News
Visite: 7821

Alla luce del successo di #WormGPT, gli attori delle minacce hanno ora introdotto un altro strumento di cybercrime potenziato dall'intelligenza artificiale chiamato #FraudGPT. Questo #bot #AI viene promosso su numerose #darkWeb marketplace e canali #Telegram ed è in grado di progettare e-mail di #spear-phishing, generare strumenti di #cracking e facilitare attività sviluppo #malware.
Il #threat actor, che opera con lo pseudonimo online di #CanadianKingpin, si sta pubblicizzando come venditore verificato su diverse dark web marketplace sotterranee, tra cui #EMPIRE, #WHM, #TORREZ, #WORLD, #ALPHABAY e #VERSUS. L'offerta è stata pubblicizzata almeno dal 22 luglio con un costo di abbonamento di $200 al mese, $1.000 per sei mesi e $1.700 per un anno.
Secondo le affermazioni dell'autore, FraudGPT può essere utilizzato per scrivere codice maligno, sviluppare #malware indetectable e individuare perdite e vulnerabilità.
Inoltre, ci sono stati oltre 3.000 vendite confermate e recensioni di questo strumento. Al momento, il modello di linguaggio Large Language Model (LLM) specifico utilizzato nello sviluppo di questo sistema rimane non divulgato.
Un altro strumento simile è #WormGPT progettato per facilitare sofisticati attacchi di #phishing e #BEC che automatizza la creazione di e-mail false altamente convincenti, attentamente personalizzate per i destinatari, aumentando notevolmente la probabilità di successo dell'attacco. Inoltre, possiede un ampio supporto dei caratteri, mantiene la memoria della chat e ha la capacità di formattare il codice.
L'esistenza di WormGPT e FraudGPT solleva preoccupazioni, specialmente perché modelli AI come #OpenAI ChatGPT e #Google #Bard hanno adottato misure per prevenire il loro abuso in e-mail ingannevoli e codice maligno. L'uso di intelligenza artificiale generativa in questi attacchi allarga la loro accessibilità a una più ampia gamma di cybercriminali. Questi strumenti non solo elevano il modello di #Phishing-as-a-Service (#PhaaS), ma servono anche da piattaforma per individui inesperti che cercano di portare avanti attacchi di phishing e BEC su larga scala e persuasivi.

News
Visite: 6818

Ricercatori di sicurezza presso Pradeo, un fornitore di soluzioni per la sicurezza mobile, hanno identificato due casi di #spyware nascosti all'interno del #Google Play Store, che hanno colpito circa 1,5 milioni di utenti.

I ricercatori hanno scoperto i dettagli di un paio di spyware sul Google Play Store: File Recovery and Data Recovery e File Manager.
Queste due applicazioni, sviluppate dalla stessa entità, si mascherano come strumenti per la gestione dei file e mostrano comportamenti dannosi simili.
In particolare, sono progettate per avviarsi autonomamente, senza alcuna interazione dell'utente, e trasmettere dati preziosi degli utenti a diversi server situati in Cina.

Le applicazioni spyware acquisiscono illecitamente dati, tra cui il numero di versione del sistema operativo, il marchio e il modello del dispositivo, il provider di rete, il codice di rete del provider di SIM, il codice del paese e la posizione in tempo reale dell'utente.
Ruba inoltre contenuti multimediali sensibili, come foto, video, contenuti audio, elenchi dei contatti e altro ancora.

Gli autori di queste applicazioni dannose hanno utilizzato varie tattiche per apparire legittimi, ad esempio mostrando una grande base di utenti senza alcuna recensione degli utenti. Si sospetta che abbiano utilizzato emulatori di dispositivi mobili o installato farm di dispositivi per gonfiare artificialmente il numero di utenti, aumentando così il ranking delle app nello store.
Un'altra strategia utilizzata è quella di ridurre al minimo l'interazione dell'utente. Queste applicazioni hanno la capacità di avviarsi automaticamente all'avvio del sistema, consentendo loro di svolgere le loro attività dannose anche quando l'app stessa non viene utilizzata attivamente.
Inoltre, queste app rimangono nascoste nella schermata principale, assicurandosi che le loro icone siano nascoste per evitare una facile disinstallazione.

A giugno, tre app Android su Google Play sono state utilizzate da un gruppo di #hacker sponsorizzato dallo stato per raccogliere informazioni dai dispositivi mirati, mettendo in evidenza la minaccia continua delle app dannose su piattaforme affidabili. L'operazione è stata attribuita al gruppo #DoNot #APT.
Lo stesso mese, i ricercatori hanno scoperto il malware #SpinOk in oltre 400 milioni di download di app Android, evento che abbiamo descritto abbondantemente nel nostro blog.

Ci sono diversi modi per evitare queste minacce. Alcune di queste misure includono evitare di scaricare app con migliaia di utenti ma senza recensioni e leggere le autorizzazioni prima di concederle. Per migliorare le misure di sicurezza, si consiglia alle organizzazioni di automatizzare il processo di rilevamento e risposta alle minacce mobili valutando attentamente le applicazioni e verificando la conformità con le politiche di sicurezza stabilite.

News
Visite: 6270

Recentemente, un numero significativo di persone intervistate da #Malwarebytes ha espresso preoccupazioni riguardo ai rischi di sicurezza e affidabilità associati a #ChatGPT. La mancanza di fiducia nell'informazione prodotta da questo sistema e il desiderio di una pausa nello sviluppo per consentire alla regolamentazione di tenergli il passo, sono temi che sollevano incertezze sul futuro di questa tecnologia e se si tratti di un'ansia passeggera o di una tendenza destinata a persistere.


Le incertezze riguardanti il modo in cui ChatGPT cambierà le nostre vite e se porterà alla sostituzione dei nostri lavori, sono amplificate dal misterioso funzionamento di questa tecnologia. ChatGPT è un'entità sconosciuta sia per gli utenti che per i suoi creatori.

I modelli di apprendimento automatico come ChatGPT sono delle "scatole nere" con proprietà emergenti che si manifestano in modo improvviso e inaspettato all'aumentare della potenza di calcolo impiegata per crearli.Proprietà emergenti nel mondo reale includono la capacità di svolgere operazioni aritmetiche, superare esami di livello universitario e comprendere il significato inteso delle parole.

Questa abilità non poteva essere prevista dai modelli più piccoli e i modelli odierni non possono essere utilizzati per prevedere cosa potranno fare le future generazioni di modelli più grandi.

Ciò ci lascia di fronte a un futuro molto incerto, sia a livello individuale che collettivo. Gli opinionisti seri hanno una gamma di punti di vista che vanno letteralmente da quelli che considerano l'IA un rischio esistenziale a coloro che credono che salverà il mondo.


"Una rivoluzione dell'IA sta prendendo velocemente piede da molto tempo, e molte applicazioni specifiche e ristrette hanno avuto un enorme successo senza suscitare questo tipo di diffidenza", ha dichiarato Mark Stockley, evangelista della sicurezza informatica presso Malwarebytes.

"Presso Malwarebytes, l'apprendimento automatico e l'IA sono utilizzati da anni per migliorare l'efficienza, identificare il #malware e migliorare le prestazioni complessive di molte tecnologie. Tuttavia, il sentimento pubblico nei confronti di ChatGPT è diverso e l'incertezza sul modo in cui ChatGPT cambierà le nostre vite è amplificata dai modi misteriosi in cui funziona", ha aggiunto Stockley.

I risultati del sondaggio indicano che ChatGPT presenta un problema di fiducia. Solo il 10% dei sondati si è mostrato d'accordo con l'affermazione "Mi fido delle informazioni prodotte da ChatGPT", mentre il 63% non era d'accordo.

Sentimenti simili sono emersi riguardo all'accuratezza, con solo il 12% che concordava con l'affermazione "Le informazioni prodotte da ChatGPT sono accurate", mentre il 55% non era d'accordo.

Oltre alle preoccupazioni sulla fiducia e l'accuratezza, un'ampia maggioranza del 81% dei sondati crede che ChatGPT possa rappresentare un rischio per la sicurezza, mentre il 52% richiede una pausa nello sviluppo di ChatGPT per consentire la regolamentazione di tenere il passo, confermando preoccupazioni espresse in precedenza da esperti del settore tecnologico.

