Oggi ci troviamo a parlare di un gruppo di vulnerabilità, poco note ma dal potenziale devastante, che stanno diventando sempre più di moda: “gli attacchi al firmware”. La classe di rischio è coperta da una new entry nella top 10 OWASP ancora in fase di revisione: “A08:2021 – Software and Data Integrity Failures”, ossia il fallimento nella verifica dell’integrità di dati e programmi. 

I maggiori enti di sicurezza hanno notato un incremento del 100% delle vulnerabilità mirate alla compromissione del firmware; si passa da un 33% del totale delle vulnerabilità considerate critiche, al 66% nel passaggio tra il 2020 e 2021. 

In particolare, volevamo rivolgere l’attenzione ad una vulnerabilità di recente rivelazione, riguardante lo sfruttamento di un componente windows, per ottenere un buon punto di permanenza. 

Eclypiusm ha scoperto che la grossa falla nel componente WPBT incluso in qualsiasi versione di windows distribuite dal 2012 in

Telegram è il noto sistema di messaggistica rivale di WhatsApp ereditato qualche comportamento dal vecchio IRC. 

Su IRC la gente parlava e scambiava di tutto in un'era in cui il controllo sulla rete era praticamente assente. 

Così avvenivano scambi commerciali o di dati senza avere nessuna paura di essere censurati. 

Adesso Telegram ha preso il suo posto, dato che è richiesto solo un numero di telefono per registrarsi, è facile rimanere anonimi. La user base è davvero grande 500milioni di iscritti. Ovviamente molte persone usano solo come messaggistica, ma la possibilità di creare bot e gruppi ha creato un grosso mercato non sempre lecito. 

La garanzia di anonimato lo sta rendendo estremamente popolare, soprattutto tra attori criminali, al punto che pare stia diventando più utilizzato dello stesso

Ormai è risaputo che noi italiani siamo sempre alla moda, purtroppo, in questo caso anche in tema di attacchi cyber. 

Nella prima metà del 2021, a causa della pandemia Mondiale, gli attacchi a tema covid-19 sono stati diffusissimi. Trend Micro Research all’interno del proprio report di metà anno chiamato “Attacks from all angles: 2021 Midyear cybersecurity Report”, (tradotto: Attacchi da tutte le direzioni 2021), evidenzia che gli attacchi hanno bersagliato principalmente gli Stati Uniti, i quali si stima abbiano collezionato circa 1.584.337 minacce. 

Gli USA purtroppo non solo i soli, ma hanno ottenuto il primato di “primi in classifica”, seguiti dalla Germania con 832.750, la Colombia 462.005 e con una splendida medaglia di legno dall'Italia con ben 131.197 attacchi fra e-mail spam, malware e siti malevoli (non ci facciamo mancare nulla).  

Già che ci siamo, entriamo nel vivo fornendo nel

La fase di delivery del malware è cambiata molto negli ultimi anni, ma la mail rimane il mezzo di diffusione preferito per diffondere url malevoli; nonostante questo, i criminali non disprezzano anche l’utilizzo di forum (gruppi Telegram, Whatsapp) o altre piattaforme di messaggistica istantanea. 

Nel primo trimestre 2021, Palo Alto Networks durante la ricerca Ransomware Threat Report 2021 di unit 42 ha rilevato che nonostante le famiglie di ransomware siano molte, oltre 100, più del 50% degli attacchi provengono dalle prime 15. 

I malware tendono ad evolversi con il tempo, per evitare di essere rilevati il loro codice viene alterato. 

Il primato spetta a Virlock, un file infector  che copre il 7% dei campioni analizzati, un alto numero di varianti dà per scontato una maggiore diffusione, dato

Sembra la puntata di una serie tv:d'un tratto tutti i sistemi sono bloccati, nel panico i colleghi della dottoressa Meredith, costretti a pagare 4 bitcoin… No è tutto vero, la sanità laziale è stata attaccata da un hacker una seconda volta; l’ospedale San Giovanni di Roma è stato colpito da un ransomware, ora indaga la polizia delle telecomunicazioni. 

La paralisi dei sistemi ha reso impossibile qualsiasi tipo di comunicazione interna, il personale parla su WhatsApp, non si possono chiedere cartelle cliniche, esami di laboratorio e sapere quante persone sono in coda al pronto soccorso. Le caselle di posta interna sono saltate e il personale è stato costretto a tornare alla carta: «Esami ematici, richieste di trasfusioni o di camera operatoria, siamo in un mare di guai» dicono i dipendenti dell’ospedale. 

Fortunatamente l’ospedale è rimasto aperto e sono garantiti i servizi d’urgenza; attualmente i tecnici sono a lavoro per garantire la gestione delle emergenze, mitigare i danni e salvare il salvabile. L’attacco è avvenuto alla mezzanotte di ieri. 

Non sono chiare ancora le cause, l’entità del

Per condurre un attacco cyber è necessario recuperare delle credenziali d’accesso, questo ha fatto nascere una nuova professione nel lato oscuro della rete. Conosciuti come IAB (Initial Access Broker), questi intermediari si occupano di rimediare gli accessi rendendo il lavoro degli altri attori malevoli sempre più semplice; adesso, basta una passeggiata sulla via del corso del dark web, per trovarsi circondati da vere e proprie boutique che vendono i dati di accesso.

Per quanto questi attacchi possano sembrare casuali, molte volte le vittime vengono scelte in modo da minimizzare il rischio e massimizzare i profitti.

Il modo

KELA ha analizzato 48 post riguardanti cybercriminali in cerca di credenziali da acquistare, il 40% di questi annunci è stato creato da persone coinvolte nella diffusione di ransomware. Nel post viene specificato quanto il criminale ha voglia di spendere e i requisiti che

Il gruppo FIN7 sta sfruttando la recente uscita della versione alpha, del sistema della casa di Redmond, windows 11, per rubare dati di carte di credito. Il gruppo FIN7 è famoso per colpire un obiettivo per volta, di solito ristoranti e punti vendita con lo scopo di vendere dati bancari sul dark web, selezionando le sue vittime sul servizio zoominfo. Nel 2020 ha cominciato a fare uso, anche se in maniera limitata, di ransomware. 

“Anomali threat research” ha condotto un’analisi su documenti word malevoli, in grado di impiantare una backdoor tramite una macro VBA. 

I documenti in questione parlano tutti del nuovo sistema operativo e invitano, con l’immagine presente in testa all’articolo, ad abilitare la modifica per visualizzare l’intero contenuto del documento dato che è stato creato su Windows 11. Ancora lontano dal lancio di una versione stabile, windows 11, è già stato protagonista di due ondate di attacchi: quella attuale e un’altra riguardante la diffusione di ISO false, spacciate per un leak del sistema operativo, prassi comune nel mondo della

Complice la recente rivelazione di una nuova superficie d’attacco per i server microsoft exchange non aggiornati da maggio scorso la diffusione di nuovi ransomware non tende a diminuire assolutamente, attraverso le Attack-Chain di ProxyShell e PetitPotam, LockFile ha fatto la sua comparsa. A prima vista si tratta di un clone di Lockbit 2.0 dato che la sua hta (pagina di presentazione) è pressoché identica. Quello che distingue questo ransomware dagli altri è una curiosa tecnica di antivirus evasion. 

Crittografia intermittente 

Conti, Lockbit o altri malware della stessa famiglia, crittano i primi blocchi di un file impedendone così la lettura e velocizzando il completamento della fase di crittografica del malware. Lockfile invece critta i file a blocchi di 16 bytes in modo alternato, dato che il file può essere ancora parzialmente letto, vengono rese inutili le rilevazioni di compromissione crittografica basate su metodi statistici, poiché il file è sufficientemente simile all’originale da non generare allarmi. Una volta completata la fase di crittografia e generate le note di contatto il malware cancella sé stesso lasciando antivirus senza

Abbiamo già spiegato come, grazie alla diffusione di una corretta awareness le classiche tecniche di phishing stanno perdendo di efficacia, e di come gli insider threats (d’ora in avanti insiders) stiano diventando sempre più diffusi, soffermandoci sulle classiche truffe alla nigeriana, ma esiste un'altra via per generare degli insiders. 

Questa volta il protagonista è il ransomware Lockbit 2.0 quello che ha messo in ginocchio la regione Lazio e responsabile di un riscatto da 50 milioni contro il gigante Accenture. 

In linea fondamentale l’approccio è sempre lo stesso: un’offerta di denaro in criptovaluta in cambio di credenziali d’accesso all’infrastruttura, quello che cambia è il come. 

Come Lockbit si assicura delle credenziali di buona qualità 

Come prima cosa si guadagna l‘accesso ad un computer dell’infrastruttura aziendale, imposta un wallpaper nuovo fiammante che riporta la scritta: 

#### 

vuoi guadagnare milioni di euro? La nostra compagnia raccoglie accessi alle reti di varie aziende, così come informazioni interne che possono aiutare a rubare i dati più preziosi di qualunque azienda. 

Puoi fornirci qualsiasi tipo di dato utile a garantire un accesso come_: login password di VPN, RDP, mail aziendali, ecc… Apri la

La città di Peterborourgh nel New Hampshire ha dichiarato di aver perso $ 2,3 milioni dopo che i truffatori hanno ingannato i dipendenti della città facendoli inviare ingenti pagamenti ai conti sbagliati.

Le indagini hanno rivelato che i malfattori hanno utilizzato mail contraffate e documenti falsi per deviare i pagamenti a conti sotto il loro controllo.

Durante le indagini le autorità hanno scoperto che anche altri pagamenti sono stati intercettati, dovevano essere inviati a due appaltatori con il compito di costruire un ponte in città.

I servizi segreti americani, che sono stati contattati per indagare sull’incidente, hanno comunicato agli ufficiali di Peterborourgh che i fondi rubati sono stati lavati e convertiti in criptovaluta.

I dipendenti caduti vittima dell’inganno sono stati temporaneamente congedati, ma si dichiarano estranei ai fatti. I fondi persi probabilmente non verranno coperti dalle assicurazioni.

Quei 2,3 milioni ammontano a circa il 15% del budget annuale della piccola cittadina. Questo tipo di raggiro è chiamato truffa BEC e secondo l’FBI è costato alle aziende 1.8 miliardi nel 2020.

Truffa BEC

La Business mail Compromise (compromissione di mail aziendali) è un sofisticato tipo di truffa rivolta alle aziende che effettuano bonifici bancari e hanno fornitori all’estero. E-mail aziendali di dirigenti, o dipendenti in alto nella catena di comando, o che comunque svolgono attività finanziaria, come l’invio di bonifici, vengono impersonati o compromessi con keylogger o phishing per eseguire trasferimenti di