Sicurezza Informatica
Vulnerabilità critiche in Veeam, Mongolian Skimmer
Tempo di lettura: 5 minuti. Le vulnerabilità critiche in Veeam e le nuove tecniche di attacco come il Mongolian Skimmer rappresentano le principali minacce informatiche del 2024.
Nel 2024, il panorama delle minacce informatiche continua a evolversi rapidamente, con attacchi sempre più sofisticati che sfruttano vulnerabilità critiche e nuove tecniche di distribuzione di malware. Tra i casi più rilevanti ci sono le falle di sicurezza in Veeam Backup & Replication, utilizzate per diffondere ransomware, e l’emergere di campagne di skimming come il Mongolian Skimmer, che mira a rubare dati sensibili nei siti e-commerce. Questi attacchi dimostrano come gli hacker sfruttino le debolezze nei sistemi per infiltrarsi e causare danni su larga scala.
Veeam e la vulnerabilità CVE-2024-40711 sfruttata per distribuire ransomware
Una delle principali minacce rilevate nel 2024 riguarda una grave vulnerabilità nel software di Veeam Backup & Replication, identificata come CVE-2024-40711. Questa falla, che consente l’esecuzione di codice remoto senza autenticazione, ha ricevuto un punteggio 9.8 su 10 nella scala CVSS, indicandone la pericolosità. Nonostante Veeam abbia rilasciato una patch per correggere il problema a settembre 2024, molti sistemi non aggiornati sono ancora a rischio. Gli hacker stanno sfruttando attivamente questa vulnerabilità per distribuire ransomware, come Akira e Fog.
Gli attacchi iniziano compromettendo credenziali VPN di aziende che non hanno implementato l’autenticazione a più fattori. Gli aggressori utilizzano il servizio Veeam.Backup.MountService.exe, attraverso la porta 8000, per creare account locali con privilegi amministrativi. Una volta infiltrati nel sistema, cercano di distribuire ransomware e rubare dati. In uno degli attacchi rilevati, gli hacker hanno preso di mira un server Hyper-V non protetto, riuscendo a esfiltrare dati sensibili utilizzando lo strumento rclone. L’importanza di aggiornare tempestivamente i software critici e implementare adeguate misure di sicurezza, come la multifactor authentication, è fondamentale per prevenire questi tipi di attacchi.
Parallelamente, nel 2024 è emerso un nuovo ransomware denominato Lynx, un successore del ransomware INC. Lynx condivide gran parte del codice sorgente con INC e ha già colpito settori critici come il retail e l’architettura, principalmente negli Stati Uniti e nel Regno Unito. Anche il ransomware Trinity, apparso nel 2024, ha iniziato a prendere di mira il settore sanitario, utilizzando strategie di doppia estorsione per colpire le vittime.
Mongolian Skimmer: la nuova frontiera degli attacchi skimming nel 2024
Un’altra minaccia emergente nel 2024 è rappresentata dal Mongolian Skimmer, scoperto dai ricercatori di Jscrambler. Questo attacco di skimming si distingue per l’uso di tecniche di offuscamento avanzate in codice JavaScript, progettate per sottrarre informazioni sensibili, come dati di pagamento, da siti di e-commerce compromessi. Il Mongolian Skimmer opera monitorando costantemente i campi di input di pagine web, come quelle di checkout, estraendo informazioni personali o di pagamento e inviandole a server remoti controllati dagli hacker.
Gli attacchi skimming mirano principalmente a rubare dati sensibili durante le transazioni, monitorando i campi come input e textarea utilizzati per inserire i dati di pagamento. Il Mongolian Skimmer sfrutta caratteri Unicode insoliti per offuscare il codice JavaScript e rendere più difficile l’individuazione del malware. Una volta che il malware è stato caricato, monitora il DOM per eventuali modifiche e invia i dati rubati a un server remoto tramite tecniche di esfiltrazione classiche, come l’uso di pixel di tracciamento.
Questa minaccia ha preso di mira principalmente siti basati su piattaforme Magento compromesse, dove gli hacker sfruttano vulnerabilità note per inserire i loro script. In alcuni casi, i ricercatori hanno scoperto che più gruppi di criminali informatici stavano sfruttando contemporaneamente lo stesso sito web, utilizzando il codice per comunicare tra loro e coordinare le attività di furto dati. Questo dimostra quanto siano sofisticati e organizzati questi attacchi.
GitHub, Telegram e QR Code: attacchi phishing sempre più sofisticati nel 2024
Nel 2024, le campagne di attacco informatico stanno diventando sempre più avanzate, con l’uso di tecniche come GitHub, bot di Telegram e codici QR per aggirare le misure di sicurezza. Queste nuove modalità di attacco phishing stanno prendendo di mira diversi settori, tra cui quello finanziario e assicurativo, e dimostrano come gli hacker siano in grado di sfruttare piattaforme legittime e tecnologie familiari per raggiungere le loro vittime.
GitHub e la campagna malware con Remcos RAT
Una delle tecniche di attacco più rilevanti individuate nel 2024 coinvolge l’uso di GitHub per distribuire il malware Remcos RAT. Questa campagna di phishing, rilevata dai ricercatori di Cofense, sfrutta repository GitHub legittimi, come quelli di UsTaxes e InlandRevenue, per evitare i controlli di sicurezza delle email. Gli hacker inseriscono commenti con allegati dannosi, come archivi ZIP contenenti il trojan, che viene utilizzato per ottenere il controllo remoto dei sistemi infettati.
Il malware viene distribuito attraverso email di phishing che promettono assistenza per l’estensione delle scadenze fiscali, ma in realtà indirizzano le vittime a scaricare file infetti. Una volta aperti, i file installano il trojan, dando agli hacker pieno accesso al sistema della vittima. Questo metodo di attacco sfrutta la fiducia che molte aziende e utenti hanno nei confronti di GitHub, un dominio comunemente considerato sicuro e spesso escluso dai controlli dei gateway email. Ciò consente agli hacker di aggirare le protezioni di sicurezza.
Bot di Telegram e codici QR: nuove tecniche di phishing
Parallelamente, i ricercatori di ESET hanno rilevato un crescente utilizzo di bot di Telegram e codici QR da parte dei cybercriminali, in particolare nel contesto di truffe legate alle prenotazioni di alloggi. Questi attacchi sfruttano account compromessi di piattaforme come Booking.com e Airbnb, contattando gli utenti con presunti problemi di pagamento e inducendoli a inserire le proprie informazioni finanziarie su siti fraudolenti.
I bot di Telegram utilizzati in queste campagne consentono ai criminali di automatizzare la generazione di pagine di phishing e di migliorare la comunicazione con le vittime, rendendo più difficile individuare l’inganno. I codici QR, che vengono utilizzati sempre più spesso, rappresentano un ulteriore vettore di attacco. Gli hacker inseriscono codici QR malevoli in email e pagine web, inducendo le vittime a scansionarli con il proprio smartphone, con il risultato di reindirizzarli a siti di phishing o di installare malware sui loro dispositivi.
Un altro elemento di innovazione è l’uso di blob URLs, che permettono agli hacker di nascondere contenuti malevoli all’interno di oggetti binari temporanei, rendendo più difficile il blocco dei contenuti dannosi e complicando la rilevazione da parte dei sistemi di sicurezza.
Le nuove tecniche di attacco phishing del 2024, che sfruttano piattaforme legittime come GitHub e Telegram, e l’uso di tecnologie come i codici QR, dimostrano come gli hacker siano in grado di adattarsi rapidamente ai cambiamenti tecnologici e alle misure di sicurezza. Le aziende devono prestare particolare attenzione a queste nuove minacce, implementando strumenti di sicurezza aggiornati e sensibilizzando i dipendenti sui pericoli di questi attacchi. Solo così sarà possibile prevenire infezioni di malware come Remcos RAT e proteggere i dati sensibili.
Le vulnerabilità critiche in software come Veeam Backup & Replication e l’emergere di nuove campagne di skimming come il Mongolian Skimmer e Remcos RAT evidenziano la crescente complessità delle minacce informatiche nel 2024. È fondamentale che le aziende adottino misure di sicurezza proattive, aggiornino regolarmente i loro sistemi e monitorino costantemente le loro reti per prevenire attacchi di questo tipo. L’evoluzione dei ransomware e delle tecniche di furto dati richiede una vigilanza continua e l’implementazione di strumenti di sicurezza all’avanguardia per proteggere dati sensibili e infrastrutture critiche.
