Il processo di Penetration Testing sappiamo essere di natura ciclica.

Questo però non implica solamente il poter ripetere (a diversi gradi di approfondimento) le fasi in cui è suddiviso.
Il naturale andamento delle ricerche e lo sviluppo conseguente degli strumenti tecnici per la realizzazione di queste, sono stati fortemente influenzati da questa "forma ciclica".

Molte fonti di ricerca, che siano strumentali o basate su database pubblici possono infatti presentarsi contemporaneamente in differenti fasi di indagine, e questo per differenti ragioni.

Il motivo può risiedere nella contiguità delle informazioni nella fase (esempio: dal database whois abbiamo sia dati tecnici che non tecnici sugli obiettivi), nella modalità di ricerca (esempio: utilizzo di fonti aperte che raccolgono informazioni tecniche e non tecniche), nel posizionamento della ricerca (Internet-face o Intranet), nell'evoluzione dello strumento tecnico (che si spinge oltre gli obiettivi iniziali).

In particolare l'adozione di una tattica di ricerca "passiva" per la ricognizione, una tattica che escluda dunque un "contatto diretto" con l'obiettivo, presuppone naturalmente l'utilizzo di fonti aperte.

Questa tattica è solamente dal nostro punto di vista: gli strumenti online (le fonti aperte) possono naturalmente indagare solo in modo "attivo", contattando direttamente l'obiettivo, raccogliere informazioni e ripubblicarle a favore di chi esegue una ricarca.

Nel far questo, questi strumenti spesso non si accontentano di individuare nomi ed email (esempio tipico di informazione non tecnica) dalle pagine del sito ufficiale di una azienda, ma cercano di rilevare anche le informazioni tecniche tipiche della tattica di scansione attiva denominata "banner grabbing".

Non contenti, alcuni di questi motori si spingono anche oltre, rilevando eventuali vulnerabilità (per quanto rilevabile "esternamente). E' il caso di verifica rispetto alla debolezza di protocollo (es. cipher suite del TLS), o di vulnerabilità proprie censite con CVE specifico.

Quindi, in special modo nella postura Internet-face, le fonti aperte possono essere utili in più fasi, e dunque strumenti come Google, Netcraft, Shodan si affacciano all'uso in differenti momenti della nostra indagine, e questo dunque non è poi così "strano".

Il gruppo che diffonde il ransomware Rangarok, secondo quanto riportato da Bleeping Computers, ha rilasciato il decrypter universale per sbloccare i file colpiti dal loro malware.
Nel leak site utilizzato da Ragnarok sono comparse come per magia le chiavi di decrittazione per ogni vittima.
Questo tipo di azione non è nuova, infatti in quest'anno hanno fatto lo stesso i gruppi che diffondono Ziggy, Conti, Avaddon e SynAck ransomware.
Ma la vera domanda è perchè questi gruppi criminali rilasciano volontariamente le chiavi crittografiche?
Pare che il motivo principale sia dovuto alla pressione esercitata dalle forze dell'ordine che li mette in condizione di chiudere tutte le operazioni correnti. Naturalmente questo non vuol dire che il gruppo smetta di operare, anzi, spesso in queste situazioni cambiano infrastruttura e TTPs e si ripresentano sul mercato come un nuovo attore.

In realtà potrebbe essere difficile risonoscere la funzione hash che genera la sequenza di cifre che stiamo osservando; un primo approccio potrebbe essere osservare la lunghezza (in bit) del valore complessivo: funzioni hash differenti infatti sono costruite per produrre chiavi di lunghezza definita di bit che sono tra loro (a volte) differenti ed identitarie.

Es. MD5 produce una stringa di 128 bit, SHA-1 produce una stringa 160 bit

Ovviamente per queste cose non si può andare per approssimazioni, in quanto determinare la giusta funzione da adoperare è strumentale alla correttezza del messaggio (o altra informazione) che si sta vagliando rispetto alla chiave hash. Per non parlare di quando questo deve essere applicato alle tecniche orientate a forzare la crittografia (ad esempio per trovare la versione in chiaro di password).

Una soluzione automatica, molto diffusa, nasce in costesto POSIX, e segnatamente dalla definizione della funzione C crypt (vedi https://en.wikipedia.org/wiki/Crypt_(C) )

Questa funzione ha definito un formato per indicare la funzione hash e il sale utilizzato da questa quando produce una chiave destinata ad essere trascritta (tipicamente) in un file.
Altri ambienti e altre occasioni di persistenza di chiavi hash in file di testo (o altro) hanno introdotto analoghi formati (vedi formati LM e NT di Windows).

Dunque se vogliamo avere subito una risposta alla nostra domanda iniziale, invece di studiare tutte le tecniche, possiamo utilizzare un comando, hashid (https://psypanda.github.io/hashID/), disponibile su una distribuzione come Kali Linux che risolve per noi questo compito.
Un ulteriore vantaggio di questo software è la possibilità di ottenere in output anche le opzioni che dovremo utilizzare in programmi di crack come hashcat e john per forzare il riconoscimento del formato.

Lemonduck fu avvistato per la prima volta nel 2019 dal team di Guardcore ed identificato come un criptominer che utilizzava come vettore di infezione le campagne di phishing e in grado di disabilitare i software di sicurezza, diffondersi in rete ed installare un miner di Monero.
Il gruppo dietro Lemonduck è riuscito però in poco tempo a far evolvere il proprio malware in una vera e propria botnet che oggi è in grado di attaccare sia sistemi Microsoft che Linux.
Una cosa interessante da notare è che una volta infettato un sistema, non solo disabilita i software di sicurezza ma va anche alla ricerca di infezioni da parte di altri "competitor" e li rimuove!
In pratica fa da antivirus!
Un'altra particolarità è che recentemente ha raggiunto la capacità di eseguire attacchi "hands on keyboard" ovvero attacchi non con strumenti automatizzati ma con esperti hacker che lanciano i comandi a mano.