Pillole
Visite: 4378

Di attacchi di falsificazione ne esistono fin troppi per una trattazione generalizzata; prendiamone dunque in considerazione uno: l'ARP Poisoning (o spoofing).

Questa tecnica viene utilizzata per ridirigere "fisicamente" il traffico in essere tra due peer operanti in un medesimo dominio di broadcast attraverso un "terzo incomodo"; questa è parte dell'arsenale sia dei Red Team che dei Blue Team: per i primi con finalità di strumentare un attacco MiM, per i secondi con l'intento di eseguire una analisi (sniffing) di traffico non altrimenti intercettabile per difetto di predisposizione dell'infrastruttura (assenza di TAP o SPAN).

Contrastare con tecniche "attive" questa tipologia di attacco dovrebbe presupporre una analisi di tutto il traffico ARP comparandolo con un censimento di MAC noti e autorizzati. Un bel problema, anche per apparati di analisi dedicati come gli IDS (che potrebbe solo generare un laconico quanto allarmante avviso, con una quantità delle regole necessaria a dir poco spropositata). Firewall e IPS sono anche questi fuori gioco in quanto questo tipo di attacco si pone nel medesimo dominio di broadcast, che è spezzato da questi per loro natura.

In generale ci si affida così maggiormente a difese "passive" come il port-security (denominazione di Cisco) degli switch che impedisce a MAC non censiti di attestarsi sulla rete, oppure alle tabelle ARP statiche.

Purtroppo però impersonare una postazione autorizzata mediante una altro apparato fisico è ancora possibile (cambiando il MAC della scheda). Dunque l'accesso fisico alla rete da parte di un agente di minaccia (con rogue devices) resta ancora un problema enorme e difficile da difendere.

Verificare la predisposizione di una rete a questo tipo di attacco è comunque un dovere per indicare almeno se sia stato garantito almeno il profilo massimo di difesa possibile.

Pillole
Visite: 4222

Una recente ricerca riporta che i gruppi criminali dietri i principali attacchi ransomware hanno modificato la tecnica utilizzata per l'accesso iniziale alle reti vittime.
In pratica al posto di utilizzare il phishing oppure lo sfruttamento di una vulnerabilità, hanno iniziato a comprare gli accessi venduti da Initial Access Brocker ovvero altri gruppi criminali specializzati nell'initial foothold. Il prezzo pagato è generalmente una fetta del bottino.
Questi intial access broker sono estremamente specializzati e riescono ad infiltrarsi nelle infrastrutture delle vittime tramite malware come The Trick, Drides, Qbot, BasarLoader o IceId.
Naturalmente questo conferma come i gruppi criminali stiano sempre più lavorando in partnership sviluppando competenze estremamente specifiche la cui interazione porta poi agli attacchi che conosciamo come quelli a Colonial Pipeline, JBS o CNA Hardy

Pillole
Visite: 4065

Il Ransomware è il malware che si è maggiormente evoluto nel tempo. Partendo da un software in grado di criptare file su disco e di richiedere un riscatto per l’ottenimento delle chiavi di decrittazione è diventato una minaccia sempre più pericolosa.

Il gruppo criminale dietro il ransomware Clop è stato il primo a portare l’estorsione ad un livello superiore. Questo gruppo infatti, prima di criptare i file li esfiltrano presso il proprio C2, minacciando così la vittima di divulgarli sul web.

Questo naturalmente aggiunge pressione alla vittima che, anche se avesse custodito diligentemente i backup dei file criptati vedrebbe divulgate su internet informazioni riservate.

Nella loro continua evoluzione i Ransomware hanno inserito un altro livello di estorsione, infatti gli autori del Ransomware Avaddon, per la prima volta hanno minacciato colpire la vittima con un micidiale attacco DDos se non avesse pagato il riscatto.

E siamo così arrivati al terzo livello.

Il quarto è stato raggiunto nuovamente dal gruppo Clop che oltre a criptare i file, minacciare di diffonderli in rete e attaccare la vittima con un micidiale DDos, invia email a tutti i clienti del malcapitato informandoli di avere informazioni confidenziali sul loro conto che verranno diffuse qualora la vittima non dovesse pagare il riscatto.

Potete immaginare la pressione esercitata sulla vittima in seguito ad un’azione di questo tipo.

Il modello estorsivo è continuamente in evoluzione al punto che alcuni gruppi, se si accorgono di aver in mano segreti industriali, provano a venderli ai competitor, inviandogli un’email con un saggio delle informazioni che verrebbero ad avere se dovessero accettare.

Immaginate se un Ransomware colpisse la Ferrari ed inviasse di dati sulla nuovissima e rivoluzionaria macchina ai loro competitor!

Questa minaccia è talmente temuta che il mese scorso, dopo l'attacco a Colonial Pipeline, il Presidente degli Stati Uniti ha dichiarato che la minaccia Ransomware verrà trattata alla stregua della minaccia terroristica creando così una task force ad hoc per il suo contrasto.

Pillole
Visite: 4766
A quanto pare il gruppo dietro il famosissimo Ransomware Avaddon ha chiuso i battenti.
Questa notizia viene confermata dal fatto tutti i loro siti TOR sono diventati inaccessibili e che Bleeping Computers ha ricevuto una email anonima con tutte le chiavi di decrittazione perfettamente elencate per vittima del ransomware in questione.
Non si capisce il motivo di questa uscita frettolosa dalla scena, i loro colleghi di Grand Crab fecero qualcosa di molto più eclatante, ma pare che possa essere dovuta alla crescente pressione messa dal governo americano nel confronto di questo tipo di criminali.
Come sapete, infatti, dopo l'attacco a Colonial Pipeline, il direttore dell'FBI Christopher A. Wray ha dichiarato che gli attacchi ransomware rappresentano per gli Stati Uniti d'America il nuovo 9/11, dichiarando così che verranno aumentate considerevolmente le risorse economiche impegate per contrastare questa minaccia.
Come vi ho già raccontato in un'altra pillola, il gruppo dietro Avaddon è stato il primo a minacciare le vittime di attacchi Ddos se non avessero pagato il riscatto, naturalmente oltre alla pubblicazione on line di tutti i dati sottratti. Con loro quindi si è alzato il livello di estorsione da "double extorsion" a "triple extorsion":

  1. Non ti do le chiavi di decrittazione
  2. Pubblico tutti i tuoi dati sensibili on line
  3. Ti becchi pure un bell'attacco Ddos!
  1. Come un malware può Killare un antivirus.
  2. Pillole di Pentration Testing: Nmap e le porte "wrapped"
  3. Top Ten Owasp: Cross Site Scripting
  4. Top Ten Owasp: Security Misconfiguration

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta