News
Visite: 7188

Il mondo della #cybersecurity è di nuovo sotto attacco con l'emergere di una nuova e preoccupante variante di #ransomware #DJVU, denominata "#Xaro". Questo #ransomware è stato osservato mentre si diffonde sotto mentite spoglie di #software crackato. #Ralph #Villanueva, ricercatore di sicurezza presso #Cybereason, ha segnalato che questa variante non solo cripta i file aggiungendo l'estensione .xaro, ma richiede anche un riscatto per un tool di decrittazione, colpendo i sistemi con una serie di carichi utili di #malware e #infostealer.

#DJVU, una variante del #ransomware #STOP, è noto per mascherarsi da servizi o applicazioni legittime, spesso veicolato tramite #SmokeLoader. Un aspetto significativo degli attacchi #DJVU è l'implementazione di #malware aggiuntivi, come i ladri di informazioni (ad esempio, #RedLine #Stealer e #Vidar), aumentando la pericolosità dell'attacco.

In un recente schema di attacco documentato da #Cybereason, #Xaro si propaga come file archivio da una fonte dubbia, spacciandosi per un sito che offre #freeware legittimo. L'apertura del file archivio porta all'esecuzione di un presunto installer per un software di scrittura PDF chiamato #CutePDF, che in realtà è un servizio di download di #malware pay-per-install noto come #PrivateLoader. #PrivateLoader stabilisce contatti con un server di comando e controllo (#C2) per recuperare un'ampia gamma di famiglie di #malware stealer e loader, come #RedLine #Stealer, #Vidar, #Lumma #Stealer, #Amadey, #SmokeLoader, #Nymaim, #GCleaner, #XMRig e #Fabookie, oltre a distribuire #Xaro.

#Xaro, oltre a generare un'istanza dell'infostealer #Vidar, è in grado di criptare file nell'host infetto prima di rilasciare una nota di riscatto, sollecitando la vittima a contattare l'attore della minaccia per pagare $980 per la chiave privata e lo strumento di decrittazione, un prezzo che scende del 50% a $490 se contattati entro 72 ore. Questa attività mette in luce i rischi legati al download di #freeware da fonti non affidabili e sottolinea l'inganno dietro l'

News
Visite: 7251
La #RhysidaRansomwareGroup ha recentemente annunciato un attacco informatico alla #ChinaEnergyEngineeringCorporation (CEEC), un'importante azienda energetica di proprietà statale in Cina. Questa società ha un ruolo significativo nel settore dell'energia e delle infrastrutture, partecipando a vari progetti energetici inclusi carbone, idroelettrico, nucleare e iniziative di energia rinnovabile. Questo gruppo di ransomware ha affermato di aver esfiltrato una notevole quantità di dati "impressionanti" e attualmente li sta mettendo all'asta per 50 #Bitcoin (BTC). I dati sono destinati a essere venduti a un unico acquirente, con il piano del gruppo di rilasciare pubblicamente i dati nei sette giorni successivi all'annuncio. Recentemente, anche la #BritishLibrary è stata aggiunta alla lista delle vittime della Rhysida ransomware group sul loro sito di leak su #Tor. In risposta a questi attacchi, l'#FBI e la #CISA hanno emesso un avviso congiunto di #CybersecurityAdvisory (CSA) per avvisare sugli attacchi di ransomware di Rhysida. Questo avviso fa parte dell'iniziativa #StopRansomware, che fornisce informazioni sulle tattiche, tecniche e procedure (#TTPs) e gli indicatori di compromissione (#IOCs) associati ai gruppi di ransomware. Il gruppo di ransomware Rhysida è operativo dal maggio 2023. Secondo il sito di leak Tor del gruppo, almeno 62 aziende sono cadute vittime delle loro operazioni. Il gruppo ha preso di mira organizzazioni di vari settori, tra cui istruzione, sanità, produzione, tecnologia dell'informazione e governo. Le vittime del gruppo sono classificate come "obiettivi di opportunità". L'avviso congiunto afferma che "Gli attori delle minacce che sfruttano il #RhysidaRansomware sono noti per impattare su 'obiettivi di opportunità', inclusi le vittime nei settori dell'istruzione, della sanità, della produzione, della tecnologia dell'informazione e del governo. La reportistica open source dettaglia somiglianze tra l'attività di #ViceSociety (DEV-0832) e gli attori osservati nel dispiegare il ransomware Rhysida". Inoltre, è stato notato che gli attori di Rhysida operano in un modello di #RansomwareAsAService (RaaS), noleggiando strumenti di ransomware e infrastrutture in un accordo di condivisione dei profitti. I riscatti pagati vengono quindi divisi tra il gruppo e i suoi affiliati. Gli attori di Rhysida sfruttano servizi remoti esposti esternamente come #VPN e #RDP per ottenere l'accesso iniziale alla rete target e garantire la persistenza. Hanno utilizzato credenziali compromesse per autenticarsi ai punti di accesso VPN interni. L'avviso nota anche che gli attori delle minacce hanno sfruttato #Zerologon (#CVE-2020-1472) nel Protocollo Netlogon Remote di Microsoft nei loro tentativi di phishing. Si affidano anche a tecniche di #LivingOffTheLand, utilizzando strumenti di amministrazione di rete integrati per eseguire operazioni malevole.

