Sicurezza Informatica
Disney violata da NullBulge: dati sensibili diffusi Online
Tempo di lettura: 2 minuti. Il gruppo NullBulge ha violato i canali Slack degli sviluppatori di Disney, diffondendo 1,1 terabyte di dati sensibili online.
Un gruppo di cybercriminali noto come NullBulge ha affermato di aver scaricato i canali Slack utilizzati dagli sviluppatori di Disney. Questa fuga di dati rappresenta una delle più significative violazioni di sicurezza per l’azienda, con un totale di 1,1 terabyte di file e messaggi chat che sono stati sottratti e successivamente diffusi online.
Dettagli della violazione
Il gruppo NullBulge ha annunciato la violazione su BreachForums, un noto sito di divulgazione di dati, fornendo screenshot delle loro scoperte. La quantità di dati rubati include progetti non ancora rilasciati, immagini grezze, codice sorgente, alcune credenziali di accesso e link a API e pagine web interne di Disney. In totale, il gruppo ha avuto accesso a quasi 10.000 canali Slack.
Elementi Compromessi | Dettagli |
---|---|
Quantità di Dati | 1,1 terabyte |
Numero di Canali Slack | Quasi 10.000 |
Tipi di Dati Rubati | Progetti non rilasciati, immagini, codice, credenziali |
Altri Dati | Link a API e pagine web interne |
Modalità dell’Attacco
Secondo quanto riferito dal gruppo, l’attacco è stato facilitato da un insider che ha fornito accesso ai dati interni di Disney. Tuttavia, l’informatore ha avuto un ripensamento e ha interrotto la collaborazione, costringendo NullBulge a pubblicare i dati prima del previsto. Il gruppo ha anche minacciato di diffondere ulteriori informazioni personali, come login, carte di credito e numeri di sicurezza sociale, come avvertimento per futuri collaboratori.
Motivazioni e reazioni
NullBulge si definisce un gruppo hacktivista che mira a ottenere una migliore compensazione e protezione dei diritti degli artisti. Nonostante ciò, le loro azioni hanno sollevato preoccupazioni significative riguardo alla sicurezza dei dati aziendali e alla protezione delle informazioni sensibili. Disney non ha ancora rilasciato un commento ufficiale sull’incidente procurato da Nullbulge.
Questa violazione evidenzia la crescente minaccia rappresentata dagli attacchi informatici facilitati da collaboratori interni. Le aziende devono rafforzare le loro misure di sicurezza e sensibilizzare i dipendenti sui rischi e le conseguenze di tali azioni. Continueremo a monitorare la situazione e a fornire aggiornamenti man mano che emergeranno ulteriori informazioni.
Sicurezza Informatica
Arresti contro LockBit e NetWalker
Tempo di lettura: 2 minuti. LockBit e NetWalker sotto attacco legale: sviluppatore arrestato e affiliato condannato. Scopri le operazioni internazionali contro il ransomware.
Due operazioni distinte contro il crimine informatico hanno portato a sviluppi significativi nella lotta contro il ransomware. Le autorità statunitensi hanno incriminato un sospetto sviluppatore di ransomware LockBit, mentre un affiliato del ransomware NetWalker è stato condannato a 20 anni di carcere.
Il caso LockBit: sviluppatore russo-israeliano accusato di crimini informatici
Rostislav Panev, un cittadino russo-israeliano, è stato incriminato per il suo presunto ruolo nello sviluppo del ransomware LockBit, una delle minacce cibernetiche più sofisticate degli ultimi anni. Panev, arrestato in Israele nell’agosto 2024, è accusato di aver creato strumenti chiave per LockBit, inclusi gli encryptor e il software di furto dati StealBit.
Secondo il Dipartimento di Giustizia degli Stati Uniti, Panev ha guadagnato circa 230.000 dollari lavorando per LockBit, ricevendo pagamenti mensili in criptovaluta. Durante l’arresto, le autorità israeliane hanno trovato credenziali che davano accesso a repository contenenti il codice sorgente di LockBit e del ransomware Conti, un altro gruppo noto. Questi strumenti permettevano agli affiliati di personalizzare le loro campagne di attacco, compromettendo infrastrutture critiche e aziende globali.
LockBit, attivo dal 2019, è stato oggetto di numerose operazioni di polizia internazionale, inclusa l’operazione Cronos del 2024, che ha portato al recupero di oltre 7.000 chiavi di decrittazione, consentendo alle vittime di recuperare i dati senza pagare il riscatto.
NetWalker: un affiliato romeno condannato per attacchi mirati
Daniel Christian Hulea, cittadino romeno, è stato condannato a 20 anni di carcere negli Stati Uniti per il suo coinvolgimento con il ransomware NetWalker. Arrestato in Romania e estradato negli Stati Uniti, Hulea ha ammesso di aver partecipato a numerosi attacchi informatici, tra cui quelli contro ospedali, università e aziende durante la pandemia COVID-19.
Secondo i documenti del tribunale, Hulea ha raccolto circa 1.595 bitcoin (all’epoca pari a 21,5 milioni di dollari) dai riscatti pagati dalle vittime. Oltre alla condanna, Hulea dovrà restituire 14,9 milioni di dollari e cedere beni, tra cui una proprietà di lusso in Indonesia, acquistata con i proventi degli attacchi.
NetWalker, attivo dal 2019, operava come Ransomware-as-a-Service (RaaS), consentendo agli affiliati di utilizzare il ransomware in cambio di una percentuale sui riscatti. La rete è stata smantellata nel 2021, ma il suo codice è stato successivamente utilizzato in nuove operazioni, dimostrando come i gruppi di ransomware riescano a rigenerarsi rapidamente.
Questi sviluppi sottolineano l’efficacia della cooperazione internazionale nella lotta contro il crimine informatico. Con azioni legali e operazioni di polizia mirate, le autorità stanno riuscendo a colpire non solo gli affiliati, ma anche gli sviluppatori e gli organizzatori di gruppi ransomware come LockBit e NetWalker, riducendo significativamente l’impatto di queste minacce globali.
Sicurezza Informatica
Lazarus: nuovo malware contro il settore nucleare
Tempo di lettura: 2 minuti. Lazarus utilizza CookiePlus e nuovi malware per attaccare un’organizzazione nucleare. Scopri le tecniche e le implicazioni di questa campagna mirata.
Il gruppo di hacker Lazarus, noto per le sue campagne sofisticate, ha recentemente sferrato un attacco contro un’organizzazione nucleare, utilizzando una catena di infezione complessa e nuove varianti di malware, inclusi CookiePlus e MISTPEN. Questa campagna, conosciuta come DeathNote o Operation DreamJob, sfrutta la distribuzione di documenti falsi legati a opportunità lavorative per compromettere i sistemi target.
Un’infezione multistadio: i dettagli dell’attacco
Lazarus ha utilizzato file compressi contenenti versioni trojanizzate di strumenti VNC per accedere ai sistemi delle vittime. Gli archivi includevano:
- AmazonVNC.exe, una versione alterata di TightVNC.
- Un file di testo che conteneva l’IP e la password da utilizzare per collegarsi ai server controllati dagli attaccanti.
L’esecuzione di questi file portava al download di un malware noto come Ranid Downloader, progettato per caricare ulteriori payload nella memoria del sistema compromesso. La catena di infezione comprendeva altri strumenti, come il Charamel Loader e il ServiceChanger, che sfruttavano il side-loading di DLL per avviare software malevoli.
CookiePlus: un malware modulare in evoluzione
Un elemento chiave della campagna è il malware CookiePlus, una versione avanzata del precedente MISTPEN. CookiePlus è stato progettato per agire come downloader di moduli aggiuntivi, con funzionalità avanzate come:
- Download e caricamento di plugin modulari.
- Comunicazione con server C2 utilizzando dati crittografati.
- Mascheramento come plugin open-source legittimi, come quelli di Notepad++ e DirectX-Wrappers.
CookiePlus utilizza algoritmi di crittografia come ChaCha20 e RSA per proteggere la comunicazione e rendere più difficili le analisi da parte dei ricercatori. Il malware è ancora in sviluppo attivo, il che indica che Lazarus potrebbe espandere ulteriormente le sue capacità nei prossimi mesi.
Obiettivi e implicazioni
L’attacco ha colpito almeno due dipendenti di un’organizzazione nucleare, dimostrando la strategia mirata del gruppo. Lazarus sfrutta tecniche avanzate per ottenere un accesso prolungato ai sistemi, muovendosi lateralmente all’interno della rete per diffondere ulteriori malware, come CookieTime e RollMid.
Le infrastrutture di comando e controllo (C2) utilizzate da Lazarus si basano su server compromessi che eseguono WordPress e altri servizi PHP. Questa scelta evidenzia la capacità del gruppo di adattarsi e utilizzare strumenti versatili per eludere i sistemi di sicurezza.
L’attacco di Lazarus al settore nucleare evidenzia l’evoluzione continua delle tecniche di hacking e la crescente complessità delle minacce informatiche. Con strumenti come CookiePlus e una strategia mirata, il gruppo dimostra la sua capacità di aggirare le difese esistenti e compromettere organizzazioni critiche. È essenziale che le aziende rafforzino le loro misure di sicurezza per contrastare minacce sofisticate come quelle di Lazarus.
Sicurezza Informatica
ACE smantella Markkystreams: Pezzotto da oltre 821 milioni di visite all’anno
Tempo di lettura: 2 minuti. ACE smantella Markkystreams, una rete di pirateria sportiva con 821 milioni di visite annuali. Ecco come l’alleanza combatte lo streaming illegale globale.
L’Alliance for Creativity and Entertainment (ACE) ha annunciato di aver chiuso una delle più grandi reti di streaming illegale di eventi sportivi al mondo. La piattaforma, nota come Markkystreams, operava principalmente dal Vietnam e generava oltre 821 milioni di visite annuali, con un’utenza concentrata tra Stati Uniti e Canada.
Markkystreams: il modello operativo della pirateria sportiva
Markkystreams forniva streaming di eventi sportivi da tutte le principali leghe americane (NBA, NFL, MLB, NHL) e internazionali, attirando una vasta base di utenti. L’operazione colpiva anche i membri sportivi di ACE, tra cui DAZN, beIN Sports e Canal+, riducendo il valore commerciale delle trasmissioni live.
ACE ha dichiarato che i responsabili dell’operazione, con base ad Hanoi, gestivano una rete composta da 138 domini illegali, tra cui markkystreams.com, streameast.to, crackstreams.dev, e weakspell.to. Questi siti ora mostrano banner che informano gli utenti della chiusura per violazione del copyright.
Larissa Knapp, vicepresidente esecutiva della Motion Picture Association (MPA), ha sottolineato l’urgenza di agire contro la pirateria sportiva, poiché i contenuti live perdono valore economico immediatamente dopo la conclusione dell’evento.
Collaborazione con le autorità e impatti globali
ACE, composta da oltre 50 compagnie di intrattenimento tra cui Netflix, Amazon, Disney e Warner Bros., lavora a stretto contatto con enti come il Dipartimento di Giustizia degli Stati Uniti, Europol e Interpol per smantellare reti di pirateria su larga scala.
Questo intervento si aggiunge a una lunga serie di azioni intraprese da ACE negli ultimi anni, tra cui:
- La chiusura dei provider di streaming illegale Openload e Streamango (2019).
- La cessazione del servizio IPTV pirata Beast IPTV (2020).
- Lo smantellamento del sito di streaming anime Zoro.to in Vietnam (2023).
Solo nel 2024, ACE ha contribuito a smantellare una rete di streaming illegale che generava 250 milioni di euro al mese, evidenziando la portata economica della pirateria digitale.
L’azione contro Markkystreams rappresenta un colpo significativo alla pirateria sportiva globale. Con il supporto delle autorità internazionali e l’impegno di ACE, il settore dell’intrattenimento sta compiendo progressi verso la protezione dei diritti digitali, tutelando i ricavi dei creatori di contenuti e migliorando l’accesso legale agli eventi live.
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone1 settimana ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Economia2 giorni ago
Sanzioni per violazioni del GDPR per Meta e Netflix
-
Sicurezza Informatica3 giorni ago
HubPhish, targeting politico e vulnerabilità critiche
-
Sicurezza Informatica2 giorni ago
NodeStealer e phishing via Google Calendar: nuove minacce
-
Sicurezza Informatica2 giorni ago
Windows, rischi Visual Studio Code, file MSC e kernel
-
Sicurezza Informatica1 settimana ago
PUMAKIT: analisi del RootKit malware Linux
-
Sicurezza Informatica7 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano