Andrea Biraghi - Blog Posts

Hacking di impronte digitali: configurazione da $ 5 bypassa l’autenticazione biometrica

Sul blog della Kraken Security Labs è stato condivisa la dimostrazione dell’hacking di impronte digitali e quindi sostenuto come ciò può rendere inutile l’autenticazione biometrica come metodo di verifica.

La ricerca che porta il titolo “Your Fingerprint Can Be Hacked For $5. Here’s How” mostra quindi un trucco per hackerare le impronte digitali, che può essere elaborato con l’utilizzo di apparecchiature facilmente reperibili che possono essere trovate sul mercato a circa $ 5.

L’autenticazione delle impronte digitali è una comoda alternativa alle password e ai codici PIN.

Continua a leggere su Andrea Biraghi Blog

Nuovi severi standard per i produttori di tecnologia digitale connessa ad Internet in Uk                                                    

Nuovi severi standard “anti hacker” per i produttori di tecnologia digitale connessa ad Internet in Uk: la nuova legge introdotta oggi dal governo inglese ha l’obiettivo di proteggere dagli attacchi degli hacker su telefoni, tablet, smart TV, fitness tracker e altri dispositivi collegabili a Internet.

La nuova legge – Product Security and Telecommunications Infrastructure Bill (PSTI) –  richiederà a produttori, importatori e distributori di tecnologia digitale che si connettono a Internet o ad altri prodotti di assicurarsi di soddisfare i nuovi severi standard di sicurezza informatica, con multe salate per coloro che non si conformano.

I nuovi standardi di sicurezza per la tecnologia Uk di fatto impediscono la vendita di prodotti collegabili di consumo nel Regno Unito che non soddisfano i requisiti di sicurezza di base, includendo piani per multe fino a 10 milioni di sterline o fino al 4% delle entrate globali per le aziende che non rispettano la normativa

Nuovi standard tecnologia UK: vietate le password predefinite universali

Presentata ieri al Parlamento, la legge consentirà al governo di vietare le password predefinite universali, costringere le aziende a essere trasparenti nei confronti dei clienti su ciò che stanno facendo per correggere i difetti di sicurezza nei prodotti collegabili e creare un migliore sistema di segnalazione pubblica per le vulnerabilità riscontrate in tali prodotti.

Continua a leggere su AndreaBiraghiCybersecurity

Moses Staff : il rapporto Check Point                                               

Nel settembre 2021, il gruppo di hacker Moses Staff ha iniziato a prendere di mira le organizzazioni israeliane, con un’ondata di attacchi informatici seh segue quella iniziata circa un anno fa dai gruppi Pay2Key e BlackShadow.

Gli utlimi due gruppi – Pay2Key e BlackShadow – però hanno agito principalmente per ragioni politiche – sottolinea il rapporto CheckPoint – nel tentativo di danneggiare l’immagine del Paese, chiedendo denaro e conducendo lunghe e pubbliche trattative con le vittime. Moses Staff si comporta diversamente.

Moses Staff afferma apertamente che la loro motivazione nell’attaccare le società israeliane facendo trapelare i dati sensibili rubati e crittografando le reti delle vittime, senza richiedere un riscatto. Il loro scopo sarebbe

“Combattere contro la resistenza ed esporre i crimini dei sionisti nei territori occupati”.

Per comprendere il gruppo i risultati chiave del rapporto di CheckPoint sono:

MosesStaff effettua attacchi mirati facendo trapelare dati, crittografando le reti. Non vi è alcuna richiesta di riscatto e nessuna opzione di decrittazione; i loro motivi sono puramente politici.    

L’accesso iniziale alle reti delle vittime è presumibilmente ottenuto sfruttando vulnerabilità note nell’infrastruttura pubblica come i server Microsoft Exchange.    

Gli strumenti utilizzati di base sono: PsExec, WMIC e Powershell.    

Gli attacchi utilizzano la libreria open source DiskCryptor per eseguire la crittografia del volume e bloccare i computer delle vittime con un bootloader che non consente l’avvio delle macchine senza la password corretta.

L’attuale metodo di crittografia del gruppo può essere reversibile in determinate circostanze. 

Leggi su Andrea Biraghi Cyber Security

Cina e cyber spionaggio: la criminalità non sarà più la norma, gli hacker saranno statali

La prossima generazione di hacker in Cina non sarà quella criminale bensì statale e dedicata allo spionaggio: e anche se I criminali hanno una lunga storia di spionaggio informatico per conto della Cina.

Protetti dall’azione penale dalla loro affiliazione con il Ministero della sicurezza di Stato cinese (MSS) — afferma TechCruch — i criminali trasformati in hacker governativi conducono molte delle operazioni di spionaggio cinese anche se nelle intenzioni di Pechino c’è quella di avvalersi di nuove leve e pool di talenti non contaminato. Tra gli obiettivi infatti del presidente Xi vi è quello di ridurre la corruzione, prendendo di mira le relazioni tra gli hacker a contratto e i loro gestori, in un’ampia campagna rivolta all’anti-corruzione.

Si prospetta una Cina diversa da quella di oggi?