News
Visite: 7955

I ricercatori di Fortiguard Labs hanno scoperto un nuovo #infostealer chiamato #ExelaStealer. Questo #malware è comparso per la prima volta ad agosto e include una varietà di capacità di furto di dati, che vanno dal furto di dati sensibili come password, dettagli delle carte di credito, cookie e dati di sessione fino ai registri delle tastiere, da sistemi #Windows.

Secondo Fortiguard Labs, #ExelaStealer è scritto in linguaggio #Python ed è pubblicizzato su forum di #hacker e canali #Telegram. È disponibile in due varianti diverse: una è open source, mentre l'altra è una versione a pagamento. I ricercatori affermano che gli operatori offrono gratuitamente il codice sorgente del #malware. Chiunque abbia le competenze necessarie potrebbe creare un eseguibile di #ExelaStealer utilizzando il codice liberamente disponibile.

Gli #Infostealer sono generalmente #malware di basso costo che li rende strumenti perfetti per il furto di dati da parte di hacker meno esperti. Grazie alla loro vasta gamma di capacità, si è verificata una proliferazione di minacce di questo tipo nel panorama cibernetico. #Cybercriminali con sede in Vietnam sono stati individuati nell'uso di #Ducktail #infostealer, insieme al #malware #DarkGate, per mirare a organizzazioni nel Regno Unito, negli Stati Uniti e in India. Gli attori delle minacce dietro #LummaStealer sono stati trovati a utilizzare server #Discord come canale per distribuire il #malware a più persone. È stato osservato un #malware per il furto di informazioni chiamato #MetaStealer, che ha preso di mira sistemi #macOS.

In conclusione la scoperta di un altro nuovo #infostealer indica che c'è ancora spazio per nuovi attori delle minacce emergere e guadagnare popolarità. Inoltre, gli #infostealer forniscono l'opportunità agli aggressori di utilizzare i dati rubati per ricatti, spionaggio o riscatti. 

News
Visite: 7983

Gli esperti di fileless#cybersecurityfileless hanno recentemente lanciato un allarme riguardante un aumento significativo delle truffe e dei messaggi spam che sfruttano la funzionalità "Release scores" dei quiz di fileless#GoogleForms per inviare #e-mail ingannevoli. Queste truffe, particolarmente sofisticate, mirano a convincere le vittime a investire in fileless#criptovalute o a condividere i propri dati personali.

La società di sicurezza informatica fileless#CiscoTalos ha identificato che i truffatori utilizzano fileless#GoogleForms per creare quiz fasulli, completando questi formulari utilizzando l'email di ignare vittime. Dopo la sottomissione, i truffatori possono visualizzare le risposte e attivare la funzionalità "Release scores" su Google Forms. Ciò consente loro di inviare messaggi e-mail personalizzati, usando l'indirizzo dell'account Google, aumentando potenzialmente la probabilità che l'email raggiunga la casella di posta della vittima, dal momento che le email provengono dai server di Google.

In una di queste campagne, l'email sembrava provenire con l'intestazione dell'oggetto “Score released: Balance 1.3320 BTC”. Cliccando sul pulsante “Visualizza”, gli utenti venivano reindirizzati alla falsa risposta del modulo #Google che chiedeva di confermare il proprio indirizzo email. Successivamente, venivano indirizzati verso un link esterno che li sollecitava ad attivare i loro account contenenti fileless#Bitcoin del valore di oltre $46.000. Per rendere il tutto più convincente, le vittime venivano assistite tramite una sessione di chat dal vivo per compilare i loro nomi ed indirizzi email. Nella fase finale, alle vittime veniva chiesto di pagare una tassa di cambio dello '0,25%' o $64, scansionando un codice QR per reclamare l'importo.

Questa ultima truffa arriva pochi giorni dopo che fileless#Google ha avvertito che gli attori delle minacce stavano sfruttando il suo servizio di Calendario per ospitare infrastrutture fileless#C2. Questo sfruttamento veniva effettuato tramite uno strumento chiamato fileless#GoogleCalendarRAT, pubblicato per la prima volta su fileless#GitHub a giugno. Lo strumento permetteva agli aggressori di sfruttare le descrizioni degli eventi in Google Calendar per creare un canale nascosto.

La pianificazione meticolosa coinvolta nell'esecuzione di questo attacco evidenzia fino a che punto i criminali informatici possano spingersi per sfruttare le informazioni personali degli individui ed estrarre anche una modesta somma di denaro. Mentre questo tipo di truffe continua a emergere di tanto in tanto, è fondamentale che le organizzazioni rimangano aggiornate sugli Indicatori di Compromissione (fileless#IoC) e blocchino gli indicatori dannosi.

News
Visite: 7898

Il recente conflitto tra Israele e Hamas ha visto una nuova escalation con l'intervento di diversi gruppi hacker, che si sono uniti alla lotta in seguito all'attacco lanciato dal gruppo militante palestinese durante il fine settimana.

#Hamas ha lanciato un attacco senza precedenti su Israele dalla Striscia di Gaza, sparando migliaia di razzi e inviando i suoi combattenti nella parte meridionale del Paese. In risposta, Israele ha dichiarato guerra a Hamas, iniziando a replicare. Centinaia sono morti e migliaia sono rimasti feriti da entrambe le parti a causa di questo conflitto.

Oltre agli attori statali che probabilmente hanno intensificato le loro attività cyber in segreto, noti gruppi di hacktivist che sostengono entrambe le fazioni hanno intensificato i loro attacchi informatici.

Secondo una cronologia stilata dal consulente di cybersecurity e appassionato di OSINT, Julian Botham, i primi attacchi hacktivistici sono stati lanciati contro Israele da #AnonymousSudan meno di un'ora dopo che i primi razzi sono stati sparati da Hamas. Il gruppo ha preso di mira i sistemi di allarme d'emergenza, affermando di aver disattivato le applicazioni di allerta in Israele.

Anche il #JerusalemPost, il principale quotidiano in lingua inglese in Israele, è stato preso di mira da Anonymous Sudan.

Un gruppo pro-Hamas chiamato #CyberAv3ngers ha attaccato l'Israel Independent System Operator (#Noga), un'organizzazione della rete elettrica, affermando di aver compromesso la sua rete e chiuso il suo sito web. Hanno anche preso di mira l'#IsraelElectricCorporation, il principale fornitore di energia elettrica in Israele e nei territori palestinesi, così come una centrale elettrica.

Il noto gruppo pro-russo #Killnet ha lanciato attacchi contro i siti web del governo israeliano.

Un gruppo di hacker palestinesi chiamato #GhostsOfPalestine ha invitato hacker di tutto il mondo ad attaccare le infrastrutture private e pubbliche in Israele e negli Stati Uniti. Un gruppo chiamato #LibyanGhosts ha iniziato a vandalizzare piccoli siti web israeliani in supporto a Hamas.

Nella maggior parte dei casi, questi hacktivist hanno utilizzato attacchi di tipo #DDoS per causare interruzioni. Alcuni di loro hanno affermato di aver causato notevoli danni ai loro obiettivi, ma non è raro che gli hacktivist esagerino le loro affermazioni. Ad esempio, le rivendicazioni di hacker collegati all'Iran e altri che affermano di aver lanciato un cyberattacco al sistema di difesa aerea #IronDome di Israele sono probabilmente esagerate.

D'altra parte, gruppi come Killnet e Anonymous Sudan, entrambi legati alla Russia, sono noti per aver lanciato attacchi altamente disruptivi. In passato hanno preso di mira importanti aziende come #Microsoft, #X (precedentemente Twitter) e #Telegram con massicci attacchi DDoS.

Dall'altro lato, un gruppo pro-Israele chiamato #ThreatSec sostiene di aver compromesso l'infrastruttura dell'ISP di Gaza, #AlfaNet.

Hacktivist presuntamente operanti dall'India hanno attaccato siti web governativi palestinesi, rendendoli inaccessibili.

Un gruppo chiamato #Garuna ha annunciato il suo sostegno a Israele, mentre #TeamHDP ha preso di mira i siti web di Hamas e dell'#IslamicUniversityOfGaza.

Nel rapporto pubblicato la scorsa settimana, #Microsoft ha rivelato di aver riscontrato un'onda di attività da un gruppo di minacce con base a Gaza chiamato #Storm-1133, rivolto verso organizzazioni israeliane nei settori della difesa, energia e telecomunicazioni all'inizio del 2023. Microsoft crede che il gruppo "lavori per promuovere gli interessi di Hamas".

  1. Raas: quando il riciclaggio diventa un tallone d'Achille
  2. Con Google v8CTF si possono guadagnare sino a 180.000€
  3. L'ombra del cyberspionaggio cinese
  4. Il Grande Firewall Cinese diventa ancora più potente

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.