Sicurezza Informatica
L’FBI crea una criptovaluta per smascherare frodi finanziarie
Tempo di lettura: 2 minuti. L’FBI ha creato la criptovaluta NexFundAI per monitorare le frodi nel mercato crypto, portando all’arresto di 18 truffatori.
Recentemente, l’FBI ha fatto un passo inedito nella lotta contro le frodi finanziarie creando la propria criptovaluta, NexFundAI, come parte di un’operazione per monitorare e smascherare attività illegali nel mercato delle criptovalute. Questo stratagemma ha portato all’arresto di 18 individui coinvolti in schemi fraudolenti di pump-and-dump e wash trading, portando alla luce una vasta rete di manipolazioni di mercato e truffe.
Come NexFundAI ha smascherato i truffatori
L’operazione, gestita in collaborazione con il Dipartimento di Giustizia degli Stati Uniti e la Security and Exchange Commission (SEC), ha utilizzato NexFundAI come esca per attirare truffatori che manipolavano il mercato delle criptovalute. In particolare, i responsabili di queste operazioni compravano e vendevano lo stesso asset, come criptovalute, allo scopo di aumentare artificialmente il volume di trading e spingere altri investitori a comprare.
Questo tipo di frode è noto come wash trading, e genera un falso segnale di crescita del valore di un asset, permettendo ai truffatori di vendere i propri titoli a prezzi gonfiati, prima di abbandonare il mercato lasciando gli altri investitori con perdite considerevoli. In questo caso, la criptovaluta creata dall’FBI ha permesso di monitorare attentamente questi movimenti, portando alla confisca di oltre 25 milioni di dollari in criptovaluta e all’arresto di individui in tre paesi: Stati Uniti, Regno Unito e Portogallo.
Impatto sul mercato delle criptovalute
L’operazione ha colpito anche i bot di trading utilizzati per gestire milioni di transazioni fraudolente in circa 60 criptovalute diverse. Questo segna la prima volta che vengono formulate accuse penali contro operatori finanziari per manipolazione di mercato nel contesto delle criptovalute, un settore notoriamente soggetto a frodi e truffe. Secondo stime recenti, circa il 70% delle transazioni in criptovalute potrebbe essere classificato come wash trading, rendendo l’intervento delle autorità essenziale per tutelare gli investitori.
Avvertimento agli investitori
Questa operazione, denominata Token Mirrors, serve anche come avvertimento agli investitori nel settore delle criptovalute. Joshua Levy, procuratore degli Stati Uniti, ha sottolineato che l’inganno nei confronti degli investitori costituisce frode, indipendentemente dalla tecnologia coinvolta. Con un aumento esponenziale dei crimini legati alle criptovalute, è fondamentale che gli investitori siano consapevoli dei rischi associati a questi mercati e adottino le dovute precauzioni.
Un futuro incerto per il mercato delle criptovalute
Oltre a smascherare frodi come il wash trading, questa operazione rappresenta una nuova frontiera nella regolamentazione delle criptovalute. Con la crescente attenzione delle autorità su questo settore, ci si aspetta che ulteriori azioni vengano intraprese per limitare le frodi e garantire un mercato più trasparente e sicuro.
Sicurezza Informatica
Cyber-attacco “nucleare” contro l’Iran è la risposta di Israele?
Tempo di lettura: 2 minuti. Attacco informatico senza precedenti contro l’Iran. Israele potrebbe rispondere colpendo siti nucleari e petroliferi. La diplomazia tenta di evitare l’escalation.
Un massiccio attacco informatico ha colpito il governo iraniano, con effetti devastanti su industrie chiave, tra cui quella nucleare, e infrastrutture critiche come la distribuzione di carburante e i porti. L’Iran ha descritto l’evento come un attacco “senza precedenti”, evidenziando la gravità dell’accaduto. Abolhassan Firouzabadi, ex segretario del Consiglio supremo iraniano per il cyberspazio, ha confermato che una grande quantità di dati sensibili è stata sottratta. L’attacco ha provocato forti preoccupazioni a Teheran, in particolare riguardo alla possibile risposta di Israele, a seguito di un precedente attacco missilistico iraniano.
Secondo fonti iraniane, l’Iran teme una reazione militare diretta da parte di Israele, che potrebbe colpire i suoi impianti nucleari e petroliferi. Gli Stati Uniti, partner di Israele, hanno suggerito una risposta proporzionata per evitare un’escalation del conflitto. Inoltre, vari Paesi del Golfo, tra cui gli Emirati Arabi Uniti e il Bahrein, hanno espresso preoccupazione per le conseguenze economiche di un possibile attacco contro le strutture petrolifere iraniane, considerando i possibili danni ambientali e alla stabilità regionale.
Le preoccupazioni diplomatiche e militari
Israele, impegnato in consultazioni con gli Stati Uniti, sembra voler evitare di colpire direttamente i siti più sensibili, nonostante la pressione. La minaccia di ritorsioni israeliane è particolarmente preoccupante per l’Iran, soprattutto perché Hezbollah, la milizia libanese sostenuta dall’Iran, è stata indebolita dalle recenti operazioni militari di Tel Aviv. Tuttavia, la situazione resta instabile, con il rischio che una reazione israeliana possa colpire duramente il sistema nucleare iraniano come avvenne ai tempi di StuxNet che molti nel settore in queste ore hanno dimenticato per fantasticare sull’attuale presunto attacco subito.
Sapevi che Matrice Digitale è l’unico portale italiano che parla H24 di Guerra Cibernetica?
Gli Stati Uniti giocano un ruolo chiave nel cercare di contenere l’escalation, con il presidente Joe Biden che ha dialogato con il primo ministro israeliano Benjamin Netanyahu per invitare a una risposta più moderata. Gli alleati del Golfo, in particolare, sono preoccupati per le ripercussioni economiche, temendo che un attacco alle infrastrutture petrolifere iraniane possa avere gravi conseguenze per l’intera regione.
L’impatto sugli equilibri geopolitici
L’Iran, negli ultimi anni, è stato coinvolto in numerose operazioni di cyber-attacco, in particolare attraverso gruppi hacker che operano in collaborazione o sotto la supervisione del governo. Il Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) ha spesso utilizzato attacchi informatici come strategia per destabilizzare i Paesi rivali e raccogliere informazioni sensibili. Uno dei principali attori iraniani, il gruppo CyberAv3ngers, ha utilizzato ChatGPT per sviluppare attacchi mirati che sfruttano vulnerabilità nei sistemi operativi macOS. L’obiettivo di questi attacchi era rubare credenziali di accesso e altre informazioni personali. Un altro gruppo, Storm-0817, ha sviluppato malware Android capace di estrarre contatti, cronologie di chiamate e file riservati dai dispositivi infetti, dimostrando la capacità dell’Iran di sfruttare le tecnologie più avanzate per i propri scopi cibernetici.
Il coinvolgimento iraniano in cyberattacchi ha generato preoccupazioni a livello internazionale, poiché questi attacchi non solo compromettono sistemi governativi e aziendali, ma mettono a rischio la sicurezza dei singoli utenti. L’Iran ha storicamente mirato a influenzare la politica globale attraverso cyber operazioni, cercando di interferire nelle elezioni, ottenere informazioni strategiche e minare la fiducia nelle istituzioni democratiche e proprio qualche giorno fa è stato rilasciato un avviso CISA contro il rischio cibernetico iraniano.
Questi eventi segnano un punto critico nelle relazioni tra Iran e Israele, da sempre in conflitto, con il cyberspazio che diventa sempre più un campo di battaglia strategico. L’Iran è già stato colpito da numerosi attacchi informatici in passato, ma l’intensità e l’estensione di questo attacco evidenziano la vulnerabilità delle infrastrutture critiche del Paese.
Sicurezza Informatica
OilRig colpisce i “fratelli” degli Emirati Arabi Uniti e del Golfo
Tempo di lettura: 2 minuti. Earth Simnavaz lancia attacchi sofisticati contro UAE e Golfo, sfruttando vulnerabilità di Microsoft Exchange e strumenti come ngrok per mantenere accessi persistenti.
Il gruppo di cyber-spionaggio Earth Simnavaz, noto anche come APT34 e OilRig, è stato recentemente al centro dell’attenzione per una serie di attacchi avanzati rivolti a enti governativi e infrastrutture critiche negli Emirati Arabi Uniti (UAE) e in altre nazioni del Golfo. Secondo i ricercatori di Trend Micro, questa campagna di attacchi mira a compromettere sistemi sensibili, sfruttando vulnerabilità non risolte e utilizzando tecniche sofisticate per eludere i sistemi di difesa tradizionali.
Strategie e tecniche di attacco di OilRig
Earth Simnavaz si distingue per l’uso di metodi avanzati, tra cui una nuova backdoor che sfrutta i server Microsoft Exchange per il furto di credenziali. Questa tecnica prevede l’infiltrazione nei sistemi tramite web shell caricati su server vulnerabili, che permettono agli attaccanti di eseguire codice PowerShell, caricare file e stabilire un punto d’appoggio nella rete compromessa.
- Sfruttamento di CVE-2024-30088: Una delle vulnerabilità utilizzate dal gruppo è la CVE-2024-30088, una falla di Elevation of Privilege nel kernel di Windows. Gli attaccanti la utilizzano per ottenere privilegi amministrativi, installando un file DLL di filtro password che consente di estrarre credenziali in chiaro dai sistemi compromessi. Questo tipo di approccio permette a Earth Simnavaz di mantenere un controllo persistente sui dispositivi compromessi e di esfiltrare informazioni sensibili.
- Uso di strumenti RMM come ngrok: Il gruppo ha integrato strumenti come ngrok per creare tunnel di rete sicuri, consentendo loro di mantenere il controllo remoto dei sistemi compromessi senza essere facilmente rilevati. Questo facilita anche i movimenti laterali all’interno delle reti, permettendo agli attaccanti di raggiungere e compromettere i Domain Controllers.
La capacità di Earth Simnavaz di combinare strumenti personalizzati in .NET, script PowerShell e malware basato su IIS evidenzia la loro abilità nel far sembrare il traffico di rete legittimo, riducendo il rischio di rilevamento.
Implicazioni geopolitiche e obiettivi strategici
Il gruppo di cyber-spionaggio è ritenuto collegato a interessi iraniani e ha concentrato i suoi sforzi su settori strategici come energia, petrolio e gas, che sono cruciali per la stabilità economica della regione e l’analisi di Trend Micro lo confermerebbe. Negli ultimi mesi, è stato registrato un aumento degli attacchi rivolti a organizzazioni governative, con un focus particolare su infrastrutture di rilevanza geopolitica negli Emirati Arabi Uniti.
L’obiettivo di OilRig non è solo il furto di informazioni, ma anche la possibilità di compromettere infrastrutture che potrebbero essere utilizzate come piattaforme per ulteriori attacchi contro altri target regionali. La persistenza delle loro operazioni sottolinea il rischio continuo per i Paesi del Golfo, che devono adottare misure di sicurezza avanzate per proteggere le loro reti e infrastrutture critiche.
- Editoriali1 settimana fa
L’hacker Carmelo Miano è una risorsa del nostro Paese?
- Editoriali1 settimana fa
Il valore delle certificazioni nell’ICT
- OSINT4 giorni fa
Dibattito politico: in estate vincono Salvini e Meloni mentre Schlein è in vacanza
- Sicurezza Informatica1 settimana fa
ESCLUSIVA – Booking.com espone dati sensibili? Scoperta breccia nei Log Laravel
- Sicurezza Informatica1 giorno fa
Cyber-attacco “nucleare” contro l’Iran è la risposta di Israele?
- Sicurezza Informatica1 settimana fa
L’hacker Carmelo Miano: tutto quello che c’è da sapere sulla storia
- Tech1 settimana fa
Apple annuncia nuovi prodotti e interrompe la produzione di altri
- Tech4 giorni fa
Android 16 e Android 15 migliorano produttività e multitasking