L'Europol, nelle giornate tra il 27 e il 29 maggio, ha condotto l’operazione Endgame, grazie alla quale è stato possibile colpire una rete di dropper formata in particolare da IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le operazioni sono andate a concentrarsi sull’interruzione dei servizi criminali, conducendo infine non solo allo smantellamento delle infrastrutture individuate, ma anche all'arresto di alcune persone coinvolte nelle azioni criminali e nel congelamento dei fondi ottenuti illegalmente durante le attività da essi messe in atto.

Un'azione di largo respiro

L'operazione condotta sotto il coordinamento di Europol può essere considerata un grande successo, alla luce delle attività condotte dalle reti in questione. Tanto da essere

Il dark web è un fenomeno estremamente contraddittorio. Se da un lato rappresenta un efficace strumento per aggirare la censura dei governi autoritari e delle dittature, notoriamente è anche la parte di Internet ove avvengono i traffici di stupefacenti, armi ed esseri umani. Un luogo popolato quindi anche da criminali di ogni risma, che non a caso è stato eletto come luogo ideale per il traffico dei dati trafugati sulla rete. Naturalmente, anche chi sviluppa gli strumenti in grado di trafugare le informazioni personali, ha pensato bene di farne il proprio mercato di riferimento. Come ha fatto l'autore dell'ultima minaccia informatica che sta facendo

Il passato 20 maggio, il Senato ha iniziato l'esame del disegno di legge numero 1717, 1143 nel suo caso, recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e reati informatici. Composto da 24 articoli, il provvedimento che mira a fornire strumenti in grado di contrastare i reati informatici è già stato sottoposto al vaglio della Camera dei Deputati. Firmato dalla presidente del Consiglio Giorgia Meloni e dal ministro della Giustizia Carlo Nordio, il suo principale obiettivo è

Negli ultimi anni, gli attacchi informatici ai sistemi industriali sono aumentati in maniera preoccupante, evidenziando gravi debolezze nella sicurezza delle infrastrutture critiche. Questo fenomeno, che coinvolge numerosi settori, pone in primo piano la vulnerabilità dei sistemi idrici, una componente fondamentale per la salute pubblica e il benessere delle comunità.

Le infrastrutture idriche sono essenziali per garantire la distribuzione di acqua potabile e la gestione delle acque reflue. Tuttavia, un recente rapporto dell'Agenzia per la Protezione Ambientale degli Stati Uniti (EPA) ha rivelato che

La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato nuove linee guida per soddisfare i requisiti di crittografia dei siti web e migliorare la sicurezza.

CISA afferma che le linee guida rilasciate giovedì aiuteranno a stabilire parametri di riferimento per il modello di sicurezza zero trust, una metodologia in cui gli utenti di una rete non sono mai intrinsecamente fidati e devono essere regolarmente verificati per consentire l'accesso a sistemi e pagine sensibili.

Il documento di orientamento si concentra sul DNS e sostiene che il protocollo  esistente non supporta metodi che crittografano o proteggono dagli spioni informatici che si attaccano al percorso di navigazione di un utente e sabotano la sua navigazione.

"In qualità di responsabile operativo per la cybersecurity federale, CISA ha sviluppato questa guida per assistere le agenzie federali nella comprensione e implementazione delle azioni e dei protocolli chiave per iniziare a crittografare il traffico DNS," ha dichiarato Eric Goldstein, direttore esecutivo assistente per la cybersecurity di CISA, in una dichiarazione scritta.

Nell'ottobre del 2023, un colossale attacco informatico ha scosso le fondamenta di Boeing, il gigante dell'aeronautica e della difesa, quando criminali informatici hanno utilizzato la piattaforma ransomware LockBit per prendere di mira l'azienda. La richiesta di riscatto? Niente meno che 200 milioni di dollari, una cifra tra le più alte mai richieste in attacchi simili, come riportato da CyberScoop.

Dettagli dell'Attacco

La notizia è stata confermata mercoledì da Boeing a CyberScoop, identificando l'azienda come la multinazionale anonima citata in un'incriminazione resa pubblica il giorno precedente dal Dipartimento di Giustizia degli Stati Uniti. L'indagine ha messo in luce Dmitry Yuryevich Khoroshev come il principale amministratore e sviluppatore dietro l'operazione ransomware LockBit, una figura chiave in una serie di azioni legali e sanzioni che hanno coinvolto gli Stati Uniti, il Regno Unito e l'Australia.

Il "dwell time" è un termine chiave che si riferisce al periodo di tempo che intercorre tra il momento in cui un attaccante riesce a infiltrarsi in un sistema e il momento in cui viene rilevato. Questo indicatore è di cruciale importanza perché, quanto più lungo è il dwell time, tanto maggiore è il danno potenziale che un attaccante può infliggere all'infrastruttura compromessa. Questo può includere il furto di dati sensibili, l'installazione di malware, e la preparazione di attacchi successivi, tra gli altri.

La riduzione del dwell time è quindi un obiettivo fondamentale per le aziende che cercano di rafforzare le loro difese contro le minacce. Un tempo di permanenza ridotto significa che le intrusioni vengono scoperte e mitigate più rapidamente, limitando così il danno potenziale e aumentando la sicurezza complessiva.

Le Scoperte del Rapporto "M-Trends 2024" di Mandiant

Il rapporto "M-Trends 2024" di Mandiant ha fornito alcune rivelazioni significative e numeri dettagliati riguardo alla situazione attuale del dwell time e di altre metriche di sicurezza. Ecco i punti salienti:

• Riduzione del Dwell Time: Nel 2023, il tempo medio globale di permanenza degli attaccanti è stato il più basso registrato dal 2011, quando Mandiant ha iniziato a tracciare questa metrica. Il dwell time è diminuito di quasi una settimana, passando dai 16 giorni del 2022 ai 10 giorni del 2023. Questa diminuzione rappresenta un miglioramento significativo nelle capacità di rilevazione e risposta delle organizzazioni.

• Miglioramento del Rilevamento Interno: Il rilevamento interno di intrusioni è migliorato nel 2023, con il tempo medio globale di rilevamento che è sceso a 9 giorni dai 13 giorni dell'anno precedente. Questo indica che le organizzazioni stanno diventando più efficaci nel rilevare gli attacchi internamente, senza dover dipendere esclusivamente da segnalazioni esterne.
• Aumento dei Ransomware: Nonostante la riduzione del dwell time, il rapporto ha notato un aumento dell'attività di ransomware. Le indagini che coinvolgono il ransomware sono cresciute fino al 23% nel 2023, rispetto al 18% del 2022. Questo ritorna ai livelli già osservati nel 2021, dimostrando una persistente minaccia di ransomware nonostante i tentativi di mitigazione.
• Focus sulle Tecniche di Evasione e sfruttamento dei Zero-Day: I criminali informatici stanno aumentando il loro focus su tecniche di evasione avanzate, incluso lo sfruttamento di vulnerabilità zero-day. Nel 2023, quando è stato identificato un vettore iniziale di intrusione, nel 38% dei casi era da attribuirsi ad un exploit zero day. Questo indica una crescente sofisticazione degli attaccanti che mirano a sfruttare vulnerabilità non ancora note o non patchate per portare avanti le loro operazioni.
• Tendenze e Precauzioni: Il rapporto ha anche evidenziato un aumento nell'uso di tattiche "living off the land", dove gli attaccanti utilizzano prodotti legittimi e strumenti esistenti all'interno dell'ambiente bersaglio per muoversi lateralmente e accedere a dati sensibili.

La cattiva notizia è che l'aumento dell'uso di exploit, specialmente quelli che sfruttano vulnerabilità zero-day, indica che gli attori delle minacce stanno diventando sempre più sofisticati e capaci di bypassare le misure di sicurezza tradizionali. Questo impone alle organizzazioni di rimanere sempre all'avanguardia nella difesa delle loro infrastrutture critiche e nel garantire che le patch e gli aggiornamenti di sicurezza siano applicati tempestivamente.

Ma la buona notizia è che l'industria della sicurezza informatica sta rispondendo con miglioramenti significativi nelle tecnologie di rilevamento e risposta. L'aumento delle capacità di rilevamento interno, come evidenziato dal calo del dwell time, dimostra che le organizzazioni non solo stanno diventando più veloci nel rilevare gli attacchi, ma stanno anche migliorando la loro capacità di intervenire efficacemente prima che gli attacchi possano causare danni gravi. Questi progressi sono essenziali per costruire una resilienza più forte contro le minacce future.

La sicurezza dei nostri smartphone è una preoccupazione di tutti, e minimizzare il numero di app installate sui propri dispositivi mobili è essenziale non solo per ottimizzare le prestazioni, ma anche per aumentare la sicurezza. Meno applicazioni significano meno porte d'ingresso per possibili attacchi malware e minori probabilità di incorrere in violazioni della privacy.

Scaricare applicazioni solo da fonti attendibili è vitale, in quanto gli store ufficiali come Google Play eseguono controlli di sicurezza per filtrare app dannose. Tuttavia, l'anno scorso, secondo un report di Bleeping Computer ,Google ha dovuto affrontare la sfida di bloccare la pubblicazione di 2,28 milioni di app Android che presentavano violazioni delle politiche, che potevano minacciare la sicurezza degli utenti. Questo dimostra che, nonostante gli sforzi, anche le piattaforme ufficiali possono essere soggette a tentativi di infiltrazioni dannose.

Il colosso di Mountain View ha anche identificato e bloccato 333.000 account che avevano caricato malware o app fraudolente, o che erano coinvolti in ripetute gravi violazioni delle politiche. Nel 2022, erano state bloccate 1,5 milioni di app nocive e sospesi 173.000 account di sviluppatori.

Queste azioni fanno parte degli sforzi continui di Google per mantenere sicuro l'ecosistema di Google Play, che è fondamentale dato che miliardi di persone dipendono da queste app per rendere i loro dispositivi più utili. Il gigante della ricerca basa questi sforzi sui principi 'SAFE', che comprendono la salvaguardia degli utenti (Safeguard Users), la protezione degli sviluppatori (Advocate fo Developer Protection), il sostegno all'innovazione responsabile (Foster Responsible Innovation) e l'evoluzione delle difese della piattaforma (Evolve Platform Defenses).

Tra le iniziative recentemente introdotte per rafforzare la sicurezza ci sono state:

• Un processo di registrazione e verifica dell'identità degli sviluppatori più rigoroso.
• L'introduzione di revisioni di sicurezza indipendenti e badge per le app VPN Android.
• L'aggiunta di scanning in tempo reale per bloccare l'esecuzione di malware.
• Il rinforzo del firmware per rendere più difficile sfruttare i difetti a livello di SoC.
• L'espansione dell'indice SDK, che ora copre 6 milioni di app, per aiutare gli sviluppatori a scegliere SDK sicuri per i loro progetti.

In aggiunta, Google ha rifiutato o corretto 200.000 richieste di app che chiedevano accesso a permessi rischiosi come il contenuto di SMS e la localizzazione in background senza motivazioni valide. Queste misure sottolineano l'importanza di una selezione cautelosa delle app, anche su piattaforme affidabili, e confermano il bisogno di vigilanza costante contro le minacce alla sicurezza digitale.

I recenti sforzi di Google per migliorare la sicurezza su Google Play illustrano un impegno critico e in crescita per proteggere gli utenti da app dannose e violazioni delle politiche. Nonostante gli store ufficiali offrano un livello significativo di sicurezza, gli utenti devono rimanere vigili e informati. È fondamentale continuare a educare gli utenti sulla sicurezza delle app, incoraggiando pratiche sicure come il download di software solo da fonti affidabili, la verifica dei permessi delle app e l'installazione di aggiornamenti regolari.

Minimizzare il numero di app installate non solo può aiutare a proteggere i dati personali, ma anche migliorare le prestazioni generali del dispositivo. Inoltre, la collaborazione tra sviluppatori, fornitori di piattaforme e gli stessi utenti è essenziale per costruire un ecosistema di app più sicuro.

Man mano che la tecnologia continua a evolversi, così deve evolvere la nostra comprensione e gestione della sicurezza informatica. L'impegno di Google nel rafforzare le sue difese e nel promuovere pratiche sicure rappresenta un passo importante verso un ambiente digitale più sicuro per tutti.

#GooglePlaySecurity #AppSafety #MalwarePrevention #DigitalSafety #TechSecurity #AndroidApps #SafeDownloading #UserProtection #CybersecurityAwareness #SecureTech #CybersecurityUP

Secondo quanto riportato da "The Register", una grave #vulnerabilità di #sicurezza colpisce le serrature intelligenti gestite dal software di #Chirp Systems, permettendo a estranei di sbloccarle da remoto. Questa criticità si manifesta a causa delle password e delle chiavi private incorporate staticamente nell'app Android di Chirp. Chiunque sia a conoscenza o scopra queste credenziali può utilizzarle per interfacciarsi con un'API del fornitore di serrature intelligenti #August, consentendo l'apertura remota delle serrature alimentate da Chirp.

La gravità della situazione è evidenziata dal fatto che il sistema di Chirp è attualmente utilizzato in oltre 50.000 abitazioni. Le implicazioni di questa #vulnerabilità sono particolarmente serie in quanto permettono l'accesso fisico illimitato agli ambienti protetti da queste serrature. Inoltre, la #vulnerabilità in questione è stata classificata con un punteggio di gravità CVSS di 9.1 su 10, un valore estremamente elevato che sottolinea il rischio significativo per la #sicurezza degli utenti.

La scoperta di questa falla risale a tre anni fa, ad opera di Matt Brown, un ingegnere senior di Amazon Web Services. Brown ha indagato l'app di Chirp dopo che il suo edificio residenziale ha adottato tali serrature nel marzo 2021. La sua analisi ha rivelato che l'app Android di Chirp conteneva credenziali di #sicurezza salvate in modo non protetto all'interno del codice sorgente, una pratica che espone a rischi elevati l'integrità del sistema.

Nonostante l'avvertimento dell'Agenzia per la #Sicurezza delle Infrastrutture e della #Cybersecurity degli Stati Uniti (CISA), che ha anche emesso un alert riguardo a questa situazione, Chirp non ha risposto alle richieste di intervento per mitigare la problematica. Tuttavia, a seguito dell'alert di CISA, Chirp ha aggiornato l'app Android introducendo "correzioni di bug e miglioramenti alla stabilità", il che potrebbe indicare che la #vulnerabilità è stata risolta, sebbene non vi sia conferma ufficiale.

Oltre a questa falla, l'articolo di "The Register" mette in luce altre problematiche legate alla #sicurezza delle serrature intelligenti. Ad esempio, anche se Chirp offre una chiave basata su NFC come alternativa all'app, questa soluzione non è esente da rischi. Infatti, il chip NFC trasmette le credenziali in testo chiaro, rendendo altrettanto semplice compromettere la #sicurezza delle serrature.

La gestione della crisi da parte di Chirp e la sua capacità di rispondere in modo efficace alle sfide di #sicurezza vengono ulteriormente complicate dal fatto che l'azienda è ora parte di una società di private equity, Thoma Bravo, a seguito dell'acquisizione di RealPage nel 2020. Questa struttura proprietaria potrebbe influenzare la rapidità e l'efficacia delle risposte alle questioni di #sicurezza.

Il team di #BleepingComputer ha identificato un #malware specializzato nel furto di informazioni, il quale mira a sottrarre dati dai #browser delle vittime, incluse credenziali salvate, # cookie, informazioni su portafogli di #criptovalute, dati di autocompletamento e informazioni sulle carte di credito. Questi dati vengono poi venduti nei mercati del #darkweb o utilizzati per violare gli account online delle vittime, favorendo ulteriori truffe o frodi.

Il team ha rilevato che la portata di queste campagne è impressionante, specie in un periodo di forte interesse verso l'intelligenza artificiale, un campo in rapido sviluppo che rende difficile per il pubblico distinguere gli annunci legittimi da quelli falsi. 

In uno specifico caso monitorato, una pagina #Facebook che impersonava #Midjourney ha raccolto 1,2 milioni di follower e è rimasta attiva per quasi un anno prima della sua rimozione. Originariamente, i malintenzionati hanno dirottato un profilo esistente nel giugno 2023, trasformandolo in una falsa pagina Midjourney, la quale è stata successivamente chiusa da Facebook l'8 marzo 2024. 

Numerosi post hanno indotto gli utenti a scaricare gli #infostealer, promuovendo una versione desktop dello strumento che non esiste. Alcuni post annunciavano il rilascio della V6, che non è ancora disponibile ufficialmente, con l'ultima versione rilasciata essendo la V5. 

In altri casi, sono state promosse opportunità di creare arte NFT e monetizzare le proprie creazioni. Esaminando i parametri di targeting degli annunci di Facebook nella Meta Ad Library, il team ha scoperto che gli annunci miravano a un demografico di uomini tra i 25 e i 55 anni in diversi paesi europei, tra cui Germania, Polonia, Italia, Francia, Belgio, Spagna, Paesi Bassi, Romania e Svezia. 

Invece di utilizzare link di #Dropbox e #GoogleDrive per ospitare i #payload, i malintenzionati hanno configurato più siti che clonavano la pagina ufficiale di atterraggio di #Midjourney, ingannando gli utenti a scaricare quella che credevano fosse l'ultima versione dello strumento di generazione artistica tramite un link #GoFile. In realtà, scaricavano #Rilide v4, un'estensione che si spaccia per Google Translate per il browser web, nascondendo efficacemente il #malware che sottraeva cookie di Facebook e altri dati in background. 

Nonostante la rimozione di questa pagina, i criminali hanno lanciato una nuova pagina ancora attiva con oltre 600.000 membri, promuovendo un falso sito #Midjourney che distribuisce malware. 

Dopo la chiusura della pagina impostora con oltre 1,2 milioni di follower, il team di BleepingComputer ha osservato che i criminali informatici hanno rapidamente impostato una nuova pagina che impersonava Midjourney tra l'8 e il 9 marzo 2024. La pagina è stata impostata dopo aver preso il controllo dell'account Facebook di un altro utente, che ha anche avvertito gli altri utenti nella sezione recensioni che l'account era stato hackerato. Durante l'indagine, sono state rilevate altre quattro pagine Facebook che tentavano di impersonare #Midjourney, alcune delle quali sono state rimosse dalla piattaforma. 

L'ultima pagina maliziosa che impersonava Midjourney sembra sia stata presa dagli attaccanti il 18 marzo, quando i criminali informatici hanno cambiato il nome originale della pagina Facebook originale. Al 26 marzo, il profilo truffa contava 637.000 follower. 

Questo caso evidenzia la sofisticazione delle strategie di malvertising basate sui social media e sottolinea l'importanza della vigilanza nell'interazione con le pubblicità online. La vasta scala delle reti sociali come Facebook, unita a una moderazione insufficiente, permette a queste campagne di persistere per lunghi periodi, facilitando la diffusione incontrollata di malware che porta a danni estensivi derivanti dalle