Leggi tutto sul medium o sul blog

Report: dispositivi medici a rischio hacker

Una recente ricerca sottolinea come alcuni software per dispositivi medici siano vulnerabili e quindi a rischio hacker. La causa starebbe nei loro difetti, afferma FORESCOUT RESEARCH LABS, che ha condotto lo studio su alcuni software sui quali sono state rilevatepiù di una dozzina di vulnerabilità, così anche nei macchinari utilizzati in altri settori che, se sfruttati da un hacker, potrebbero causare il crash di apparecchiature critiche come i monitor dei pazienti.

La ricerca, condivisa in esclusiva con CNN, indica le sfide che gli ospedali e altre strutture hanno dovuto affrontare nel mantenere aggiornato il software durante una pandemia che assorbe in modo continuo tutte le risorse. La ricerca è un perfetto esempio che spiega comele agenzie federali stiano lavorando più a stretto contatto con i ricercatori per indagare sui difetti della sicurezza informatica che potrebbero influire sulla sicurezza dei pazienti.

Dispositivi medici a rischio hacker: esecuzione di codice in remoto,  denial of service e  perdita di informazioni

Continua a leggere su Andrea Biraghi Cyber Security

Data Breach USA: nuove violazioni a difesa, energia, sanità, tecnologia e istruzione

Nuovi data breach in USA da parte di sospetti hacker stranieri che secondo la società di sicurezza Palo Alto Networks hanno violato nove organizzazioni nei settori della difesa, dell’energia, della sanità, della tecnologia e dell’istruzione con un potenziale focus sui server utilizzati dalle aziende che collaborano con il Dipartimento della Difesa.

Secondo le analisi, almeno una di queste organizzazioni si trova negli Stati Uniti.

Palo Alto Networks ha anche sottolineato come gli attaccanti siano interessati a rubare credenziali e a mantenere l’accesso per raccogliere dati sensibili dalle reti delle vittime per l’esfiltrazione.

Leggi: Data Breach USA: potenziali legami con la Cina

Il CNN riporta: non è chiaro chi sia il responsabile della violazione, ma alcune delle tattiche degli aggressori si sovrappongono a quelle utilizzate da un sospetto gruppo di hacker con potenziali legami con la Cina. I primi risultati legati alla campagna di spionaggio, rivolto in particolare al settore della difesa, hanno rivelato i risultati resi pubblici questa scorsa domenica da Cnn sul monitoraggio attivo da parte della National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) che non hanno fatto commenti sulle identità del gruppo di ataccanti, ma la CISA ha dichiarato di stare usando un nuovo programma difensivo per “comprendere, amplificare e guidare l’azione in risposta all’attività identificata”.

NSO Group (Pegasus) nella lista nera USA con altre due società                                                  

La società israeliana NSO Group del software Pegasus è finita nella lista nera Usa con le accuse di pirateria informatica.

Il Dipartimento del Commercio contro Nso: “È impegnata in attività contrarie alla sicurezza nazionale o agli interessi di politica estera degli Stati Uniti”

Il dipartimento del commercio degli Stati Uniti ha aggiunto mercoledì il gruppo israeliano NSO e Candiru alla sua lista nera commerciale, con le accuse di aver venduto spyware a governi stranieri che hanno utilizzato l’attrezzatura per prendere di mira funzionari governativi, giornalisti e altri.

Leggi l’articolo: Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti

NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.

Ma non sembrerebbe l’unica ad essere entrata in tale lista, come afferma Reuters: sono state elencate infatti anche Positive Technologies of Russia e Computer Security Initiative Consultancy PTE LTD Singapore.

Continua a leggere: NSO Group (Pegasus) nella lista nera USA

Sicurezza IoT (internet of things): proteggere le tecnologie emergenti

La sicurezza IoT (internet of things o Internet delle cose) è un settore della tecnologia dell’informazione che si concentra sulla protezione di dispositivi endpoint, reti e dati relativi a dispositivi connessi come frigoriferi intelligenti, telecamere di sicurezza a monitor o automobili e le loro applicazioni e i dati associati che possono essere compromessi.

Ma perché la sicurezza IoT è necessaria ed importante?

Leggi anche: IoT e sicurezza informatica: perchè conta

Dopotutto, le tecnologie “intelligenti” dovrebbero anche essere sicure, giusto? Se però alla nostra rete continuiamo ad aggiungere dispositivi più punti di ingresso andremo a creare e se solo uno di questi dispositivi presenta una vulnerabilità può essere la porta attraverso la quale entrerà un malintenzionato, mettendo i nostri dati a richio. Pensiamo poi a coa può succedere ad un’azienda o ad un’organizzazione.

Continua a leggere su Andrea Biraghi Blog

La Sicurezza aerospaziale richiede un approccio qualificato e maturo                                                     

La sicurezza informatica aerospaziale richiede un approcio qualificato e maturo: questo è stato il messaggio principale della conferenza intenazionale Cyber Security for Aerospace nella sede di Leonardo a Chieti.

