishing rimane la punta della lancia utilizzata per penetrare in molte organizzazioni e rubare i loro dati. “I siti di phishing hanno visto un’impennata inaspettata nel 2022”, ha osservato Monnia Deng, direttore del marketing di prodotto di Bolster, un fornitore di protezione automatizzata dai rischi digitali, a Los Altos, in California.

DeGrippo ha affermato che le campagne di phishing continuano a funzionare perché gli hacker sono adattivi. “Usano l’attualità e le tecniche generali di ingegneria sociale, molte volte utilizzano le paure e il senso di urgenza o importanza di un bersaglio”, ha detto.

Due cose da ricordare

Sebbene TA423 abbia utilizzato le e-mail nella sua campagna di phishing, Grimes ha notato che gli hacker si stanno provando nuovi metodi.

“Gli hacker utilizzano più spesso altre strade, come i social media, i messaggi di testo e le chiamate vocali per fare la loro ingegneria sociale”, ha spiegato. “Questo perché molte organizzazioni si concentrano quasi esclusivamente sull’ingegneria sociale basata sulla posta elettronica e la formazione e gli strumenti per combattere l’ingegneria sociale sugli altri tipi di canali multimediali non sono allo stesso livello di sofisticazione nella maggior parte delle organizzazioni”.

Ha spiegato che la maggior parte degli attacchi di ingegneria sociale hanno due cose in comune. Innanzitutto, arrivano inaspettatamente. L’utente non se lo aspettava. In secondo luogo, è chiedere all’utente di fare qualcosa che il mittente, non ha mai chiesto all’utente di fare prima.


Buongiorno cari lettori, oggi vi andremo a parlare della che russia sta controllando le vite dei russi, tutto questo dopo quando hanno invaso l’ucraina.

Dall’inizio della guerra russa contro l’Ucraina alla fine di febbraio 2022, gli utenti di Internet russi hanno sperimentato quella che è stata soprannominata ” cortina di ferro digitale “.

Le autorità russe hanno bloccato l’accesso a tutti i principali siti di notizie dell’opposizione, nonché a Facebook, Instagram e Twitter. In base alle nuove leggi che pretendono di combattere le notizie false  sulla guerra russo-ucraina, gli utenti di Internet hanno dovuto affrontare accuse amministrative e penali per la presunta diffusione di disinformazione online sulle azioni della Russia in Ucraina. La maggior parte delle società tecnologiche occidentali, da Airbnb ad Apple, hanno interrotto o limitato le loro operazioni.

Molti russi hanno scaricato software di rete privata virtuale  per cercare di accedere a siti e servizi bloccati nelle prime settimane di guerra. Entro la fine di aprile, il 23% degli utenti Internet russi  ha riferito di utilizzare le VPN con regolarità. Roskomnadzor,  ha bloccato le VPN  per impedire alle persone di aggirare la censura del governo e ha successivamente intensificato i suoi sforzi.

Sebbene la velocità e la portata della repressione di Internet in tempo di guerra siano senza precedenti, le sue  basi legali ,  tecniche  e  retoriche  sono state messe in atto durante il decennio precedente  sotto la bandiera della sovranità digitale .

PIONIERE DELLA SOVRANITÀ DIGITALE

La Russia ha sostenuto il mantenimento  della sovranità statale sull’informazione e le telecomunicazioni  dall’inizio degli anni ’90. All’indomani della Guerra Fredda, una Russia indebolita non poteva più competere con gli Stati Uniti economicamente, tecnologicamente o militarmente. Invece, i leader russi hanno cercato di ridurre l’emergente dominio globale degli Stati Uniti e di mantenere lo status di grande potenza della Russia.

Lo hanno fatto promuovendo la preminenza della sovranità statale come principio fondamentale dell’ordine internazionale. Negli anni 2000, cercando di proiettare la sua grande rinascita di potere,  Mosca ha unito le forze con Pechino per guidare il movimento globale per la sovranità di Internet. Dopo il ritorno di Putin alla presidenza nel marzo 2012, il Cremlino  ha rivolto la sua attenzione al controllo del cyberspazio russo.

Tuttavia, la legge è stata  regolarmente utilizzata per vietare i siti di attivisti dell’opposizione e dei media . La legge ampiamente nota come Blogger’s Law ha quindi sottoposto tutti i siti Web e gli account di social media con oltre 3.000 utenti giornalieri alle normative sui media tradizionali richiedendo loro di registrarsi presso lo stato.

Al momento dell’approvazione della legge,  Putin ha giustificato il DNS nazionale  sostenendo che avrebbe consentito al segmento Internet russo di funzionare anche se l’ICANN avesse disconnesso la Russia dall’Internet globale in un atto di ostilità. In pratica, quando, pochi giorni dopo l’invasione della Russia nel febbraio 2022, le autorità ucraine hanno chiesto all’ICANN di disconnettere la Russia dal DNS, l’  ICANN ha rifiutato la richiesta . I funzionari dell’ICANN hanno affermato di voler evitare di creare il precedente di disconnettere interi paesi per motivi politici.

DIVIDERE L’INTERNET GLOBALE

La guerra russo-ucraina ha  minato l’integrità di Internet globale , sia per le azioni della Russia che per le azioni delle società tecnologiche in Occidente. Con una mossa senza precedenti, le piattaforme dei social media hanno  bloccato l’accesso ai media statali russi .

Internet è una rete globale di reti. L’interoperabilità tra queste reti è il principio fondamentale di Internet. L’ideale di un’unica Internet, ovviamente, si è sempre scontrato con la realtà della diversità culturale e linguistica del mondo: non sorprende che la maggior parte degli utenti non reclama a gran voce contenuti da paesi lontani in lingue incomprensibili. Tuttavia,  le restrizioni motivate politicamente minacciano di frammentare Internet  in reti sempre più disgiunte.

Anche se potrebbe non essere combattuta sul campo di battaglia, l’interconnettività globale è diventata uno dei valori in gioco nella guerra russo-ucraina. E mentre la Russia ha consolidato il suo controllo su sezioni dell’Ucraina orientale, ha  spostato la cortina di ferro digitale verso quelle frontiere .


Buongiorno cari lettori, oggi vi andremo a parlare del rapporto sulle minacce informatiche di Intel471, nello specifico delle Api Crypto.

In un rapporto di tre settimane fa, redatto dal capo della criminalità informatica delle minacce Intel471, ha rivelato che i forum russi stanno facendo crowdsourcing di nuovi vettori di attacchi crittografici.

In un annuncio fatto “su uno dei principali forum di criminalità informatica in lingua russa” “l’amministratore del forum ha chiesto informazioni su metodi non ortodossi per rubare chiavi private e portafogli, software insolito per il mining di criptovalute, smart contract, NFT e altro ancora.

“Le candidature sono state accettate in 30 giorni, con l’amministratore che ha affermato che $ 100.000 in premi sarebbero stati dati ai vincitori. Poco dopo, un membro del forum rispettabile ha aggiunto $ 15.000 al montepremi”.

Sebbene il rapporto sia stato coperto da diversi organi di informazione incentrati sul cyber, questa scoperta critica di informazioni sulle minacce è prevedibilmente sfuggita all’attenzione delle organizzazioni di notizie di criptovalute.

Cosa vuol dire tutto ciò?

Indipendentemente da questo, il concorso è significativo perché mette in evidenza la singolarità in rapida crescita tra i rischi di criminalità informatica e criminalità finanziaria, succintamente articolata anni fa in una conferenza sul riciclaggio di denaro a Hollywood, in Florida, dall’ex capo delle indagini criminali dell’Internal Revenue Service Richard Weber, come “criminalità finanziaria informatica”.

