L'ascesa dell'intelligenza artificiale (IA) sta rapidamente rivoluzionando numerosi settori, promettendo enormi vantaggi ma anche nuove insidie per la sicurezza informatica. Con l'aumento dell'adozione di sistemi IA, le aziende e gli enti governativi devono prepararsi ad affrontare rischi e minacce senza precedenti.

Una delle principali preoccupazioni riguarda la possibilità di effettuare ingegneria inversa sui modelli di IA addestrati. Questi modelli vengono tipicamente addestrati su enormi quantità di dati, alcuni dei quali potrebbero essere sensibili o proprietari. Un attaccante in grado di decostruire il modello potrebbe potenzialmente estrarre e abusare di queste informazioni riservate.

 I modelli di IA vengono addestrati su enormi quantità di dati di addestramento. Tuttavia, è possibile creare input leggermente manomessi che, sebbene impercettibili per l'occhio umano, possono portare il modello a classificare erroneamente gli oggetti.

Ad esempio, un attaccante potrebbe aggiungere un rumore quasi invisibile a un'immagine di un panda, facendo sì che il modello di visione artificiale lo classifichi erroneamente come un'automobile. Questo input avversario sfrutta le debolezze del modello addestrato.

Questi attacchi possono essere estremamente pericolosi, soprattutto in sistemi critici come quelli per la guida autonoma o il riconoscimento facciale. Un input avversario potrebbe far deviare un'auto senza conducente o consentire l'accesso non autorizzato, bypassando i controlli di sicurezza. Per mitigare questa minaccia, i ricercatori stanno sviluppando tecniche di addestramento robusto che rendono i modelli di IA più resistenti agli attacchi avversari. Ciò include l'aggiunta di input avversari nei dati di addestramento e l'utilizzo di regolarizzazioni speciali.

Con l'avanzamento delle tecnologie di generazione di voci, testi e immagini basate sull'IA, anche il rischio di frodi multimediali aumenta vertiginosamente. Deepfake audio e video ultra-realistici potrebbero essere utilizzati per ingannare sistemi biometrici, diffondere disinformazione o compiere truffe.

Per mitigare questi rischi, gli esperti sostengono la necessità di sviluppare standard di sicurezza dedicati per l'IA. Ciò includerebbe linee guida su come addestrare i modelli in modo sicuro, verificarne la robustezza e proteggerli dalle manomissioni. Anche l'adozione di crittografia omomorfica e tecniche di anonimizzazione dei dati potrebbe contribuire a migliorare la sicurezza.

Nonostante le sfide, l'IA offre anche strumenti potenti per rafforzare la sicurezza informatica. Analisi avanzate, rilevamento di anomalie e apprendimento automatico potrebbero consentire di identificare e rispondere più efficacemente alle minacce emergenti.

 Sebbene l'apprendimento automatico avversario rappresenti una sfida significativa per la sicurezza dei sistemi di IA, la ricerca in questo campo è cruciale per garantire che questi potenti strumenti possano essere utilizzati in modo affidabile e sicuro.

Nell'ambito della sicurezza informatica, l'Operazione Cronos emerge come un episodio emblematico della lotta contro i cybercriminali. Trend Micro, un gigante nel campo della cybersecurity, ha svelato il suo ruolo cruciale in questa operazione internazionale, che ha permesso di infliggere un duro colpo al gruppo Ransomware LockBit. La capacità dei ricercatori di Trend Micro di infiltrarsi e lavorare sotto copertura all'interno del gruppo LockBit ha non solo impedito l'attuazione di nuovi attacchi ransomware ma ha anche fornito alle forze dell'ordine un vantaggio strategico significativo.

Parallelamente, il Dipartimento di Stato degli Stati Uniti ha annunciato una misura audace, offrendo una ricompensa fino a 10 milioni di dollari per informazioni che conducano all'identificazione o alla localizzazione dei vertici di LockBit. Questa iniziativa senza precedenti segna un importante passo avanti nella lotta contro il cybercrimine, mostrando un impegno notevole nel neutralizzare le minacce alla sicurezza globale.

LockBit, responsabile di circa il 25% delle perdite da ransomware nel 2023, ha causato danni per miliardi di dollari a migliaia di organizzazioni in tutto il mondo. L'Operazione Cronos e l'annuncio di ricompense finanziarie rappresentano una svolta significativa nella lotta contro questa piaga informatica. Il successo dell'operazione, che include sequestri di criptovaluta, arresti, e incriminazioni, dimostra l'efficacia della collaborazione tra il settore privato e le forze dell'ordine.

Tuttavia, il lavoro non è finito. Anche se LockBit è stato indebolito, la minaccia del ransomware rimane preminente, con potenziali rischi per scuole, ospedali, organizzazioni governative e infrastrutture critiche. L'offerta di ricompense per informazioni sui leader di LockBit non solo stimola la cooperazione da parte di insider e informatori ma manda anche un messaggio forte ai cybercriminali sulle conseguenze delle loro azioni.

La protezione proattiva fornita da Trend Micro, incluso il rilascio di una protezione specifica contro il nuovo ceppo di LockBit prima che fosse completamente operativo, è un esempio notevole di come l'innovazione in cybersecurity possa anticipare e neutralizzare le minacce emergenti.

L'industria dei servizi ambientali ha registrato un aumento straordinario degli attacchi HTTP Distributed Denial-of-Service (DDoS), con un incremento del 61.839% rispetto all'anno precedente, come riportato da Cloudflare nel suo rapporto sulle minacce DDoS del quarto trimestre del 2023. Questo trend allarmante è stato particolarmente evidente durante la conferenza COP 28, tenutasi dal 30 novembre al 12 dicembre 2023, secondo quanto affermato dai ricercatori di sicurezza Omer Yoachimik e Jorge Pacheco.

Questo aumento degli attacchi durante eventi ambientali importanti come COP 26 e COP 27 sottolinea un trend preoccupante nel panorama delle minacce informatiche, che collega le questioni ambientali alla cybersecurity. Nonostante l'attenzione rivolta ai servizi ambientali, l'industria delle criptovalute rimane la principale vittima in termini di volume di attacchi HTTP DDoS, con oltre 330 miliardi di richieste HTTP, rappresentando più del 4% di tutto il traffico DDoS HTTP per il trimestre.

Altri settori colpiti includono i settori dei giochi, del gioco d'azzardo e delle telecomunicazioni, emergendo come il secondo e terzo settore più attaccato. Dal punto di vista geografico, Stati Uniti e Cina sono le principali fonti di traffico di attacchi HTTP DDoS, con gli Stati Uniti che mantengono questa posizione per cinque trimestri consecutivi dal quarto trimestre del 2022. Insieme, Cina e Stati Uniti rappresentano oltre un quarto di tutto il traffico di attacchi DDoS HTTP a livello mondiale, seguiti da Brasile, Germania, Indonesia e Argentina.

Nel contesto più ampio degli attacchi DDoS, la guerra tra Israele e Hamas e l'Operazione Iron Swords hanno visto un aumento degli attacchi DDoS contro piattaforme palestinesi di IT e internet. Cloudflare ha segnalato un aumento del 1.126% del traffico di attacchi DDoS diretti ai siti web palestinesi e una crescita del 3.370% contro le piattaforme taiwanesi durante le elezioni presidenziali e le crescenti tensioni con la Cina.

Secondo le scoperte di Akamai, gli attacchi DDoS stanno diventando più frequenti, prolungati, sofisticati e orientati orizzontalmente, colpendo più destinazioni IP nello stesso evento. Le scoperte di Cloudflare su endpoint API non gestiti o non protetti rivelano una crescente minaccia, con oltre la metà degli errori di traffico da origini API che comprendono codici di errore '429', indicando "Troppe Richieste"

L'impennata senza precedenti negli attacchi DDoS mirati al settore dei servizi ambientali segna una nuova fase nelle minacce informatiche. Questa tendenza non solo evidenzia la natura in evoluzione degli attacchi informatici ma sottolinea anche l'intersezione critica tra questioni ambientali e cybersecurity. La vulnerabilità persistente di vari settori, inclusi criptovaluta, giochi e telecomunicazioni, insieme alla diffusione geografica delle fonti di attacchi, dipinge un quadro complesso del panorama attuale delle minacce informatiche. Le scoperte richiedono una maggiore consapevolezza e misure di cybersecurity robuste in tutti i settori, specialmente durante eventi globali significativi.

#DDoSAttacks #CyberSecurity #EnvironmentalServices #CloudflareReport #COP28 #DigitalThreats #CyberAttackTrends #CryptocurrencySecurity #HTTPDDoS #GlobalCyberWarfare #APIVulnerabilities #USChinaCyberSecurity #GamingCyberAttacks #TelecommunicationsSecurity #OperationIronSwords #CyberThreatAnalysis #InternetSecurity #TechIndustryThreats #GlobalCyberThreats

 

Nel 2023, #Cloudflare ha rivelato l'esistenza e il successo nella mitigazione di una nuova e significativa vulnerabilità #zero-day, denominata "HTTP/2 Rapid Reset". Questa vulnerabilità, sfruttando il protocollo standard #HTTP/2 ha permesso agli attaccatori di generare attacchi #DDoS (Distributed Denial of Service) di dimensioni senza precedenti. Gli attacchi sfruttavano una tecnica che consisteva nell'invio e nell'annullamento immediato di centinaia di migliaia di richieste, sovraccaricando i siti web e rendendo offline qualsiasi sistema che utilizzasse HTTP/2.

Durante il culmine di questa campagna di attacchi #DDoS, #Cloudflare ha registrato e gestito oltre 201 milioni di richieste al secondo, un volume di #attacchi quasi triplo rispetto al più grande attacco DDoS precedente nella storia di Internet. Questo dato evidenzia la portata e la gravità della minaccia rappresentata da questa nuova vulnerabilità.

Per quanto riguarda gli attacchi DDoS a livello mondiale, #Cloudflare ha osservato diverse tendenze nel quarto trimestre del 2023. Tra queste, si è notato che il settore della #criptovaluta è stato il più attaccato, con oltre 330 miliardi di richieste HTTP, rappresentando più del 4% di tutto il traffico #DDoS HTTP del trimestre. Altri settori fortemente colpiti includono i settori dei giochi e del gioco d'azzardo, delle tecnologie dell'informazione e di Internet, nonché le istituzioni finanziarie e bancarie.

Inoltre, la maggior parte degli attacchi #DDoS sono stati di breve durata e di piccole dimensioni rispetto alla scala di #Cloudflare. Tuttavia, i siti web e le reti non protette possono ancora subire interruzioni a causa di attacchi brevi e di piccole dimensioni senza una protezione automatica adeguata.

Dal punto di vista geografico, #Singapore è stata la principale destinazione degli attacchi HTTP DDoS nel quarto trimestre, con oltre 317 miliardi di richieste #HTTP, pari al 4% del traffico DDoS globale. La #Cina, invece, è stata il paese più attaccato per gli attacchi DDoS a livello di rete, con il 45% di tutto il traffico #DDoS a livello di rete gestito da #Cloudflare diretto verso la #Cina.

Questi dati evidenziano non solo l'importanza di una solida postura di sicurezza per le organizzazioni di ogni dimensione ma anche la natura sempre più sofisticata e pericolosa degli attacchi informatici in un mondo sempre più interconnesso e dipendente dalla tecnologia.

Il leader del gruppo di hacktivisti russi #Killnet, #Killmilk, ha annunciato questa settimana il suo "ritiro" e ha nominato un nuovo capo per la gang. #Killmilk, diventato famoso durante la guerra in Ucraina per aver rappresentato un collettivo di #hacker politicamente motivati, ha dichiarato su #Telegram: "Da ora in poi, non farò più parte di #Killnet! Mi ritiro...".

Ha citato lo stress della guerra in Ucraina come motivo. Poco tempo dopo che giornalisti russi hanno svelato la sua presunta identità, #Killmilk, un cittadino russo di 30 anni di nome Nikolai Serafimov, si è ritirato. Nonostante molti ricercatori lo considerino più un creatore di brand che un #hacker, nel suo post d'addio ha affermato di aver "ricreato l'hacktivismo in tutto il mondo". Il nuovo "proprietario" di #Killnet, secondo un post separato sul canale Telegram ufficiale del gruppo, è un attore di minacce noto come #DeanonClub.

"Killmilk e io siamo amici da molto tempo, ed è la persona che mi ha portato tra le masse", ha detto #DeanonClub.

I due gruppi hanno effettivamente collaborato in passato. Nel febbraio di quest'anno, hanno creato un forum e un mercato chiamato #Infinity, che offre una gamma di servizi di #hacking e anche tutorial a pagamento per aspiranti criminali.

#DeanonClub ha anche rivendicato attacchi di tipo #DDoS sui mercati della droga nel #darknet come #BlackSprut.

Dal suo emergere nei primi mesi del 2022, il #ransomware #BlackBasta, con presunti legami con la #Russia, ha segnato la sua presenza nel mondo della #cybercriminalità. Secondo quanto riportato da #EllipticInvestigator, questo gruppo si è rapidamente affermato come uno dei principali attori nel panorama del #ransomware, attaccando oltre 329 entità a livello globale. Nel periodo 2022-2023, è diventato il quarto #ransomware più attivo in termini di numero di vittime.

Le indagini condotte da #EllipticInvestigator hanno inoltre suggerito un possibile legame tra #BlackBasta e il noto #GruppoConti, che ha chiuso i battenti dopo l'inizio del conflitto russo ucraino.

#BlackBasta ha mirato a una gamma diversificata di settori, tra cui costruzioni, studi legali e il settore immobiliare. In particolare, il 61,9% delle sue vittime si trova negli #StatiUniti, seguito dalla #Germania. Tra le vittime di alto profilo ci sono #Capita, un'azienda di outsourcing tecnologico con contratti governativi multimiliardari nel Regno Unito, e #ABB, una grande azienda di automazione industriale.

Il tracciamento dei pagamenti di riscatto di #BlackBasta, come sottolineato da #EllipticInvestigator, presenta delle sfide uniche. La natura decentralizzata delle #blockchain complicano l'identificazione dei pagamenti in criptovaluta. #BlackBasta, come è comune tra i gruppi di #ransomware, usa diversi #wallet per ricevere i riscatti, e spesso le vittime non rivelano a quale wallet hanno pagato. Inoltre, il gruppo utilizza tecniche di riciclaggio complesse per nascondere le tracce delle loro operazioni illecite sulla #blockchain.

Da un'analisi approfondita delle transazioni in criptovaluta, #EllipticInvestigator ha rilevato che #BlackBasta ha ricevuto almeno 107 milioni di dollari in riscatti dal 2022, con il pagamento più grande ricevuto di 9 milioni di dollari. Inoltre, è emerso che almeno il 35% delle vittime conosciute ha pagato un riscatto, un dato in linea con il 41% delle vittime di #ransomware che hanno pagato un riscatto nel 2022.

Il mondo della #cybersecurity è di nuovo sotto attacco con l'emergere di una nuova e preoccupante variante di #ransomware #DJVU, denominata "#Xaro". Questo #ransomware è stato osservato mentre si diffonde sotto mentite spoglie di #software crackato. #Ralph #Villanueva, ricercatore di sicurezza presso #Cybereason, ha segnalato che questa variante non solo cripta i file aggiungendo l'estensione .xaro, ma richiede anche un riscatto per un tool di decrittazione, colpendo i sistemi con una serie di carichi utili di #malware e #infostealer.

#DJVU, una variante del #ransomware #STOP, è noto per mascherarsi da servizi o applicazioni legittime, spesso veicolato tramite #SmokeLoader. Un aspetto significativo degli attacchi #DJVU è l'implementazione di #malware aggiuntivi, come i ladri di informazioni (ad esempio, #RedLine #Stealer e #Vidar), aumentando la pericolosità dell'attacco.

In un recente schema di attacco documentato da #Cybereason, #Xaro si propaga come file archivio da una fonte dubbia, spacciandosi per un sito che offre #freeware legittimo. L'apertura del file archivio porta all'esecuzione di un presunto installer per un software di scrittura PDF chiamato #CutePDF, che in realtà è un servizio di download di #malware pay-per-install noto come #PrivateLoader. #PrivateLoader stabilisce contatti con un server di comando e controllo (#C2) per recuperare un'ampia gamma di famiglie di #malware stealer e loader, come #RedLine #Stealer, #Vidar, #Lumma #Stealer, #Amadey, #SmokeLoader, #Nymaim, #GCleaner, #XMRig e #Fabookie, oltre a distribuire #Xaro.

#Xaro, oltre a generare un'istanza dell'infostealer #Vidar, è in grado di criptare file nell'host infetto prima di rilasciare una nota di riscatto, sollecitando la vittima a contattare l'attore della minaccia per pagare $980 per la chiave privata e lo strumento di decrittazione, un prezzo che scende del 50% a $490 se contattati entro 72 ore. Questa attività mette in luce i rischi legati al download di #freeware da fonti non affidabili e sottolinea l'inganno dietro l'

La #RhysidaRansomwareGroup ha recentemente annunciato un attacco informatico alla #ChinaEnergyEngineeringCorporation (CEEC), un'importante azienda energetica di proprietà statale in Cina. Questa società ha un ruolo significativo nel settore dell'energia e delle infrastrutture, partecipando a vari progetti energetici inclusi carbone, idroelettrico, nucleare e iniziative di energia rinnovabile. Questo gruppo di ransomware ha affermato di aver esfiltrato una notevole quantità di dati "impressionanti" e attualmente li sta mettendo all'asta per 50 #Bitcoin (BTC). I dati sono destinati a essere venduti a un unico acquirente, con il piano del gruppo di rilasciare pubblicamente i dati nei sette giorni successivi all'annuncio. Recentemente, anche la #BritishLibrary è stata aggiunta alla lista delle vittime della Rhysida ransomware group sul loro sito di leak su #Tor. In risposta a questi attacchi, l'#FBI e la #CISA hanno emesso un avviso congiunto di #CybersecurityAdvisory (CSA) per avvisare sugli attacchi di ransomware di Rhysida. Questo avviso fa parte dell'iniziativa #StopRansomware, che fornisce informazioni sulle tattiche, tecniche e procedure (#TTPs) e gli indicatori di compromissione (#IOCs) associati ai gruppi di ransomware. Il gruppo di ransomware Rhysida è operativo dal maggio 2023. Secondo il sito di leak Tor del gruppo, almeno 62 aziende sono cadute vittime delle loro operazioni. Il gruppo ha preso di mira organizzazioni di vari settori, tra cui istruzione, sanità, produzione, tecnologia dell'informazione e governo. Le vittime del gruppo sono classificate come "obiettivi di opportunità". L'avviso congiunto afferma che "Gli attori delle minacce che sfruttano il #RhysidaRansomware sono noti per impattare su 'obiettivi di opportunità', inclusi le vittime nei settori dell'istruzione, della sanità, della produzione, della tecnologia dell'informazione e del governo. La reportistica open source dettaglia somiglianze tra l'attività di #ViceSociety (DEV-0832) e gli attori osservati nel dispiegare il ransomware Rhysida". Inoltre, è stato notato che gli attori di Rhysida operano in un modello di #RansomwareAsAService (RaaS), noleggiando strumenti di ransomware e infrastrutture in un accordo di condivisione dei profitti. I riscatti pagati vengono quindi divisi tra il gruppo e i suoi affiliati. Gli attori di Rhysida sfruttano servizi remoti esposti esternamente come #VPN e #RDP per ottenere l'accesso iniziale alla rete target e garantire la persistenza. Hanno utilizzato credenziali compromesse per autenticarsi ai punti di accesso VPN interni. L'avviso nota anche che gli attori delle minacce hanno sfruttato #Zerologon (#CVE-2020-1472) nel Protocollo Netlogon Remote di Microsoft nei loro tentativi di phishing. Si affidano anche a tecniche di #LivingOffTheLand, utilizzando strumenti di amministrazione di rete integrati per eseguire operazioni malevole.

Gli esperti di fileless#cybersecurityfileless hanno recentemente lanciato un allarme riguardante un aumento significativo delle truffe e dei messaggi spam che sfruttano la funzionalità "Release scores" dei quiz di fileless#GoogleForms per inviare #e-mail ingannevoli. Queste truffe, particolarmente sofisticate, mirano a convincere le vittime a investire in fileless#criptovalute o a condividere i propri dati personali.

La società di sicurezza informatica fileless#CiscoTalos ha identificato che i truffatori utilizzano fileless#GoogleForms per creare quiz fasulli, completando questi formulari utilizzando l'email di ignare vittime. Dopo la sottomissione, i truffatori possono visualizzare le risposte e attivare la funzionalità "Release scores" su Google Forms. Ciò consente loro di inviare messaggi e-mail personalizzati, usando l'indirizzo dell'account Google, aumentando potenzialmente la probabilità che l'email raggiunga la casella di posta della vittima, dal momento che le email provengono dai server di Google.

In una di queste campagne, l'email sembrava provenire con l'intestazione dell'oggetto “Score released: Balance 1.3320 BTC”. Cliccando sul pulsante “Visualizza”, gli utenti venivano reindirizzati alla falsa risposta del modulo #Google che chiedeva di confermare il proprio indirizzo email. Successivamente, venivano indirizzati verso un link esterno che li sollecitava ad attivare i loro account contenenti fileless#Bitcoin del valore di oltre $46.000. Per rendere il tutto più convincente, le vittime venivano assistite tramite una sessione di chat dal vivo per compilare i loro nomi ed indirizzi email. Nella fase finale, alle vittime veniva chiesto di pagare una tassa di cambio dello '0,25%' o $64, scansionando un codice QR per reclamare l'importo.

Questa ultima truffa arriva pochi giorni dopo che fileless#Google ha avvertito che gli attori delle minacce stavano sfruttando il suo servizio di Calendario per ospitare infrastrutture fileless#C2. Questo sfruttamento veniva effettuato tramite uno strumento chiamato fileless#GoogleCalendarRAT, pubblicato per la prima volta su fileless#GitHub a giugno. Lo strumento permetteva agli aggressori di sfruttare le descrizioni degli eventi in Google Calendar per creare un canale nascosto.

La pianificazione meticolosa coinvolta nell'esecuzione di questo attacco evidenzia fino a che punto i criminali informatici possano spingersi per sfruttare le informazioni personali degli individui ed estrarre anche una modesta somma di denaro. Mentre questo tipo di truffe continua a emergere di tanto in tanto, è fondamentale che le organizzazioni rimangano aggiornate sugli Indicatori di Compromissione (fileless#IoC) e blocchino gli indicatori dannosi.

I ricercatori di Fortiguard Labs hanno scoperto un nuovo #infostealer chiamato #ExelaStealer. Questo #malware è comparso per la prima volta ad agosto e include una varietà di capacità di furto di dati, che vanno dal furto di dati sensibili come password, dettagli delle carte di credito, cookie e dati di sessione fino ai registri delle tastiere, da sistemi #Windows.

Secondo Fortiguard Labs, #ExelaStealer è scritto in linguaggio #Python ed è pubblicizzato su forum di #hacker e canali #Telegram. È disponibile in due varianti diverse: una è open source, mentre l'altra è una versione a pagamento. I ricercatori affermano che gli operatori offrono gratuitamente il codice sorgente del #malware. Chiunque abbia le competenze necessarie potrebbe creare un eseguibile di #ExelaStealer utilizzando il codice liberamente disponibile.

Gli #Infostealer sono generalmente #malware di basso costo che li rende strumenti perfetti per il furto di dati da parte di hacker meno esperti. Grazie alla loro vasta gamma di capacità, si è verificata una proliferazione di minacce di questo tipo nel panorama cibernetico. #Cybercriminali con sede in Vietnam sono stati individuati nell'uso di #Ducktail #infostealer, insieme al #malware #DarkGate, per mirare a organizzazioni nel Regno Unito, negli Stati Uniti e in India. Gli attori delle minacce dietro #LummaStealer sono stati trovati a utilizzare server #Discord come canale per distribuire il #malware a più persone. È stato osservato un #malware per il furto di informazioni chiamato #MetaStealer, che ha preso di mira sistemi #macOS.

In conclusione la scoperta di un altro nuovo #infostealer indica che c'è ancora spazio per nuovi attori delle minacce emergere e guadagnare popolarità. Inoltre, gli #infostealer forniscono l'opportunità agli aggressori di utilizzare i dati rubati per ricatti, spionaggio o riscatti.