In una guerra maledetta che ci ha portato indietro di 70 anni, #Anonimous, vuole fare la sua parte per aiutare il popolo ucraino. Il collettivo hacktivista infatti, non nasconde il suo sostegno all'Ucraina per il conflitto in corso con la Russia. In un videomessaggio pubblicato il 27 febbraio 2022, ha avvertito il presidente russo Vladimir Putin che ci saranno attacchi informatici senza precedenti contro le infrastrutture critiche del suo paese.

Ora, insieme ad altri gruppi di hacktivisti, sta effettuando diversi tipi di attacchi informatici contro il governo russo, i media, le imprese e le istituzioni finanziarie. Questi attacchi includono il defacement di siti Web, attacchi DDoS, l'hacking nelle trasmissioni TV in diretta, la visualizzazione di messaggi pro-ucraini, ecc.

In un video che circola su Twitter, Anonimous afferma di essere riuscito ad hackerare diversi canali televisivi di stato russi e interrompere le loro trasmissioni in corso con l'inno nazionale ucraino. Dopo l'inno nazionale, gli hacktivist hanno trasmesso gli eventi che si svolgono in Ucraina.

Grazie a un video pubblicato su Twitter, Hackread.com conferma che un attacco informatico ha preso di mira quella che sembrava una stazione di ricarica di veicoli elettrici a Mosca, dopo che il suo servizio è stato interrotto.

L'attacco ha costretto lo schermo della stazione a mostrare messaggi contro il presidente Putin e a sostegno del presidente ucraino Volodymyr Zelensky, mostrando anche il messaggio "Gloria all'Ucraina" mentre le persone nelle vicinanze discutevano della questione in lingua russa.

Anonymous ha anche rivendicato la responsabilità dell'hacking e del controllo di un terminale Linux russo e di un sistema di controllo del gas situato a Nogir, nell'Ossezia del Nord.

Uno sguardo allo screenshot dell'attacco che circola su Twitter mostra che gli aggressori hanno modificato le date e avrebbero potuto aumentare la sua pressione del gas così tanto da trasformarsi in fuochi d'artificio.

Un altro account Twitter di Anonymous ha affermato di aver rimosso il sito web del governo ceceno, che è ancora inattivo. Vale la pena notare che il leader ceceno Ramzan Kadyrov è un alleato di Putin e ha schierato forze cecene in Ucraina a sostegno della Russia.

Venafi, società di cybersecurity con sede a Salt Lake City, ha annunciato i risultati di un sondaggio globale tra i decisori IT che esaminano l'uso di doppie e triple estorsioni come parte di attacchi ransomware.

Come ho descritto nel mio libro “La minaccia Cyber” le tecniche di estorsione si stanno evolvendo velocemente, grazie anche alla particolare creatività della gang CLOP. Questi pare siano stati i primi a raddoppiare prima e triplicare poi la tecnica di estorsione. In pratica i criminali minacciano, in caso di mancato pagamento del riscatto, di:

1. Non restituire le chiavi di decrittazione
2. Esporre i dati esfiltrati sul dak web (secondo livello di estorsione)
3. Contattare i clienti della vittima dicendogli che i loro dati sono stati esfiltrati con successo (terzo livello di estorsione)

I dati del sondaggio rivelano che l'83% degli attacchi ransomware riusciti ora include metodi di estorsione alternativi, come l'utilizzo dei dati rubati per estorcere i clienti della vittima (38%), l'esposizione dei dati sul dark web (35%) e l'informazione ai clienti della vittima che i loro dati sono stati rubati (32%).

Solo il 17% degli attacchi riusciti ha chiesto esclusivamente un riscatto in cambio di una chiave di decrittazione, il che significa che molte nuove forme di estorsione sono ora più comuni dei metodi tradizionali. Poiché i dati vengono ora esfiltrati, avere un backup dei dati, sebbene sia ancora essenziale per il ripristino da un attacco, non è più efficace per contenere una violazione.

Le tattiche di doppia e tripla estorsione stanno creando nuove sfide alla sicurezza, indipendentemente dalle dimensioni dell'azienda.

Lo studio ci indica che:

• Quasi un quinto (18%) delle vittime ha pagato il riscatto ma i propri dati sono stati comunque esposti nel dark web
• Quasi 1 azienda su 10 (8%) ha rifiutato di pagare il riscatto e gli aggressori hanno cercato di estorcere i propri clienti
• Più di un terzo (35%) delle vittime ha pagato il riscatto ma non è stato ancora in grado di recuperare i propri dati

“Gli attacchi ransomware sono diventati molto più pericolosi. Si sono evoluti oltre le difese di sicurezza di base e le tecniche di continuità aziendale come antivirus e backup di nuova generazione", ha affermato Kevin Bocek , VP of Business Development and Threat Intelligence presso Venafi .

“Le organizzazioni non sono preparate a difendersi dal ransomware che esfiltra i dati, quindi pagano il riscatto, ma questo motiva solo gli aggressori a cercare di più. La cattiva notizia è che gli aggressori stanno seguendo le minacce di estorsione, anche dopo che il riscatto è stato pagato! Ciò significa che i CISO sono sottoposti a una pressione molto maggiore perché è molto più probabile che un attacco riuscito crei un'interruzione del servizio su vasta scala che colpisce i clienti".

Alla domanda sull'evoluzione dell'estorsione negli attacchi ransomware, il 71% degli intervistati ritiene che la doppia e tripla estorsione sia diventata popolare negli ultimi 12 mesi e il 65% concorda sul fatto che queste nuove minacce rendano molto più difficile dire di no alle richieste di riscatto .

Questo crea problemi al settore. Il 72% dei decisori IT concorda sul fatto che gli attacchi ransomware si stanno evolvendo più velocemente dei controlli di sicurezza necessari per proteggerli e il 74% concorda sul fatto che il ransomware dovrebbe ora essere considerato una questione di sicurezza nazionale. Di conseguenza, il 76% delle aziende prevede di spendere di più nel 2022 per i controlli specifici dei ransomware a causa della minaccia di doppie e triple estorsioni.

Più ampio delle misure interne, il 67% dei decisori IT concorda sul fatto che la segnalazione pubblica di attacchi ransomware contribuirà a rallentarne la crescita. Un ulteriore 77% concorda sul fatto che i governi dovrebbero fare di più per aiutare le aziende private a difendersi dai ransomware.

Come abbiamo avuto modo di imparare i gruppi criminali una ne pensano e cento ne fanno.

Oggi il Federal Bureau of Investigation degli Stati Uniti ha affermato di aver assistito a un aumento dell'uso di piattaforme per riunioni virtuali come un modo per indurre le organizzazioni a inviare pagamenti agli account sbagliati come parte di un tipo di attacco noto come truffe BEC.

In genere, come suggerisce il nome,  le truffe BEC (Business Email Compromise)  di solito avvengono tramite e-mail.

Gli hacker compromettono l'indirizzo e-mail di un dirigente e lo utilizzano per istruire dipendenti o partner commerciali esterni sull'invio di pagamenti urgenti o futuri su un nuovo conto bancario; di proprietà dei truffatori o dei loro muli di denaro.

In Italia abbiamo avuto moltissimi casi dei quali, forse il più eclatante è stato quello ai danni della Società Sportiva Lazio.

La tecnica, sebbene semplice, è estremamente difficile da rilevare ed è stata la causa principale della stragrande maggioranza delle perdite legate alla criminalità informatica nel mondo, essendo responsabile di  $ 1,8 miliardi di fondi persi  nel 2020 solo negli Stati Uniti.

Ma in un  avviso di sicurezza  pubblicato oggi, l'FBI ha affermato che il recente passaggio al lavoro online causato dalla pandemia di COVID-19 in corso ha avuto un impatto anche sul modo in cui si stanno verificando alcuni recenti attacchi BEC.

Sebbene l'agenzia non abbia rilasciato numeri concreti, ha condiviso tre scenari in cui i truffatori BEC hanno utilizzato strumenti per riunioni virtuali come parte dei loro attacchi:

• Compromettere l'e-mail di un datore di lavoro o un direttore finanziario, come un CEO o CFO, e richiedere ai dipendenti di partecipare a una piattaforma di riunione virtuale in cui il criminale inserirà un'immagine fissa del CEO senza audio o audio "deep fake", e affermano che il loro video/audio non funziona correttamente. Quindi procedono a istruire i dipendenti, che si occupano dei pagamenti, ad inviare trasferimenti di fondi tramite la chat della piattaforma di riunione virtuale o in un'e-mail di follow-up.
• Compromettere E-mail di dipendenti per inserirsi nelle riunioni di lavoro tramite piattaforme di riunione virtuali e raccogliere informazioni sulle operazioni quotidiane di un'azienda.
• Compromettere l'e-mail di un datore di lavoro, come l'amministratore delegato, e inviare e-mail contraffatte ai dipendenti chiedendo loro di avviare trasferimenti di fondi, poiché l'amministratore delegato afferma di essere impegnato in una riunione virtuale e di non essere in grado di avviare un trasferimento di fondi tramite il proprio computer.

L'avvertimento dell'FBI oggi arriva poiché sempre più dipendenti richiedono ai propri datori di lavoro il consenso per il lavoro a distanza, il che significa che le piattaforme per riunioni virtuali molto probabilmente rimarranno un centrali in molti ambienti di lavoro aziendali ancora per molto tempo.

Secondo un nuovo rapporto della società Chainalysis, le vittime di ransomware hanno speso quasi 700 milioni di dollari per ripagare i loro aggressori nel 2020, infatti nel suo ultimo rapporto, ha registrato la cifra a circa $ 350 milioni che è stata poi aumentata "a causa sia della sottostima da parte delle vittime, forse per vergogna, che della nostra continua identificazione degli indirizzi di ransomware che hanno ricevuto precedenti pagamenti delle vittime".

In questo momento, le ultime cifre mostrano che nel 2020 sono stati spesi più di 692 milioni di dollari per pagamenti di ransomware. Per il 2021, hanno già monitorato oltre 602 milioni di dollari di pagamenti di ransomware, ma hanno notato che, come il 2020, è una sottostima.
"In effetti, nonostante questi numeri, prove aneddotiche, oltre al fatto che le entrate del ransomware nella prima metà del 2021 hanno superato quelle della prima metà del 2020, ci suggeriscono che il 2021 alla fine si rivelerà essere un anno ancora più grande per i ransomware ", ha detto Chainalysis.
Il rapporto ha anche elencato i gruppi di ransomware più prolifici in base ai pagamenti totali ricevuti, scoprendo che Conti ha aperto la strada con almeno 180 milioni di dollari ricavati dai riscatti.

Il rapporto rileva che, al contrario, le forze dell'ordine hanno compiuto progressi nel riavere i riscatti, offrendo alle organizzazioni ancora più incentivi a segnalare gli attacchi.
Sfortunatamente, il 2021 ha visto anche ceppi di ransomware individuali più attivi rispetto a qualsiasi altro anno registrato. I loro dati mostrano che almeno 140 ceppi di ransomware hanno ricevuto pagamenti dalle vittime a nel 2021.

Il numero era 119 nel 2020 e 79 nel 2019.

I ricercatori hanno aggiunto che più che mai i gruppi si stavano anche chiudendo e riavviando con nuovi nomi, fornendo una spiegazione per l'aumento dei ceppi di ransomware. Il numero medio di giorni in cui un ceppo ransomware è rimasto attivo nel 2021 è stato di 60, molto inferiore ai 168 giorni del 2020 e ai 378 del 2019.

Chainalysis ha affermato che il gruppo criminale  Evil Corp  ha una certa quantità di legami con i ceppi di ransomware Doppelpaymer, Bitpaymer, WastedLocker, Hades, Phoenix Cryptolocker, Grief, Macaw e PayloadBIN. I ricercatori sono stati in grado di collegare alcuni dei gruppi di ransomware in base alle loro storie di transazioni di criptovaluta.
La società stima che Evil Corp abbia guadagnato almeno 85 milioni di dollari dai suoi vari ceppi di ransomware.

Un gruppo per poter essere definito #APT, acronimo di Advanced Persistent Threat,  deve avere skill e risorse importanti, ora più che mai. Tuttavia, a volte commettono anche errori esilaranti che avvantaggiano enormemente i difendenti, ovvero noi. Uno di questi errori è stato recentemente commesso da un gruppo indiano APT che si è infettato con il proprio malware, offrendo ai ricercatori l'opportunità di raccogliere dettagli sulle operazioni del gruppo.
Il gruppo, chiamato Patchwork APT, è attivo da dicembre 2015 e prende di mira principalmente il Pakistan tramite attacchi di spear-phishing. Durante la sua ultima campagna, da novembre a dicembre 2021, ha utilizzato documenti RTF dannosi, fingendo di essere di funzionari pakistani, per deployare un nuovo ceppo di BADNEWS RAT, noto anche come Ragnatela. Tuttavia, Malwarebytes Labs ha scoperto che l'attore della minaccia si è autoinfettato, consentendo l'acquisizione di sequenze di tasti e schermate dei propri sistemi e macchine virtuali.

I ricercatori hanno monitorato le cyberspie utilizzando VirtualBox e VMware per lo sviluppo web e i test su computer con doppia tastiera: indiana e inglese. Queste osservazioni hanno rivelato che Patchwork ha infettato il Ministero della Difesa pakistano e docenti dei dipartimenti di scienze biologiche e medicina molecolare di varie università. I ricercatori, inoltre, hanno scoperto che la banda utilizza macchine virtuali e VPN per controllare le vittime e inviare aggiornamenti. Tuttavia, il gruppo non è sofisticato come altri gruppi APT della Corea del Nord e della Russia.
A proposito di Ragnatela, questo malware è stato sviluppato e testato per la prima volta nel novembre 2021. Lo stesso mese, gli aggressori hanno testato il movimento laterale in un tipico sistema vittima. Ragnatela può acquisire schermate, rubare un elenco di file, registrare sequenze di tasti e caricare file, rilasciare payload ed eseguire app nei dispositivi delle vittime.

Il Servizio di sicurezza federale russo (FSB) ha dichiarato oggi di aver interrotto le operazioni della banda di ransomware REvil. I raid sono stati condotti in 25 residenze di proprietà di 14 membri sospettati di far parte del team REvil nelle regioni di Mosca, San Pietroburgo, Leningrado e Lipetsk.
Le autorità hanno affermato di aver sequestrato oltre 426 milioni di rubli, $ 600.000 e € 500.000 in contanti, insieme a portafogli di criptovaluta, computer e 20 auto costose.
L'FSB, che funge da agenzia di intelligence interna della Russia, ha affermato di aver condotto le sue operazioni su richiesta delle autorità statunitensi, alle quali sono stati notificati i risultati.
Il raid arriva dopo che il presidente Biden ha fatto pressioni sul presidente russo Vladimir Putin ripetutamente durante l'estate per reprimere l'ecosistema clandestino russo, che ospita molti dei migliori gruppi di ransomware odierni.
La banda REvil è stata una delle squadre di ransomware più attive l'anno scorso, essendo responsabile dell'attacco contro JBS Foods, che ha avuto un impatto sulla fornitura di carne negli Stati Uniti e in Australia a maggio, e dell'attacco al fornitore IT Kaseya.
Dopo che le autorità statunitensi hanno iniziato a fare pressioni sui funzionari russi, la banda REvil ha chiuso le operazioni a luglio, ma poi ha tentato un ritorno a settembre prima che alcuni dei loro server del dark web venissero sequestrati dalle autorità statunitensi.
Anche altri sette membri della banda REvil sono stati arrestati nel corso del 2021, a seguito di operazioni coordinate da Europol.
L'FSB non ha rilasciato i nomi di nessuno dei sospetti. "I rappresentanti delle autorità statunitensi competenti sono stati informati dei risultati dell'operazione", ha affermato l'agenzia.
Questa è la terza volta che le autorità dichiarano che REvil ha chiuso i battenti. Sarà la volta buona?