La conferenza con l’obiettivo di affrontare e approfondire i temi legati alla sicurezza informatica per il settore aerospaziale ha coiciso con l’inaugurazione della nuova Customer Experience Area di Leonardo e l’ufficializzazione degli ultimi dati relativi al progetto Cyber trainer sviluppato da Leonardo in collaborazione con l’Ateneo Aquilano e la Regione Abruzzo. Cyber Trainer addestrerà gli operatori della cyber security che testarenno nuove tecnologie contro le minacce informatiche.

Sicurezza aerospaziale: il rapporto Kaspersky e Zayed University

Il settore dell’Aerospazio sta attraversando infatti un periodo di cambiamenti tecnologi e digitali radicali: la space economy attrae cifre sempre più ingenti, ma gli attacchi informatici mettono a repentaglio il settore. Ciò confermato anche da un rapporto di Kaspersky in collaborazione con la Zayed University di Dubai, intitolato Cyberthreat profile of space infrastructure.  

Le minacce alle infrastrutture sono esaminate in dettaglio, in un momento in cui sempre più paesi – tra stati e aziende private –  stanno puntando in questa direzione, non ultimi gli Emirati Arabi Uniti con la missione Hope.

Finanziata dall’Agenzia spaziale degli Emirati Arabi Uniti, la Zayed University (ZU) ha progettato una camera di simulazione di Marte per studiare l’ambiente del pianeta rosso prima delle missioni con equipaggio. Inoltre, i ricercatori ZU hanno pubblicato una libreria di firme spettrali per l’ambiente degli Emirati Arabi Uniti utilizzando sensori remoti iperspettrali e altri.

L’infrastruttura spaziale comprende sistemi mission-critical come razzi, stazioni orbitali, satelliti, sistemi aerei senza equipaggio, sonde spaziali, robotica e sistemi di comunicazione spazio-terra. Proprio come qualsiasi  altra infrastruttura critica, quella spaziale spesso incorpora una rete aziendale che ospita servizi di posta elettronica, servizi elettronici e file server e i dati raccolti da sonde, sistemi e sensori.

Continua a leggere su Andrea Biraghi Cyber Security

Reti informatiche delle società di telecomunicazioni sotto attacco

Prese di mira le reti informatiche nel settore delle telecomunicazioni che secondo il rapporto CrowdStrike sono sotto attacco. Il gruppo di criminali informatici potrebbe essere potenzialmente collegato alla Cina, ma al momento non ci sono evidenze che gli attacchi possanno essere collegati a questo paese.

Le società di telecomunicazioni sono state a lungo un obiettivo primario per gli stati-nazione, con attacchi o tentativi visti da Cina, Russia, Iran e altri paesi e secondo il rapporto LightBasin (UNC1945) si rivolge costantemente al settore su scala globale almeno dal 2016. Il gruppo ha compromesso — con successo — almeno 13 gruppi di telecomunicazioni solo negli ultimi due anni.

Adam Meyers di CrowdStrike ha affermato che la sua azienda ha raccolto le informazioni rispondendo a incidenti in più paesi, qundi martedi la società ha pubblicato tutti dettagli tecnici per consentire ad altre società di verificare attacchi simili. Meyers ha infatti sottolineato la criticità di proteggere tutti gli aspetti dell’infrastruttura di telecomunicazioni che sono sotto attaccao e che secondo sempre la società continueranno ad essere prese di mira.

LightBasin inizialmente ha avuto accesso al primo server eDNS tramite SSH da una delle altre società di telecomunicazioni sotto attacco e compromesse, utilizzando password estremamente deboli e di terze parti (ad es. Huawei).

Continua a leggere...

Google alert: aumento di attività da parte di Hacker di stato                                                

Google avvisa dell’aumento di attività da parte di hacker di stato: nel 2021 in totale 50.000 avvisi, un aumento di quasi il 33% rispetto allo stesso periodo nel 2020. Questo picco è in gran parte dovuto al blocco di una campagna di un gruppo russo noto come APT28 o Fancy Bear.

Hacker di stato: il gruppo APT35

Ma non solo Google si concentra anche su un gruppo legato alle Guardie rivoluzionarie iraniane, noto come APT35, o Charming Kitten, che conduce regolarmente attacchi di phishing, dove, ad esempio, viene utilizzata un’e-mail per indurre qualcuno a consegnare informazioni sensibili o per installare malware.

All’inizio del 2021, APT35 ha compromesso un sito web affiliato a un’università del Regno Unito per ospitare un kit di phishing. Gli aggressori hanno inviato messaggi di posta elettronica con collegamenti a questo sito Web per raccogliere credenziali per piattaforme come Gmail, Hotmail e Yahoo. Agli utenti è stato chiesto di attivare un invito a un webinar (falso) effettuando l’accesso. Il kit di phishing richiederà anche codici di autenticazione  inviati ai dispositivi.

Continua a leggere su Andrea Biraghi Blog

Italia: seconda in Europa per attacchi informatici “+36% in un anno”                          

Italia seconda in Europa per attacchi informatici: sono le rilevazioni di CheckPoint Software Technologies, che afferma che gli attacchi ammontano a oltre 900 a settimana.

Tra i settori colpiti da attacchi cyber gravi negli ultimi dodici mesi, spiccano (in ordine decrescente): “Multiple Targets”: 20% del totale. Si tratta di attacchi realizzati in parallelo verso obiettivi molteplici, spesso indifferenziati, che vengono colpiti “a tappeto” dalle organizzazioni cyber criminali, secondo una logica “industriale”. Gli attacchi verso questa categoria di obiettivi sono tuttavia in calo del 4% rispetto al 2019.

Come in tutti i Paesi, il ransomware è stato la forma di attacco più utilizzata e, in Italia, la percentuale di organizzazioni colpite da ransomware ogni settimana nel 2021, è del 1.9%

Il rapporto Clusit 2021, registra nell’anno della pandemia il record negativo degli attacchi informatici: a livello globale sono stati infatti rilevati 1.871 gli attacchi gravi di dominio pubblico nel corso del 2020. L’impatto degli attacchi – sottolineano gli esperti – ha risvolti in ogni aspetto della società, della politica, dell’economia e della geopolitica

Settore Governativo, Militare, Forze dell’Ordine e Intelligence hanno subìto il 14% degli attacchi a livello globale, mentre la Sanità, è stata colpita dal 12% del totale degli attacchi. Il settore Ricerca/Istruzione,ha ricevuto l’11% degli attacchi, i Servizi Online, colpiti dal 10% degli attacchi complessivi. Sono cresciuti, inoltre, gli attacchi verso Banking & Finance (8%), Produttori di tecnologie hardware e software (5%) e Infrastrutture Critiche (4%).

Leggi la news: italia attacchi informatici

Microsoft: gli hacker sostenuti dallo stato russo hanno maggiore successo nel violare gli obiettivi del governo straniero

Secondo le dichiarazioni di Microsoft — rilasciate la scorsa settimana — gli hacker sostenuti dallo stato russo stanno avendo un maggiore successo nel violare obiettivi negli Stati Uniti e altrove. Microsoft ha anche aggiunto: il loro obiettivo e target principale degli attacchi sono le organizzazioni governative.

Cosa dice il rapporto Microsoft?

Secondo i ricercatori, le organizzazioni governative hanno rappresentato e rappresnetano ancora oltre la metà degli obiettivi per i gruppi di hacker collegati a Mosca per l’anno fino a giugno 2021, rispetto a solo il 3% dell’anno precedente.

Il tasso di successo delle loro intrusioni — tra obiettivi governativi e non governativi — è passato dal 21% al 32% anno su anno. Intanto il governo USA cerca di rafforzare le difese contro lo spionaggio informatico collaborando con gli alleati e condividendo pubblicamente le attività dei cyber criminali. La collaborazione è un punto fondamentale dell’azione contro la criminalità informatica sottolinea la CNN perchè si sta assistendo ad un condidervole aumento degli attacchi.

Il colleggamento degli hacker dello stato russo con le tensioni geopolitiche

Leggi su Andrea Biraghi Blog

Nuovo gruppo APT prende di mira i settori carburante, energia ed aviazione           

Un nuovo gruppo APT prende di mira i settori carburante, energia ed aviazione: il gruppo non ancora documentato – riporta HackerNews – è stato identificato come responsabile di una serie di attacchi in Russia, Stati Uniti, India, Nepal, Taiwan e Giappone con l’obiettivo di rubare dati da reti compromesse.

Il gruppo di minacce persistenti avanzate (APT) è stato soprannominato ChamelGang dalla società di sicurezza informatica Positive Technologies per le sue capacità camaleontiche, incluso il mascheramento “del malware e dell’infrastruttura di rete sotto servizi legittimi di Microsoft, TrendMicro, McAfee, IBM e Google“.

Inoltre la società avvisa:

Poiché il nuovo gruppo APT ha iniziato a sfruttare le vulnerabilità di ProxyShell negli attacchi per infettare Microsoft Exchange, è possibile che anche i server vulnerabili nel Regno Unito possano essere interessati in futuro. Il gruppo, noto come ChamelGang, sembra essere concentrato sul furto di dati da reti compromesse e i suoi primi attacchi alle relazioni di fiducia 1 sono stati registrati nel marzo 2021.

Continua a leggere Cyber Crime News

I cyber criminali Nobelium tornano grazie ad una backdoor                            

Il gruppo di cyber criminali Nobelium – gruppo sostenuto dalla Russia che ha violato SolarWinds –  hanno individuato una nuova backdoor.

Sono i ricercatori Microsoft ad avvisare del nuovo malware ad accesso remoto chiamato FoggyWeb: il malware sarebbe utilizzato da aprile 2021 per mantenere la persistenza sui server Active Directory compromessi.

Secondo il ricercatore Microsoft Ramin Nafisi, la backdoor di FoggyWeb viene utilizzata come parte del processo per ottenere le credenziali utente che gli hacker di Nobelium utilizzano per spostarsi in una rete e accedere a informazioni più preziose.

Dopo aver compromesso un server Active Directory Federation Services (AD FS) tramite exploit di bug, FoggyWeb viene quindi installato per consentire agli hacker di persistere sul server. Da lì, le credenziali vengono raccolte a distanza.

La stessa backdoor è crittografata all’interno di un’applicazione di caricamento progettata per camuffarsi da una DLL Windows legittima. Una volta caricato, FoggyWeb opera con privilegi di amministratore.

Nobelium: l’analisi della FoggyWeb backdoor

Continua a leggere

Google Alert: il cyber crime può rendere il malware non rilevabile su Windows

Google avvisa: una nuova tecnica può rendere il malware non rilevabile su Windows. I ricercatori hanno rivelato una nuova tecnica per eludere deliberatamente il rilevamento del malware, tramite l’aiuto di firme digitali non valide dei payload di malware. L’analisi del certificato viene quindi interrotta per evitare il rilevamento.

La nuova tecnica è attualamente utilizzata dal cyber crime a proprio beneficio. Inoltre, gli aggressori in grado di nascondere la propria identità nelle firme senza comprometterne l’integrità, possono evitare il rilevamento più a lungo, e prolungare la durata dei certificati di firma del codice per infettare più sistemi.

“Gli aggressori hanno creato firme di codice non valide che sono considerate valide da Windows ma non possono essere decodificate o verificate dal codice OpenSSL, che viene utilizzato in numerosi prodotti di scansione di sicurezza”

Neel Mehta di Google Threat Analysis Group

Leggi la news

Guerra informatica: l’hacking sponsorizzato dallo stato cinese è a livelli record                            

L’hacking sponsorizzato dallo stato cinese è a livelli record: ad affermarlo sono gli esperti di sicurezza occidentali che accusano Pechino di impegnarsi in una forma di “conflitto a bassa intensità” che si sta intensificando nonostante gli sforzi politici di Stati Uniti, Gran Bretagna e altri per fermarla.

Le accuse affermano inolre che l’attività clandestina si concentri sul furto di proprietà intellettuale, che nel 2021 è diventata sempre più palese e più sconsiderata. Pechino nega – ed in modo costante – le accuse, parlando di ipocrsia.

La Cina è uno dei principali attori internazionali a muoversi entro la “zona grigia” e ha reso questo approccio una componente sostanziale della sua strategia politico-militare nell’Asia-Pacifico al fine di spostare l’equilibrio di potere regionale a suo favore e incidere sulla credibilità degli impegni degli Stati Uniti a sostegno della difesa degli alleati storici come il Giappone, la Corea del Sud o l’Australia

Le minacce però, sempre più gravi, da parte dell’hacking sponsorizzato dallo stato, hanno fatto si che a luglio 2021 gli Stati Uniti, l’UE, la Nato, il Regno Unito e altri quattro paesi che hanno accusato Pechino di essere dietro un massiccio sfruttamento delle vulnerabilità nel software server della società Exchange ampiamente utilizzato di Microsoft a marzo. In alcuni casi hanno accusato il Ministero della Sicurezza di Stato cinese (MSS) di dirigere l’attività.

Continua a leggere la news: hacking sponsorizzato dallo stato cinese

Attacchi informatici agli ospedali: infrastruttre sanitarie fragili e nel mirino ransomware                            

Attacchi informatici e ransomware agli ospedali non sono un caso solo italiano: la sanità è sotto attacco in tutto il mondo. L’utlizzo poi dello IoT aumenta esponenzialmente l’esposizione ai data breach.

Questi dispositivi medici in rete e altre tecnologie mobili per la salute (mHealth) sono un’arma a doppio taglio: hanno il potenziale per svolgere un ruolo di trasformazione nell’assistenza sanitaria, ma allo stesso tempo possono diventare un veicolo che espone i pazienti e gli operatori sanitari alla sicurezza e rischi per la sicurezza informatica come essere violato, essere infettati da malware ed essere vulnerabili ad accessi non autorizzati.

Pacemaker e defibrillatori impiantati che informano i medici in tempo reale sul comportamento del tuo cuore e che reagiscono ad ogni problema stimolando il muscolo a ripartire o cambiare ritmo, tutti questi dispositivi comunicano continuamente dall’interno del tuo corpo con una piccola scatola all’esterno, in mettiti in contatto con il medico che ti sta curando.

Continua a leggere: Attacchi informatici agli ospedali

VPN Fortinet: un leak password colpisce 500.000 account

VPN Fortinet: un leak password ha colpito 500.000 account: gli hacker avrebbero prelevato le credenziali di accesso da dispositivi non protetti, quindi le hanno scaricate su un forum del dark web. Anche se la vulnerabilità di Fortinet smebra sia stata corretta molte credenziali VPN sono ancora valide. L’attore delle minacce, un certo “Orange” ha fatto trapelare password e nomi utente, ma nulla in vendita, la grande quantità di informazioni era disponbile gratuitamente.

Secondo una ricerca della società di sicurezza Advanced Intel, si pensa che Orange sia un membro della banda di ransomware “Groove”. Si dice che abbiano anche lavorato in precedenza per Babuk, un’importante banda di ransomware che ha tentato di estorcere milioni di dollari al dipartimento di polizia di Washington D.C. all’inizio di quest’anno.

Leggi su Andrea Biraghi Ultime Notizie

Fortinet: divulgati nomi di accesso e password VPN associati a 87.000 dispositivi SSL-VPN FortiGate

Fortinet: divulgati nomi di accesso e password VPN associati a 87.000 dispositivi SSL-VPN FortiGate.

Fortinet – in una nota – ha affermato: “Queste credenziali sono state ottenute da sistemi che sono rimasti senza patch rispetto a CVE-2018-13379 al momento della scansione dell’attore. Anche se da allora potrebbero essere state patchate, se le password non sono state reimpostate, rimangono vulnerabili”.

La rivelazione arriva dopo che l’attore della minaccia ha fatto trapelare un elenco di credenziali Fortinet gratuitamente su un nuovo forum di lingua russa chiamato RAMP, lanciato nel luglio 2021, nonché sul sito di fuga di dati del ransomware Groove, con Advanced Intel che ha notato che “l’elenco delle violazioni contiene dati grezzi”. accesso alle migliori aziende” in 74 paesi, tra cui India, Taiwan, Italia, Francia e Israele. “2.959 su 22.500 vittime sono entità statunitensi”, hanno detto i ricercatori.

Leggi tutto su AndreaBiraghiBlog

Gaming e Malware: Kaspersky blocca 5,8 milioni di attacchi "travestiti da giochi per PC"

#Gaming e #Malware: #Kaspersky blocca 5,8 milioni di attacchi “travestiti da giochi per PC” Gaming e malware: adware e trojan e altri malware non sono gli unici motivi per non scaricare giochi illegali. BleepingComputer avvisa che i criminali informatici stanno facendo passi da gigante con attacchi malware in grado di eseguire codice dall’unità di elaborazione grafica (#GPU) di un sistema compromesso. Il malware quindi ha trovato un nuovo posto dove nascondersi: le schede grafiche, che potrebbero presto diventare una seria minaccia. Una tecnica di proof-of-concept (PoC) per l’archiviazione e l’esecuzione di malware su una scheda grafica è stata recentemente venduta su un forum di #hacker.

Leggi su Andrea Biraghi Medium

DragonForce Malaysia hack: hacking, abuso di privacy e fuga di informazioni personali

DragonForce Malaysia Hack: l’hacktivismo in Medio Oriente persiste: nuovi attacchi digitali durante il mese di maggio 2021 e le crescenti tensioni in Medio Oriente hanno portato a rinnovate operazioni di attivisti informatici in tutta la regione.

Gli attacchi digitali di maggio hanno presentato un certo livello di rischio per i siti non protetti poiché gli attori delle minacce hanno preso di mira le organizzazioni delle telecomunicazioni, i settori finanziari e le agenzie governative.

Al momento, le azioni fisiche sono diminuite nella regione dall’ultima incursione, ma gli attacchi digitali sono continuati fino a giugno. La più grande paura nell’hacking informatico risiede nell’abuso della privacy — come la fuga di informazioni personali nell’hack DragonForce Malaysia a giugno — così come la preoccupazione che le forze straniere possano dirottare i sistemi e prendere il controllo dei database nazionali e dei sistemi operativi

Leggi la news

Google e Microsoft per aiutare a rafforzare la sicurezza informatica degli Stati Uniti                            

Big Tech in soccorso per la sicurezza informatica degli Stati Uniti: Google, Microsoft, ma anche Apple e Amazon si impegnano a formare la prossima generazione di difensori della cyber security.

Google e Microsoft – a seguito di un incontro con il presidente degli Stati Uniti Joe Biden alla Casa Bianca- hanno stanziato miliardi di dollari per contribuire a rafforzare la posizione in materia di sicurezza informatica del settore nel suo insieme.

Apple ha annunciato che collaborerà con i suoi fornitori per “guidare l’adozione di massa dell’autenticazione a più fattori“, oltre a fornire nuovi corsi di formazione sulla sicurezza, risposta agli incidenti e correzione delle vulnerabilità. Amazon prevede di offrire gratuitamente un dispositivo di autenticazione a più fattori a tutti i titolari di account Amazon Web Services e di rendere disponibile gratuitamente al pubblico tutta la formazione sulla consapevolezza della sicurezza dei dipendenti dell’azienda.

L’incontro arriva sulla scia degli ultimi incidenti, tra cui quello della Colonial Pipeline. Gli impegni variano a seconda delle aziende: dalla spesa di miliardi in infrastrutture informatiche all’offerta di aiuti e istruzione per la catena di approvvigionamento. Il governo, è chiaro, e lo afferma anche il Presidente USA, non può affrontare questo impegno da solo, per questo nelle ultime settimane Biden ha incontrato i CEO di oltre due dozzine di aziende di vari settori per sollecitare il loro aiuto nel potenziare gli sforzi per la sicurezza informatica. La minaccia cyber va quindi contenuta.

“La realtà è che la maggior parte delle nostre infrastrutture critiche è di proprietà e gestita dal settore privato e il governo federale non può affrontare questa sfida da solo“, ha detto Biden durante la riunione di mercoledì.

Continua a leggere su Andrea Biraghi Cyber Security

Attacco informatico al Dipartimento di Stato US | Fox News e Reuters                

Un attacco informatico ha recentemente colpito il Dipartimento di Stato degli Stati Uniti US: secondo i rapporti di Fox News e Reuters, gli hacker hanno colpito recentemente, mentre il Cyber ​​Command del Dipartimento della Difesa ha rilasciato notifiche di una violazione dei dati potenzialmente grave.

Il primo avviso è stato un tweet di sabato 21 agosto 2021 di una giornalista di Fox News, che ha speigato l’netità del danno, anche se non è ancora chiaro quando sia stata scoperta la violazione e quali siano stati gli sforzi fatti  – ancora in corso – per mitigarla. Si ritiene peerò che sia avvenuta un paio di settimane fa. Tuttavia fonti di Reuters assicurano che non ci sono state interruzioni significative e le operazioni non sono state in alcun modo ostacolate.

Relativamente all’attacco informatico e tramite comuqnue uno dei portavoce il Dipartimento di Stato US ha fatto sapere che:

“Il Dipartimento prende sul serio la sua responsabilità di salvaguardare le proprie informazioni e adotta continuamente misure per garantire che le informazioni siano protette. Per motivi di sicurezza, non siamo in grado di discutere la natura o la portata di eventuali presunti incidenti di sicurezza informatica in questo momento”

Leggi la notizia sul blog di Andrea Biraghi

FireEye: dissimulazione informatica di hacker cinesi contro Israele

Un nuovo rapporto di FireEye sembra sostenere che hacker cinesi — sostenuti dallo stato di Pechino — abbiano effettuato attacchi informatici — e spionaggio informatico — su Israele fingendo di operare dal’Iran.

La società statunitense di sicurezza informatica FireEye ha dichiarato il 10 agosto che uno studio condotto in collaborazione con l’esercito israeliano ha scoperto che “UNC215“, descritto da FireEye come un gruppo di spie sospettato di provenire dalla Cina, ha violato le reti del governo israeliano dopo aver utilizzato protocolli desktop remoti ( RDP) per rubare credenziali da terze parti fidate. Gli RDP consentono a un hacker di connettersi a un computer da lontano e vedere il “desktop” del dispositivo remoto.

FireEye non è realmente in grado di dimostrare l’attribuzione.

Holtquist di FireEye ha sostenuto che questa attività di spionaggio informatico sta accadendo sullo sfondo degli investimenti multimiliardari della Cina relativi alla Belt and Road Initiative e al suo interesse per il settore tecnologico israeliano.

Secondo il rapporto di FireEye, “le aziende cinesi hanno investito miliardi di dollari in startup tecnologiche israeliane, collaborando o acquisendo società in settori strategici come i semiconduttori e l’intelligenza artificiale”. Il rapporto continuava: “Mentre la BRI (Belt and Road Initiative) cinese si sposta verso ovest, i suoi progetti di costruzione più importanti in Israele sono la ferrovia tra Eilat e Ashdod, un porto privato ad Ashdod e il porto di Haifa”.

Continua a leggere su Andrea Biraghi Blog

T-Mobile indaga su “enorme violazione dei dati”                           

T-Mobile sta indagando su una enorme violazione di dati: gli hacker affermano di avere nomi e numeri di previdenza sociale di almeno 100 milioni di clienti.

La violazione –  riporta TheSun –  riguarda dati come numeri di previdenza sociale, numeri di telefono, nomi, indirizzi fisici, numeri IMEI univoci e informazioni sulla patente di guida.

La scoperta è stata fatta domenica scorsa 15 agosto 2021, a partire da un forum sul quale un utente affermava della possibile violazione e di vendere enormi quantità di dati personali compromessi. Il venditore ha affermato che i dati erano stati prelevati dai server T-Mobile e scaricati in locale: il valore del ricatto ammonterebbe a sei bitocin – 260mila dollari.

L’analisi dei primi dati sembrerebbe avere avuto una conferma di autenticità,  Motherboard, in seguito, ha riferito:

“Siamo a conoscenza delle affermazioni fatte in un forum sotterraneo e abbiamo attivamente indagato sulla loro validità”, ha detto un portavoce di T-Mobile in una e-mail a The Verge. “Al momento non abbiamo ulteriori informazioni da condividere”.

T-Mobile violazione dei dati: 2018, 2019 e 2020

Leggi su Andrea Biraghi News

Asia: hacker cinesi prendono di mira le telecomunicazioni

Gli hacker cinesi prendono di mira le principali società di telecomunicazioni del sud-est asiatico.

Da anni tre distinti gruppi hacker cinesi operano per conto dello stato organizzando attacchi informatici per colpire le reti di almeno cinque società di telecomunicazioni del Sud-Est Asiatico.

Martedì la società di sicurezza Cybereason Inc. ha pubblicato un rapporto. L’analisi tecnica afferma che i gruppi hacker hanno condotto una campagna in tutto il sud-est asiatico dal 2017 al 2021 n alcuni casi sfruttando le vulnerabilità della sicurezza nei server Exchange di Microsoft Corp. per ottenere l’accesso ai sistemi interni delle società di telecomunicazioni. Lior Rochberger, Tom Fakterman, Daniel Frank e Assaf Dahan di Cybereason hanno rivelato che l’obiettivo è quello di tenere un monitorgaggio contino per facilitare lo spionaggio informatico:

“L’obiettivo degli aggressori dietro queste intrusioni era quello di ottenere e mantenere l’accesso continuo ai fornitori di telecomunicazioni e facilitare lo spionaggio informatico raccogliendo informazioni sensibili, compromettendo risorse aziendali di alto profilo come i server di fatturazione che contengono dati Call Detail Record (CDR), così come i componenti di rete chiave come i controller di dominio, i server Web e i server Microsoft Exchange”.

Leggi su Andrea Biraghi Medium

Nuova Campagna di Spionaggio informatico collegata all’esercito iraniano.

Una nuova campagna di spionaggio informatico collegata all’esercito iraniano ha attirato vittime con falsi profili e messaggi sui social media nel tentativo di rubare nomi utente, password e altre informazioni sensibili.

I Bersagli sono stati ingannati da una campagna lunga circa 18 mesi: gli hacker iraniani per ingannarli si sono nascoti dietro profili falsi, per infettare con malware i dipendenti e gli appaltatori che lavorano nella difesa e nell’aerospazio, con il fine di rubare nomi utente, password e altre informazioni che potrebbero essere sfruttate.La campagna è attiva almeno sino dal 2019 ed è stata analizzata e raccontata in dettaglio dai ricercatori di sicurezza informatica di Proofpoint che l’hanno collegata a TA456, noto anche come Tortoiseshell, un gruppo di hacker iraniano sostenuto dallo stato con legami con il ramo dell’esercito iraniano del Corpo delle guardie rivoluzionarie islamiche (IRGC).

Leggi su Andrea Biraghi Cyber Security

Le nuove bande ransomware del cyber crime Blackmatter e Haron                                                                                     

Crescono e si moltiplicano le nuove bande ransomware cyber crime: con due nuovi programmi di ransomware-as-service (RaaS).

Le nuove bande di ransomware — Haron e BlackMatter — emergono sui forum di criminalità informatica nella Draknet e si professano come i successori dei due famigerati gruppi DarkSide e REvil che hanno compiuto gli attacchi a Colonial Pipeline e Kaseya negli ultimi mesi.

Ransomware e Cyber Crime: l’analisi di S2W Lab del ransomware Haron

Il gruppo Blackmatter hanno comunque annunciato che i nuovi programmi ansomware-as-service (RaaS) non colpiranno organizzazioni come sanità, infrastrutture critiche, petrolio e del gas, della difesa, del non profit e del governo.

Secondo Flashpoint, l’attore di minacce BlackMatter ha registrato un account sui forum in lingua russa XSS e Exploit il 19 luglio, seguito rapidamente da un post in cui affermava che stava cercando di acquistare l’accesso a reti aziendali infette che comprendono tra 500 e 15.000 host nel Stati Uniti, Canada, Australia e Regno Unito e con un fatturato di oltre $ 100 milioni all’anno, che potrebbe suggerire un’operazione ransomware su larga scala.

Il gruppo Haron è invece stato segnalato dalla società di sicurezza sudcoreana S2W Labs – che hanno esaminato esaminato il primo campione di malware  – ed ha fatto la sua comparsa nel mese di Luglio 2021.  Oltre a questi due gruppi non è eslcuso che “là fuori” possano essrcene altri.

contiuna su AndreaBiraghiBlog

La Cina nega l’hacking dei dati sul fiume Mekong e confuta il rapporto Reuters                                                               

Il rapporto Reuters accusa la Cina dell’hacking di dati sul fiume Mekong dalla Cambogia.

Non è immediatamente chiaro quale tipo di dati abbiano rubato gli hacker e non sappiamo perché abbiano fatto questo tentativo. Ma ci deve essere qualcosa di interessante o importante che li ha motivati ​​a farlo”, ha affermato il Segretariato della Commissione del fiume Mekong (MRC). Questo è successo nel 2018 ma stiamo ascoltando la notizia ora che il dipartimento di giustizia degli Stati Uniti l’ha rilasciata.

L’accusa dell’hacking è partita dagli Stati Uniti e puntava ad una campagna di spionaggio informatico globale: tra i governi presi di mira dagli hacker cinesi c’era la Cambogia, uno dei più fedeli alleati asiatici di Pechino.

L’obiettivo dell’attacco è stato rivelatore: le discussioni tra Cina e Cambogia sull’uso del fiume Mekong (segreti commerciali e dati idroacustici). Il Mekong infatti è divenuto un nuovo campo di battaglia per l’influenza statunitense e cinese nel sud-est Asia.

Reuters si basa sulle accuse che “sono state delineate in un atto d’accusa di 30 pagine del tribunale degli Stati Uniti che descrive in dettaglio le attività di quella che è stata definita una società di facciata gestita dalla sicurezza dello stato cinese ad Hainan, una provincia insulare cinese vicino al sud-est asiatico”.

Continua a leggere... Cina Hacking Mekong