La conformità alle criptovalute all’antiriciclaggio (AML) è diventata intrinsecamente una proposta di resilienza dei sistemi di sicurezza informatica intrecciata dagli endpoint al cloud e ogni API (Application Programming Interface) in mezzo.

Questo cambiamento di paradigma va anche di fronte a ciò che i principali dirigenti della cripto-conformità hanno affermato lo scorso dicembre in seguito all’hacking di SolarWinds quando Shadow Banker li ha proposti di perseguire partnership per la sicurezza informatica e creare leadership di pensiero in previsione dell’inevitabile e facile evoluzione della criptovaluta -Industria antiriciclaggio.

Rischi delle API Crypto

La minaccia più critica per l’ecosistema decentralizzato evidenziata nel rapporto è stata una presentazione di un concorso di hacker incentrata sulla “manipolazione delle API dai popolari servizi relativi alle criptovalute o dalla tecnologia dei file decentralizzati al fine di ottenere chiavi private per i portafogli di criptovaluta”.

Nelle crypto, le API presentano vettori di attacco significativi poiché i trader istituzionali e gli ecosistemi di finanza decentralizzata (DeFi) si affidano a una miriade di feed di dati integrati e all’interfaccia di scambio per sfruttare le opportunità di arbitraggio e piazzare scommesse tramite bot di trading algoritmici. Pertanto, l’idea che gli hacker possano sfruttare la debolezza delle API o, peggio ancora, introdurre delle API dannosa negli ecosistemi crypto costituisce una minaccia informatica di rilevanza sistemica per l’integrità finanziaria nei mercati decentralizzati.

In particolare, i criminali informatici hanno preso di mira le vulnerabilità nei programmi di terze parti che consentono ai trader di “accedere ai propri account personali sugli scambi di criptovaluta tramite chiavi API che consentono a questi programmi di eseguire azioni per loro conto, inclusa l’apertura e l’esecuzione di ordini di scambio automatici.”

Mentre la maggior parte degli scambi di criptovaluta disabilita i permessi di prelievo per impostazione predefinita, Cyber ​​News ha rilevato che “la maggior parte degli annunci pubblicati sui forum di criminali informatici affermano che i loro proprietari sono stati in grado di prelevare fino all’80% del saldo di criptovaluta delle loro vittime, che avrebbero poi diviso con il proprietario delle chiavi API rubate.

Due punti comuni di attacco alle API Crypto

I punti fondamentali di attacco delle API Crypto più comuni scoperti dai ricercatori sono stati l’acquisto di un muro di vendita e l’aumento dei prezzi.

“In questo caso, i ‘muri di vendita’ sono creati da gli hacker che utilizzano account commerciali compromessi, impostati utilizzando le loro chiavi API rubate, per generare un movimento di prezzo, i criminali impostano i loro bot di trading per aprire molti piccoli ordini di vendita al di sotto del valore di mercato o di un singolo enorme ordine di vendita se il saldo del conto della vittima è abbastanza grande, mentre allo stesso tempo, lo stesso bot si apre ordini di acquisto automatici per le monete che la vittima è costretta a “vendere”.

Il secondo punto di attacco identificato dai ricercatori è l’aumento dei prezzi, in cui gli attori delle minacce acquistano criptovalute a basso costo e poco scambiate per aumentare brevemente il loro prezzo, prima di rivenderle agli acquirenti a tassi gonfiati artificialmente.

Secondo il rapporto, gli attori delle minacce avviano questo exploit depositando una valuta virtuale a basso costo e poco scambiata “all’interno del proprio conto intermediario”. Utilizzando le credenziali API dirottate, gli hacker utilizzano quindi l’80% dei fondi delle vittime per eseguire un grosso ordine di acquisto, aumentando istantaneamente il prezzo della risorsa. Con l’aumento del prezzo della shitcoin, gli hacker liquidano il loro account

Questo è tutto per ora sulle vulnerabilità delle API Crypto, ad un prossimo articolo.