Nonostante l'enorme copertura mediatica e le discussioni online su ChatGPT, solo il 35% dei sondati si è dichiarato familiare con questa tecnologia, un valore significativamente inferiore rispetto al 50% che ha espresso disaccordo.

 

News
Visite: 6709

L'azienda di sicurezza informatica Aqua Security ha recentemente pubblicato un report allarmante che mette in evidenza un aumento del 1.400% negli #attacchi senza file. Secondo i dati aggregati provenienti da #honeypot e analizzati nel corso di sei mesi, oltre il 50% degli attacchi si è concentrato sulla tecnica di elusione delle difese.

Questi attacchi, definiti #fileless, rappresentano una forma sofisticata di minaccia informatica in cui gli aggressori evitano di utilizzare file tradizionali per compromettere i sistemi. Invece, sfruttano componenti esistenti del sistema operativo o software legittimi per eseguire il loro codice dannoso direttamente dalla memoria, un esempio classico sono gli #script #powershell.

Il report sottolinea che i #criminali informatici si stanno concentrando sempre di più su tecniche di elusione delle difese per evitare la rilevazione e stabilire una presenza più solida all'interno dei sistemi compromessi. Questo dimostra un'evoluzione significativa nelle tattiche utilizzate dagli attori minaccia.

Le tecniche di elusione utilizzate negli attacchi fileless includono il #mascheramento, in cui gli aggressori eseguono file da directory solitamente trascurate come /tmp, e l'oscuramento dei file o delle informazioni, come il caricamento dinamico del codice. Inoltre, è emerso che nel 5% degli attacchi gli aggressori hanno utilizzato #malware residente in memoria, indicando un ulteriore sforzo per evitare la rilevazione da parte delle soluzioni di sicurezza.

Questo report mette in luce l'importanza di soluzioni di sicurezza basate su agenti per rilevare questi attacchi sofisticati che mirano a eludere le tradizionali tecnologie di scansione basate sul volume. Secondo Assaf Morag, ricercatore principale di intelligence sulle minacce per Aqua Nautilus, solo con la scansione basata su agenti è possibile individuare attacchi come #HeadCrab, un malware estremamente sofisticato basato su #Redis che ha compromesso più di 1.200 server.

Il report sottolinea anche come il cloud computing abbia rivoluzionato le modalità di progettazione, sviluppo, distribuzione e gestione delle applicazioni aziendali. Tuttavia, questa nuova approccio ha comportato l'ampliamento della superficie di attacco e l'introduzione di nuovi rischi per la sicurezza che devono essere adeguatamente affrontati.

Per proteggere gli ambienti di runtime e prevenire gli attacchi fileless, è necessario adottare un approccio di monitoraggio che vada oltre la semplice scansione di file dannosi e includa la rilevazione di comportamenti sospetti. Monitorare gli indicatori di comportamenti dannosi, come tentativi di accesso non autorizzati a dati sensibili o l'apertura di backdoor verso indirizzi IP sconosciuti, può aiutare a identificare attacchi in corso e prevenire danni significativi.

News
Visite: 7003

#Cyfirma e #Zscaler hanno pubblicato due rapporti simultanei su un nuovo #info-stealer chiamato #MysticStealer. Debuttando su forum clandestini nell'aprile 2023, ha attirato l'attenzione, è stato sottoposto a test e ha incorporato feedback. Gli aggiornamenti continui hanno rafforzato la presenza di #MysticStealer, come dimostra il crescente numero di pannelli #C2 osservati.
Il #malware prende di mira una vasta gamma di applicazioni e piattaforme.
Può sfruttare 40 browser web, 70 estensioni per browser, 21 applicazioni di #criptovalute, 9 applicazioni di autenticazione multifattoriale e gestori di #password, 55 estensioni per #browser di criptovalute, oltre alle credenziali di #Steam e #Telegram.
In particolare, l'info-stealer può raccogliere dati di autocompletamento, cronologia di navigazione, file arbitrari, #cookie e informazioni associate a vari popolari portafogli di criptovalute, tra cui #Bitcoin, #DashCore ed #Exodus.
Esiste anche un canale #Telegram gestito dai criminali chiamato "#MysticStealerNews". Il progetto facilita discussioni sugli aggiornamenti dello sviluppo, richieste di nuove funzionalità e altri argomenti pertinenti.
Questo #malware è compatibile con tutte le versioni di #Windows da #XP a 11, supportando sia architetture di sistema a 32 bit che a 64 bit. Opera in memoria, riducendo al minimo la sua presenza nei sistemi infetti e sfuggendo alla rilevazione degli #antivirus.
Per evitare l'esecuzione in ambienti #sandbox, il malware effettua controlli #anti-virtualizzazione, esaminando i dettagli del #CPUID.
Dal 20 maggio, #MysticStealer include una funzionalità di caricamento per scaricare #payload aggiuntivi dal server #C2, come varianti di #ransomware.
La comunicazione con il #C2 è crittografata utilizzando un protocollo personalizzato su #TCP, mentre i dati rubati vengono inviati direttamente al server senza essere archiviati su disco, un approccio unico per un malware info-stealer, che aiuta nell'evasione.
Il futuro di #MysticStealer rimane incerto, data la natura precaria dei progetti illeciti di #MalwareAsAService (#MaaS). Tuttavia, la sua comparsa comporta rischi maggiori per individui e organizzazioni. Pertanto, è fondamentale esercitare estrema cautela nel scaricare software da Internet e implementare regolarmente la condivisione e il monitoraggio delle informazioni sulle minacce.

News
Visite: 6647

Un recente rapporto del Nokia #Threat #Intelligence Center getta luce sull'allarmante aumento degli attacchi #DDoS delle #botnet #IoT che prendono di mira le reti di telecomunicazione in tutto il mondo. Lo studio rivela un aumento cinque volte superiore di tali attacchi nell'ultimo anno, con i #criminali informatici che sfruttano dispositivi IoT non sicuri e collettivi di #hacker guidati dal profitto.

Questa impennata di attività malevole inizialmente osservata durante il conflitto tra #Russia e #Ucraina si è ora diffusa in varie regioni del mondo, mettendo a rischio infrastrutture critiche e servizi al di là delle reti di telecomunicazioni.

La proliferazione dei dispositivi #IoT tra i consumatori ha contribuito in modo significativo all'escalation degli attacchi #DDoS guidati dalle #botnet. Il numero di dispositivi IoT compromessi utilizzati in questi attacchi è aumentato da 200.000 a circa 1 milione, rappresentando attualmente oltre il 40% di tutto il traffico #DDoS.
Il rapporto sottolinea che questo aumento degli attacchi è dovuto al crescente numero di collettivi di #hacker guidati dal profitto, che approfittano della crisi in Ucraina.
Con le misure di sicurezza scarse presenti in miliardi di dispositivi IoT in tutto il mondo, che comprendono tutto, dai frigoriferi intelligenti ai sensori medici e agli #smartwatch, i criminali informatici hanno trovato numerosi bersagli da sfruttare.

La vulnerabilità dei dispositivi #IoT è un problema fondamentale che alimenta gli attacchi delle botnet. Molti dispositivi intelligenti sono progettati con misure di sicurezza scarse o addirittura assenti. Spesso mancano aggiornamenti regolari del #firmware e delle #patch di #sicurezza, il che rende i dispositivi aperti agli attacchi dei #cybercriminali. Inoltre, molte persone trascurano la necessità di cambiare le #password predefinite o utilizzano password deboli, rendendo i dispositivi ancora più vulnerabili. Queste debolezze consentono ai criminali informatici di compromettere i dispositivi IoT e utilizzarli come parte di una botnet per condurre attacchi su vasta scala.

La presenza di dispositivi IoT vulnerabili rappresenta, quindi, un serio pericolo per gli utenti e la società nel suo complesso. Innanzitutto, gli #attacchi delle botnet IoT possono compromettere la privacy degli utenti, consentendo ai criminali informatici di accedere ai dati personali sensibili memorizzati sui dispositivi. Inoltre, gli attacchi DDoS delle botnet IoT possono paralizzare le reti di telecomunicazione, interferendo con i servizi essenziali come le comunicazioni, il trasferimento dati e la connettività Internet. Ciò può avere un impatto significativo sull'infrastruttura critica e sulla continuità operativa di interi settori, come la sanità, il trasporto e l'energia.

News
Visite: 7542


Nell'era digitale in cui viviamo, la diffusione dei dispositivi personali come telefoni #cellulari, computer e dispositivi domestici intelligenti è sempre più ampia. Tuttavia, con questa crescita esponenziale, sorgono anche nuove minacce, come le infezioni da #malware. Secondo il recente Nokia Threat Intelligence report 2023, queste infezioni colpiscono un'ampia gamma di dispositivi, con implicazioni significative per la sicurezza e la privacy degli utenti.
Uno sguardo alle cifre rivela che il 30% dell'attività di malware è attribuibile ai telefoni cellulari e ai dispositivi domestici che utilizzano il sistema operativo #Android. Questa percentuale significativa mette in luce quanto i dispositivi Android siano diventati un bersaglio privilegiato per gli autori di malware, probabilmente a causa della diffusione globale di questa piattaforma e della sua popolarità tra gli utenti.

Un altro 24% delle# infezioni è causato da malware che è indipendente dalla piattaforma, il che significa che può colpire sistemi operativi diversi come #Windows, #Linux e una varietà di smartphone. Questo tipo di malware rappresenta una sfida particolare per gli utenti e gli sviluppatori di software, poiché richiede una protezione più ampia che vada oltre le misure di sicurezza specifiche per un sistema operativo.

La piattaforma Windows è responsabile del 20% delle infezioni, il che non sorprende considerando la sua ampia adozione in ambito #desktop e #laptop. La sua diffusione lo rende un obiettivo appetibile per gli autori di malware, che cercano di sfruttare le vulnerabilità presenti su questo sistema operativo ampiamente utilizzato.

Seguono nell'elenco le infezioni da malware su piattaforme #OSX (16%), #IoT (8%) e Linux (2%). Anche se le percentuali possono sembrare relativamente basse in confronto, è importante sottolineare che ogni sistema operativo ha le sue peculiarità e sfide uniche in termini di sicurezza. È fondamentale per gli utenti di questi sistemi prendere misure preventive per proteggere i propri dispositivi dai malware.

Dobbiamo considerare che Android, essendo il sistema operativo più diffuso per dispositivi mobili, attira l'attenzione degli autori di malware. La natura aperta di Android, che consente l'installazione di applicazioni provenienti da fonti esterne al #GooglePlay Store, aumenta il rischio di malware proveniente da fonti non affidabili.
Inoltre le policy di accettazione delle App sul Google Play non sono molto stringenti e spesso vengono emessi comunicati che riportano applicazioni contenenti malware scaricate dallo store. Ultima in ordine di tempo, a giugno 2023 il malware #SpinOK ha infettato oltre 100 applicazioni che in totale sono state scaricate da milioni di utenti.

Anche se #macOS ha una quota di infezioni da malware inferiore rispetto ad Android, i dispositivi #Apple non sono immuni da minacce. Negli ultimi anni, sono emersi diversi esempi di malware mirati a macOS, dimostrando che anche gli utenti di questo sistema operativo devono adottare misure preventive per proteggere la propria sicurezza e privacy.

Le infezioni da malware rappresentano, quindi, una minaccia significativa per i dispositivi personali, indipendentemente dal sistema operativo utilizzato. Mentre Android e macOS hanno percentuali di infezioni diverse, entrambi richiedono una consapevolezza e azioni preventive per proteggere la sicurezza e la privacy degli utenti. Scaricare applicazioni da fonti affidabili, mantenere i sistemi operativi aggiornati e utilizzare software antivirus sono solo alcune delle misure che possono essere adottate per ridurre il rischio di infezioni da malware.

News
Visite: 8440

In un recente attacco di phishing di grande portata, un gruppo di #hacker noto come #PinkDrainer è riuscito a rubare oltre 3 milioni di dollari in asset digitali impersonando un giornalista. Utilizzando tecniche sofisticate, i membri del gruppo hanno preso di mira gli account di #Discord e #Twitter di 1.932 vittime, tra cui importanti personalità e progetti nel campo delle criptovalute.

Secondo gli analisti di #ScamSniffer, un'organizzazione specializzata nella lotta contro le truffe online, il gruppo #PinkDrainer ha raggiunto un notevole successo nel compromettere gli account delle vittime, riuscendo a sottrarre circa 3 milioni di dollari in asset digitali sulla #Mainnet e su #Arbitrum. Uno dei colpi più significativi è stato quando hanno rubato token non fungibili (NFT) dal valore di 327.000 dollari a una singola persona, un colpo che ha attirato l'attenzione dei sistemi di monitoraggio di #ScamSniffer.

L'approccio utilizzato coinvolge l'impersonificazione di giornalisti di famosi media come #Cointelegraph e #Decrypt. I membri del gruppo trascorrono diversi giorni a fingere di essere giornalisti legittimi, creando un falso senso di fiducia nelle loro vittime. Si introducono nelle conversazioni con le vittime, organizzando interviste fasulle e richiedendo loro di fornire un'identificazione #KYC (know your customer) per verificare la loro identità.

Una volta che le vittime hanno abbassato le loro difese e si sono convinte della legittimità delle richieste, #PinkDrainer indirizza le vittime verso siti web progettati per rubare i token di autenticazione di #Discord. Questi siti si presentano come bot dannosi, ad esempio il falso bot di verifica "Carl", e istruiscono le vittime ad aggiungere dei segnalibri contenenti codice #JavaScript maligno utilizzando un pulsante "Trascina qui" presente sulla pagina fraudolenta.

Il codice JavaScript dannoso ruba i #token di autenticazione di #Discord, consentendo agli attaccanti di prendere il controllo degli account senza bisogno delle credenziali degli utenti o di intercettare i codici di autenticazione a due fattori.

Una volta ottenuto l'accesso agli account, #PinkDrainer si autopromuove come amministratore e rimuove gli altri amministratori per operare indisturbato. Utilizzando gli account compromessi di personalità di rilievo e progetti importanti nel settore delle criptovalute, gli hacker promuovono falsi giveaway, operazioni di minting fasulle, truffe di criptovalute e pagine di phishing.

La persistenza di #PinkDrainer e la sua capacità di perpetrare attacchi sofisticati sottolineano l'importanza della vigilanza e della diffidenza nelle comunicazioni provenienti dai media. In caso di contatti da parte di giornalisti o di richieste sospette, è fondamentale verificare l'autenticità dei messaggi contattando direttamente i media tramite i contatti ufficiali forniti sul loro sito web.

I investitori nel settore delle criptovalute devono anche prestare attenzione alle promozioni pubblicate dagli account legittimi, in quanto #PinkDrainer ha dimostrato di utilizzare gli account compromessi per diffondere truffe e pagine di phishing. Si consiglia di confermare sempre l'autenticità di giveaway e distribuzioni di token verificando le informazioni sui siti web ufficiali delle piattaforme coinvolte e su altri canali di social media affidabili.

 

News
Visite: 6060

#RoyalRansomware è uno dei numerosi #gruppi che sono emersi dopo lo scioglimento del famigerato gruppo #Conti ed è noto per il suo stretto legame con altri gruppi #ransomware nati dalla scissione di Conti. Secondo Yelisey Bohuslavskiy, chief research officer della società di #threatintelligence Red Sense, Royal ha affinato il suo #downloader utilizzando tattiche e tecniche che sembrano essere ispirate direttamente ad altri gruppi post-Conti. I downloader sono progettati per infettare un #endpoint e installare funzionalità aggiuntive su richiesta. Gli attaccanti che utilizzano il malware Conti, secondo gli studi condotti dai ricercatori, sono rimasti fedeli utilizzatori di diversi tipi di downloader, tra cui #Emotet, #IcedID e #QBot. Recentemente, Royal ha sviluppato il proprio #loader. Secondo Bohuslavskiy, il malware presenta caratteristiche notevoli come la sua dimensione ridotta, inferiore a 250 KB, e uno scopo ben preciso: installare #CobaltStrike e stabilire immediatamente una connessione con un #C2 di Royal. Il principale sviluppatore di Royal ha affermato in chat online che questa caratteristica è stata appositamente progettata. "In particolare, il loader non include un modulo o una funzione per la crittografia, una caratteristica che il principale programmatore ha affermato di aver incluso per dare agli utenti finali la flessibilità di incorporare i loro algoritmi di crittografia preferiti", ha dichiarato Bohuslavskiy in un post su #LinkedIn.

Royal è emerso all'inizio del 2022 come uno dei tanti gruppi nati dopo la scissione di Conti, tra cui #Alphv/BlackCat, #AvosLocker, #BlackBasta, #HelloKitty, #Quantum, #Roy/Zeon e #SilentRansom. Inizialmente, Royal utilizzava #ransomware sviluppati da altri gruppi. Tuttavia, a partire da settembre dello scorso anno, ha cominciato ad utilizzare una propria variante di #ransomware, che aggiunge l'estensione ".royal" ai nomi dei file criptati. Bohuslavskiy ha affermato che gli attacchi di Royal sono perpetrati da piccoli team di quattro o cinque persone che operano in modo molto "gerarchico e aziendale". L'organizzazione conta tra i "50 e 60 partecipanti attivi", anche se la struttura complessiva è complicata. Bohuslavskiy ritiene che ci siano almeno due centri di potere: il #Team2 di Conti, che è diventato il gruppo #Quantum e svolge un ruolo amministrativo, e una divisione tecnica separata. Le responsabilità di entrambe le divisioni si sovrappongono notevolmente. Gli attacchi sono condotti sia dal gruppo Royal che da individui fidati che utilizzano il loro ransomware, basandosi su connessioni personali preesistenti con ex membri dei gruppi #Conti, #REvil ed ex-#Hive. Gli attaccanti di Royal collaborano anche con molti altri servizi, come #Emotet e #IcedId/#Anubis, così come con altre persone che fanno parte dell'orbita post-Conti.

Gli attaccanti di #RoyalRansomware ottengono l'accesso iniziale a una vittima attraverso campagne di #phishing, lavorando con intermediari per l'accesso iniziale, sfruttando vulnerabilità note e accedendo a connessioni remote desktop non sufficientemente protette.

Il gruppo ha colpito una varietà di settori, inclusi settori critici come #sanità, #istruzione e #manifattura, come hanno avvertito l'FBI e l'#AgenziaPerLaSicurezzaDelleInfrastruttureInformatiche e della #SicurezzaCibernetica in un avviso di marzo.

"Gli attori di Royal esfiltrano i dati dalle reti delle vittime riutilizzando strumenti legittimi di #penetrationtesting, come #CobaltStrike, e strumenti malware e derivati come #Ursnif/Gozi, per l'aggregazione ed #esfiltrazione dei dati", hanno dichiarato le agenzie. "Dopo aver ottenuto l'accesso alle reti delle vittime, gli attori di Royal disabilitano il software #antivirus ed esfiltrano grandi quantità di dati prima di infettare infine i sistemi con il #ransomware e crittografarli".

Le richieste di #riscatto iniziali di solito vanno da 1 a 11 milioni di dollari, da pagare in #bitcoin.

A marzo, Red Sense ha segnalato che più di 1.000 organizzazioni sembravano essere state prese di mira da una campagna di #socialengineering organizzata da Royal. La campagna ha inviato alle organizzazioni un'email in cui affermava che erano state vittime del gruppo #Midnight e ha inviato loro un file che presumibilmente conteneva un elenco di ciò che era stato rubato. In realtà, il file era una versione del #malwareloader di Royal, progettato per consentire agli attaccanti di entrare nella rete della vittima, consentendo loro di esfiltrare dati e criptare i sistemi.

Royal si ispira fortemente a strategie che si sono dimostrate efficaci. Come #Qbot, il loader di Royal è progettato per eludere gli antivirus "sfruttando una DLL a alta fiducia senza oscuramento" e per sfruttare una vulnerabilità del print spooler di Microsoft Windows, nota come CVE-2022-41073, per ottenere #privilegi dopo aver ottenuto l'accesso iniziale. Incorpora inoltre "funzionalità chiave" di Anubis, una versione di #IcedID che è stata ulteriormente potenziata da Conti, ha affermato Bohuslavskiy.

L'uso di una DLL di fiducia richiama quanto fatto da Qbot l'anno scorso, quando ha sfruttato varie falle di elevazione dei privilegi, compresa la calcolatrice di Windows 7 e successivamente il pannello di controllo di Windows 10, per caricare ed eseguire un file DLL maligno contenente il suo downloader, come riportato da #BleepingComputer.

Un altro gruppo ransomware nato dalla scissione di Conti, #BlackBasta, è un altro utilizzatore frequente di Qbot, infettando i sistemi con il downloader e utilizzandolo per installare Cobalt Strike e lo strumento simile #BruteRatel.

Bohuslavskiy ha dichiarato che non è chiaro se Black Basta sia ora l'unico utilizzatore o proprietario di Qbot: le conversazioni tra i criminali suggeriscono che il gruppo #Clop potrebbe utilizzarlo anche. Tuttavia, sembra che l'accesso a Qbot sia diventato più limitato, il che ha probabilmente spinto gruppi come Royal a sviluppare i propri loader.

Come evidenziato, molti gruppi #ransomware utilizzano strategie di attacco collaudate che hanno prodotto risultati illegali per anni, anche se i nomi dei gruppi stessi o dei loro strumenti continuano a cambiare.

Il gruppo #RoyalRansomware rappresenta un'evoluzione del panorama ransomware, derivato dal noto gruppo Conti. Si ispira ad altre organizzazioni simili, mantendo una stretta collaborazione con loro. Il gruppo ha sviluppato un proprio loader e ha colpito diversi settori con attacchi condotti in modo gerarchico e aziendale. Utilizzano strategie collaudate, incorporando caratteristiche e funzionalità da altri gruppi ransomware. Questo sottolinea come molti gruppi ransomware adottino playbook con strategie di attacco comprovate che hanno generato profitti illegali nel corso degli anni, nonostante i nomi dei gruppi stessi o degli strumenti utilizzati possano cambiare.

News
Visite: 5965

Il regime nordcoreano guadagna circa la metà dei suoi introiti in valuta estera attraverso attacchi #hacker su #criptovalute e altri obiettivi, ha dichiarato un diplomatico statunitense.
Un alto funzionario dell'amministrazione Biden riferische che gli attacchi diretti dalla Nord Corea sono aumentati rapidamente dal 2018, in parallelo con i suoi programmi nucleari e missilistici.

Il funzionario dichiare di sapere che i furti di criptovalute  siano una fonte significativa di finanziamento per il regime di Pyongyang e che circa il 50% dei loro guadagni in valuta estera provenga da furti informatici.

L'amministrazione Binden è molto concentrata nel contrastare la Nord Corea, lavorando a stretto contatto con gli alleati sudcoreani e collaborando con partner chiave in tutto il mondo. Dichiarano anche di essere preoccupati e desiderare la sensibilizzazione al riguardo, affinché le aziende siano più consapevoli dei pericoli di queste pratiche.

Stime sudcoreane citate affermano che il regime di Kim Jong-un impiega circa 10.000 agenti per sostenere una vasta campagna di attacchi informatici a scopo finanziario.

Il rapporto prosegue affermando che migliaia di altri lavoratori IT vengono inviati all'estero con documentazione falsa per lavorare come freelance nelle economie sviluppate.

Gli hacker nordcoreani sono stati accusati di alcuni dei più grandi furti di criptovalute di sempre, tra cui i 620 milioni di dollari rubati dalla rete Ronin di Sky Mavis l'anno scorso e i 281 milioni di dollari presi da KuCoin nel 2020.

Stanno utilizzando tecniche sempre più sofisticate per ottenere ciò che vogliono. Si ritiene che gli attacchi alla catena di distribuzione di 3CX, in cui un malware backdoor è stato impiantato in un aggiornamento software dall'omonimo fornitore di comunicazioni, siano stati un tentativo mirato di colpire gli scambi di criptovalute.

Una stima delle Nazioni Unite del 2019 affermava che la Corea del Nord aveva accumulato fino a 2 miliardi di dollari attraverso attacchi storici a società di criptovalute e banche tradizionali.

  1. Sextortion e Deepfake: un mix criminale
  2. SpinOK: lo spyware da 400 milioni di download su Google Play
  3. Nuovi InfoStealer crescono
  4. Pegasus: lo spyware usato anche in teatro di guerra

Per rimanere aggiornato iscriviti alla nostra newsletter

Form by ChronoForms - ChronoEngine.com

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta