Sicurezza Informatica
Sviluppatore di Trickbot si dichiarato colpevole
Vladimir Dunaev, uno sviluppatore russo del noto malware Trickbot, si è dichiarato colpevole di fronte alla giustizia statunitense. Questo caso rappresenta un importante sviluppo nella lotta contro la criminalità informatica a livello globale.
Contesto e implicazioni della dichiarazione di colpevolezza
Ruolo di Dunaev
Dunaev, 40 anni, era uno degli sviluppatori di Trickbot, un malware utilizzato per attaccare varie organizzazioni, inclusi ospedali e scuole. La sua dichiarazione di colpevolezza apre la strada a una possibile condanna fino a un massimo di 35 anni di prigione.
Danni Causati da Trickbot
Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha stimato che le vittime di Trickbot abbiano subito perdite per decine di milioni di dollari dal suo lancio nel 2016.
Impatto del Malware
Trickbot è stato utilizzato per diffondere ransomware e ha infettato milioni di computer in tutto il mondo, causando notevoli danni finanziari e interruzioni.
Altri membri del Gruppo Trickbot
Estradizione e Processi
Dunaev è stato estradato negli Stati Uniti dalla Repubblica di Corea nel 2021 e si unisce a una lista crescente di membri di Trickbot nel mirino dei pubblici ministeri statunitensi.
Altri casi
Alla Witte, un altro sviluppatore di Trickbot, è stato precedentemente catturato dal DoJ e ha affrontato un’incriminazione di 47 capi d’accusa, rischiando una condanna all’ergastolo. Tuttavia, è stato condannato a soli due anni e otto mesi di prigione nel giugno 2023.
Sanzioni e azioni internazionali
Sanzioni Finanziarie
Gli Stati Uniti e il Regno Unito hanno emesso sanzioni finanziarie contro 11 altri membri di Trickbot, ritenuti responsabili dello sviluppo o dell’amministrazione del malware. Queste sanzioni includono divieti di viaggio e il divieto di fare affari con organizzazioni statunitensi o britanniche.
Impatto globale di Trickbot
L’Agenzia Nazionale per la Criminalità del Regno Unito (NCA) ha stimato che il gruppo abbia estorto almeno 180 milioni di dollari dalle vittime a livello globale, di cui almeno 34 milioni di dollari provenienti da 149 vittime nel Regno Unito.
La dichiarazione di colpevolezza di Vladimir Dunaev segna un momento significativo nella lotta contro la criminalità informatica. Mentre le autorità continuano a perseguire i membri di Trickbot, questo caso evidenzia la complessità e la portata globale delle operazioni di cybercrime e l’importanza della cooperazione internazionale nella loro repressione.
Sicurezza Informatica
TA397: spionaggio internazionale con WmRAT e MiyaRAT
Tempo di lettura: 2 minuti. TA397 utilizza nuove tecniche di attacco per distribuire WmRAT e MiyaRAT, colpendo organizzazioni governative e della difesa.
Il gruppo di cyber spionaggio TA397, noto anche come Bitter, ha introdotto nuove e sofisticate catene di attacco per colpire organizzazioni governative e del settore della difesa, principalmente nelle regioni EMEA (Europa, Medio Oriente e Africa) e APAC (Asia-Pacifico). Proofpoint ha analizzato una recente campagna che utilizza tecniche avanzate per distribuire i malware WmRAT e MiyaRAT, progettati per raccogliere informazioni sensibili.
Una catena di infezione mirata e ingannevole
Il 18 novembre 2024, TA397 ha condotto un attacco mirato contro un’organizzazione della difesa in Turchia, utilizzando un’esca sotto forma di email di spear phishing. L’email conteneva un archivio RAR con diversi file, tra cui:
- Un documento PDF legittimo proveniente dalla World Bank che descrive un progetto infrastrutturale in Madagascar.
- Un file di collegamento LNK mascherato da documento PDF.
- Flussi di dati alternativi (ADS) nascosti che contenevano codice PowerShell dannoso.
L’utente, attirato dall’apparente legittimità del file PDF, eseguiva inavvertitamente il file LNK, attivando una catena di infezione che includeva:
- L’apertura del PDF come decoy per distrarre l’utente.
- L’esecuzione di script PowerShell tramite il flusso ADS.
- La creazione di un’attività pianificata che comunicava regolarmente con il server di comando e controllo (C2) jacknwoods[.]com.
Questa attività pianificata inviava informazioni di base sul dispositivo della vittima e scaricava ulteriori payload malevoli, tra cui i RAT (Remote Access Trojans) WmRAT e MiyaRAT.
WmRAT e MiyaRAT: strumenti di spionaggio avanzati
WmRAT, scritto in C++, offre funzionalità classiche di RAT, come la cattura di screenshot, l’esfiltrazione di file e l’esecuzione di comandi remoti. Il malware utilizza una semplice crittografia per comunicare con il server C2, rendendo difficile l’intercettazione da parte delle difese di rete.
MiyaRAT, introdotto più recentemente, include funzionalità simili, ma con una crittografia più sofisticata e un livello più elevato di offuscamento del codice. Questo strumento è riservato a obiettivi di alto valore, come evidenziato dalla distribuzione limitata in campagne selezionate.
Entrambi i malware sono stati utilizzati per raccogliere informazioni critiche, come dati sulle directory, processi in esecuzione e geolocalizzazione, e per interagire direttamente con la rete dell’organizzazione compromessa.
Tecniche di persistenza e copertura delle tracce
TA397 dimostra una notevole abilità nell’evadere le misure di sicurezza, utilizzando:
- Attività pianificate per garantire la persistenza.
- Offuscamento dei file esca, mascherati per sembrare innocui.
- Crittografia personalizzata per proteggere le comunicazioni con i server C2.
Queste tecniche, combinate con un’infrastruttura di comando e controllo che utilizza domini legittimi e indirizzi IP non direttamente riconducibili al gruppo, complicano ulteriormente le indagini forensi.
TA397 “rappresenta una minaccia significativa per organizzazioni strategiche in tutto il mondo”. Le sue campagne mirate dimostrano una continua evoluzione delle tecniche di attacco, sottolineando la necessità di misure di difesa avanzate e un monitoraggio costante delle infrastrutture IT per rilevare attività sospette.
Sicurezza Informatica
Careto: ritorna in scena lo storico APT
Tempo di lettura: 2 minuti. Careto APT torna in azione con nuove tecniche di attacco, sfruttando server email e malware avanzati come FakeHMP.
Il leggendario gruppo APT Careto, noto anche come The Mask, è tornato in azione con nuove tecniche di attacco avanzate, dopo un decennio di silenzio. Questo attore, attivo almeno dal 2007, si concentra su attacchi altamente mirati contro organizzazioni governative, diplomatiche e di ricerca. L’ultimo rapporto di Kaspersky, presentato alla Virus Bulletin International Conference 2024, rivela dettagli inediti sulle campagne più recenti di Careto.
Nuove tecniche di persistenza: attacchi al server MDaemon
Una delle campagne più recenti, osservata nel 2022, ha preso di mira un’organizzazione in America Latina, utilizzando un metodo sofisticato per mantenere la persistenza nei sistemi compromessi. Gli attaccanti hanno sfruttato una funzionalità del server email MDaemon, nota come WorldClient, che consente l’aggiunta di estensioni personalizzate per gestire richieste HTTP.
Careto ha creato un’estensione malevola configurata per caricare payload e mantenere il controllo del server tramite richieste HTTP indirizzate a una URL specifica. Questa tecnica ha permesso al gruppo di raccogliere informazioni sensibili e di diffondere l’infezione all’interno della rete tramite movimenti laterali.
FakeHMP e altre innovazioni per il movimento laterale
Un elemento centrale delle nuove campagne di Careto è il malware FakeHMP, progettato per eseguire azioni avanzate come:
- Registrare input da tastiera,
- Catturare screenshot,
- Estrarre file e distribuirli su sistemi compromessi.
Per diffondersi, Careto ha utilizzato file legittimi del software di sicurezza HitmanPro Alert, sfruttandone un driver vulnerabile (hmpalert.sys) per caricare un DLL malevolo. Questo ha permesso agli attaccanti di iniettare codice in processi privilegiati come winlogon.exe, garantendo un controllo persistente.
Una variante di questa tecnica è stata osservata nel 2024, quando gli attaccanti hanno sfruttato il processo di aggiornamento di Google per distribuire il malware.
Attacchi storici e sovrapposizioni tattiche
Il gruppo Careto è stato associato a diverse campagne storiche, tra cui attacchi documentati nel 2019 e tra il 2007 e il 2013. Le tattiche utilizzate, come il COM hijacking per la persistenza e l’uso di sistemi virtuali per archiviare plugin, sono rimaste coerenti nel tempo, suggerendo una continuità operativa.
Nel 2019, Careto ha utilizzato due framework malevoli denominati Careto2 e Goreto. Questi strumenti implementavano funzionalità avanzate, come keylogger e screenshot taker, e sfruttavano servizi cloud come Google Drive per caricare ed eseguire comandi in remoto.
Il ritorno di Careto APT dimostra la resilienza e l’evoluzione del gruppo, che continua a sviluppare tecniche innovative e malware multi-componente. La comunità di sicurezza deve restare vigile, poiché le future campagne di questo attore saranno probabilmente altrettanto sofisticate.
Sicurezza Informatica
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
Tempo di lettura: 3 minuti. Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e le soluzioni consigliate per migliorare la sicurezza dei sistemi informatici.
Negli ultimi giorni, sono emerse importanti problematiche di sicurezza e prestazioni legate a software e dispositivi di uso comune. Nvidia sta affrontando difficoltà con la sua nuova app che impatta negativamente sulle prestazioni dei giochi, mentre SonicWall e Apache Struts si trovano al centro di vulnerabilità critiche che potrebbero mettere a rischio migliaia di sistemi aziendali e server globali.
Problemi di prestazioni con la nuova app Nvidia
L’app Nvidia, lanciata lo scorso novembre per migliorare l’esperienza di gioco e garantire aggiornamenti automatici dei driver, ha invece creato problemi significativi. Gli utenti hanno riportato un calo delle prestazioni fino al 15% nei giochi, particolarmente evidente quando si utilizzano funzioni come Game Filters e Photo Mode. Questi strumenti, progettati per migliorare la grafica dei giochi, sembrano invece sovraccaricare il sistema, causando lag, cali di frame rate e crash in alcuni titoli.
Nvidia ha riconosciuto il problema e proposto una soluzione temporanea: disabilitare le funzioni incriminate tramite il menu impostazioni dell’app. Tuttavia, questa soluzione ha lasciato insoddisfatti molti utenti, che richiedono un aggiornamento definitivo per risolvere il problema senza compromettere le funzionalità dell’app. Nvidia ha promesso di rilasciare una patch entro il primo trimestre del 2025, ma fino ad allora, molti giocatori potrebbero optare per software alternativi.
Questo problema solleva preoccupazioni anche sull’affidabilità della gestione delle risorse da parte dell’app Nvidia, un elemento critico per i giocatori competitivi e gli utenti professionali che dipendono da una grafica fluida e senza interruzioni.
SonicWall: oltre 25.000 firewall esposti a gravi vulnerabilità
Un’indagine condotta da esperti di sicurezza ha rivelato che oltre 25.000 firewall SonicWall SSL VPN sono vulnerabili a falle di sicurezza critiche. Molti di questi dispositivi operano con firmware non aggiornati o non più supportati, esponendo reti aziendali e dati sensibili a potenziali attacchi.
Le vulnerabilità rilevate sono state già sfruttate da gruppi di ransomware per accedere ai sistemi delle vittime. Le configurazioni errate, che rendono pubbliche le interfacce di gestione, amplificano il rischio. Gli amministratori di sistema sono stati invitati ad aggiornare immediatamente il firmware e a implementare misure di sicurezza più rigorose per mitigare la minaccia.
SonicWall ha rilasciato aggiornamenti per i modelli ancora supportati, ma migliaia di dispositivi restano a rischio, specialmente quelli che non ricevono più assistenza. Questa situazione evidenzia l’importanza di mantenere i dispositivi aggiornati e di ridurre al minimo le esposizioni pubbliche delle reti aziendali.
Apache Struts: una vulnerabilità critica che mette a rischio server globali
Il framework Apache Struts, ampiamente utilizzato per lo sviluppo di applicazioni web, è stato recentemente colpito da una grave vulnerabilità identificata come CVE-2024-53677. Questa falla permette il caricamento di file dannosi sui server vulnerabili, aprendo la strada all’esecuzione di codice remoto (RCE). Attori malevoli stanno già sfruttando questa vulnerabilità per scansionare e attaccare server esposti, utilizzando Proof-of-Concept (PoC) pubblicati online.
La vulnerabilità interessa tutte le versioni di Apache Struts precedenti alla 6.4.0. Sebbene gli sviluppatori abbiano rilasciato un aggiornamento per risolvere il problema, molti server non sono ancora stati aggiornati, rendendo la minaccia particolarmente diffusa.
La natura critica di questa falla evidenzia la necessità di aggiornare immediatamente i server vulnerabili. Tuttavia, il solo aggiornamento potrebbe non bastare: è fondamentale implementare il nuovo sistema di caricamento file Action File Upload, poiché le configurazioni predefinite rimangono vulnerabili.
I server che non verranno aggiornati rischiano di diventare bersagli principali di attacchi, con potenziali conseguenze devastanti, tra cui perdita di dati, downtime prolungati e compromissione di informazioni sensibili.
Avvisi CISA sui sistemi di controllo industriale (ICS)
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato cinque avvisi relativi a vulnerabilità nei sistemi di controllo industriale (ICS). Questi avvisi riguardano infrastrutture critiche in settori come energia, trasporti e manifatturiero.
Tra le vulnerabilità segnalate, alcune riguardano difetti nell’autenticazione, esposizioni di rete non autorizzate e la possibilità di eseguire attacchi di tipo denial-of-service. La gravità di queste vulnerabilità sottolinea la necessità di implementare misure di mitigazione immediate, come aggiornamenti software, segmentazione delle reti ICS e rafforzamento delle politiche di autenticazione.
- ICSA-24-352-01 ThreatQuotient ThreatQ Platform
- ICSA-24-352-02 Hitachi Energy TropOS Devices Series 1400/2400/6400
- ICSA-24-352-03 Rockwell Automation PowerMonitor 1000 Remote
- ICSA-24-352-04 Schneider Electric Modicon
- ICSMA-24-352-01 BD Diagnostic Solutions Products
Questi avvisi rappresentano un richiamo all’importanza della protezione delle infrastrutture critiche, in un contesto in cui le minacce cyber continuano a evolversi e a colpire settori strategici.
Dalle problematiche di prestazioni della nuova app Nvidia alle vulnerabilità di SonicWall e Apache Struts, passando per gli avvisi ICS di CISA, queste situazioni evidenziano l’urgenza di una gestione proattiva della sicurezza informatica. È fondamentale mantenere software e dispositivi aggiornati, rafforzare le configurazioni di rete e implementare le patch appena disponibili per mitigare i rischi e garantire la sicurezza delle infrastrutture digitali.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone7 giorni ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone6 giorni ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica4 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Economia7 giorni ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Smartphone2 giorni ago
Galaxy S25 Slim e iPhone 17: nuovi dettagli su produzione e prezzi
-
Sicurezza Informatica1 settimana ago
Microsoft Patch Tuesday dicembre 2024: sicurezza e funzionalità