Di recente è stato scoperto che Golden Chickens, un gruppo di criminali informatici, utilizza attacchi di spear-phishing rivolti a professionisti aziendali su LinkedIn, con offerte di lavoro false. Nel loro attacco, i truffatori inviano un malware fileless chiamato more_eggs in grado di creare una backdoor. La campagna è stata scoperta dai ricercatori di eSentire, che hanno messo in guardia le aziende e i singoli individui.

Che cosa è successo?

Secondo il team di ricerca di eSentire, i criminali informatici inviano e-mail di spear-phishing con un file zip dannoso che utilizza il nome della vittima per una posizione di lavoro elencata sul profilo LinkedIn.

•    Dopo aver aperto l'offerta di lavoro falsa, senza saperlo la vittima avvia l'installazione della backdoor more_eggs,  che apre la porta all’arrivo di ulteriori malware e fornisce l'accesso al sistema.

•    La backdoor è in grado di evadere gli antivirus.

Quattro gruppi criminali - Twisted Spider, Viking Spider, Wizard Spider e Lockbit Gang - hanno annunciato in momenti diversi durante l'estate 2020 che avrebbero lavorato insieme, ma hanno dato pochi altri dettagli in merito.  

In un rapporto di quasi 60 pagine, Jon Dimaggio, un ex dirigente per la National Security Agency (NSA) e ora capo stratega di sicurezza presso la società di intelligence Analyst1, ha indagato se i gruppi avessero effettivamente unito le forze. Mentre documentava le varie tecniche utilizzate, dalla violazione e cross-posting di dati, alle tecniche di condivisione, non ha mai notato alcuna condivisione delle entrate o coordinamento tra i gruppi, dice. 

"Se andate a cercare la definizione di cartello, l'unico tema trainante è l’unione di più organizzazioni che lavorano insieme e condividono i profitti", dice Dimaggio. "Quello che non ho mai visto, nemmeno una volta, è una gang di questo tipo che condivide profitti con un'altra gang. Alla fine, possono definirsi un cartello, ma non penso che lo siano veramente." 

Il server per il linguaggio di scripting è stato compromesso domenica.

Il progetto PHP ha annunciato domenica che gli attaccanti sono stati in grado di ottenere l'accesso al suo server principale Git, caricando due commit dannosi, tra cui una backdoor. La scoperta è avvenuta prima della produzione.

PHP è un linguaggio di scripting open-source molto usato per lo sviluppo web. Può essere incorporato in HTML. I commit sono stati inseriti nel repository php-src, offrendo così agli attaccanti l'opportunità di infettare a catena siti web che utilizzano il codice dannoso credendolo legittimo.

I commit "correggevano un errore di battitura" nel codice sorgente. Sono stati caricati utilizzando i nomi dei manutentori di PHP, Rasmus Lerdorf e Nikita Popov, secondo un messaggio inviato da Popov alla mailing list del progetto domenica. Ha aggiunto che non pensava fosse un semplice caso di furto di credenziali.

Dopo aver recentemente annunciato la fine dell'operazione, l'amministratore del ransomware Ziggy ha affermato di voler restituire i soldi alle vittime.

Sembra che questa sia stata una mossa pianificata, dal momento che la “buona notizia” è stata condivisa poco più di una settimana fa, ma senza dettagli.

Chiusura e poi rimborso

Il ransomware Ziggy è stato chiuso all'inizio di febbraio. In un breve annuncio, l’attore dell'operazione ha affermato che il gruppo è “dispiaciuto” per quello che ha fatto in passato e che "ha deciso di pubblicare tutte le chiavi di decrittazione."

E così è stato il giorno successivo, il 7 febbraio, quando hanno pubblicato un file SQL con 922 chiavi di decrittazione che le vittime possono utilizzare per sbloccare i loro file.

Secondo gli specialisti di sicurezza informatica di Zimperium, l’app non ufficiale sembra uno strumento di aggiornamento del sistema, ma è in realtà un malware Android. Una volta installato su dispositivi tramite download esterno, ruberebbe dati che spaziano dai messaggi SMS, alle informazioni contenute negli appunti. Può addirittura hackerare le telecamere del telefono e i microfoni per spiare utenti ignari.

Zimperium ha pubblicato un post sul blog che avverte gli utenti Android di non installare un’app chiamata "System Update", affermando che è in realtà una forma di malware in grado di rubare moltissime informazioni personali e sensibili dai loro telefoni o tablet. Questo software può essere trovato on-line cercando il nome in questione, e può anche avere un convincente logo Google come icona, ma non si trova sul Play Store.

Quando si parla di “teams” (squadre) è normale pensare in termini di colori. Tifi per i bianco-celesti, i giallo-rossi, i bianco-neri ecc.? 

Nel gioco della sicurezza informatica, si tifa per la Squadra Rossa o Red Team o per la Squadra Blu, Blue Team. Questo post ti aiuterà a capire cosa significa “Red Team” e come questo servizio può aiutare le aziende e le industrie di tutte le dimensioni a identificare e affrontare le minacce informatiche. 

Ci sono una varietà di strategie che aziende grandi e piccole possono adottare per proteggere le loro reti e i loro dati da eventuali attacchi informatici. Una di queste prevede la verifica della solidità di sicurezza in un ambiente aziendale. Per semplificare, è il modo in cui si testa quanto bene un'organizzazione se la caverebbe di fronte a un attacco informatico vero e proprio. 

Ma poiché i punti deboli hanno forme diverse, è necessario disporre di un team di sicurezza focalizzato che pensi come un attaccante e agisca come tale. 

Con il 2021 iniziato da pochi mesi, come si evolverà la situazione della sicurezza informatica per le aziende? Quali saranno i principali focus, rischi e considerazioni di quest’anno per i leader e i professionisti della sicurezza informatica? Ecco un elenco di sette previsioni che interesseranno le aziende e i professionisti della sicurezza informatica:

1. I lavoratori a distanza saranno il bersaglio principale dei criminali informatici per tutto il 2021

Le vittime preferite dei cyber-criminali saranno sempre gli utenti comuni, a cui verranno lanciati attacchi che sfruttano i loro comportamenti e le loro abitudini. Lo abbiamo visto molto chiaramente nel 2020, quando i dipendenti di vari settori sono improvvisamente diventati lavoratori a distanza per rispettare la quarantena, spostando i loro dispositivi a casa. I criminali informatici hanno approfittato di questo cambiamento per lanciare attacchi di phishing, vishing, ransomware, e tutta una serie di altri attacchi che sfruttano le lacune di sicurezza delle aziende, dal momento che molte di esse non erano pronte a sostenere una forza lavoro da remoto in totale sicurezza.

Apple prevedere di iniziare a rafforzare l’App Tracking Transparency dopo il rilascio di iOS 14.5, e tutte le applicazioni che accedono all’iPhone AD identifier (IDFA) dovranno chiedere il permesso dell’utente prima di consentire il tracciamento. 

Secondo un nuovo rapporto del Financial Times, tuttavia, la China Advertising Association (CAA) sta testando uno strumento che potrebbe essere utilizzato per aggirare le nuove regole sulla privacy di Apple e consentire alle aziende di continuare a monitorare gli utenti senza il loro consenso. 

Il nuovo metodo di monitoraggio degli utenti si chiama CAID, ed è in fase di testing da parte di aziende tecnologiche e inserzionisti in Cina. Secondo il rapporto, il proprietario di Tiktok, Bytedance, ha già fornito ai suoi sviluppatori una guida di 11 pagine, suggerendo che gli inserzionisti "utilizzeranno il CAID come sostituto, se l'IDFA dell'utente non fosse disponibile." 

Tesla, Cloudflare e la società di fitness Equinox sono tra le vittime coinvolte nella violazione di oltre 150,000 telecamere di sicurezza da parte di un gruppo di hacker noto come Advanced Persistent Threat 69420 Arson Cats. Il nome 'Advanced Persistent Threat' ovvero “Minaccia avanzata persistente” fa riferimento alla terminologia che le società di cybersecurity assegnano ai gruppi di hacking sponsorizzati dagli stati. 

Le telecamere compromesse, vendute dalla start-up di sicurezza Verdaka, sono accessibili e gestitibili dai clienti attraverso il web. Verdaka offre una funzione chiamata "People Analytics", che consente ai clienti di eseguire ricerche in base a varie caratteristiche diverse, tra cui genere, colore dell’abbigliamento, e addirittura il volto di una persona. 

Gli attacchi Business E-mail Compromise (BEC) sono sempre stati un duro colpo per la sicurezza informatica di un’azienda. Le tecniche di Social Engineering sono diventate estremamente popolari tra gli hacker, perché portano a campagne di phishing di maggior successo. Tuttavia, sta cominciando a girare un nuovo tipo di attacco ed è necessario parlarne.  

Che cosa sta succedendo?

Rispetto ad una classica truffa BEC, i cybercriminali prendono di mira il bersaglio grande per poter guadagnare fino a sette volte di più.  Gli investitori di Wall Street diventano quindi i target di false richieste di capitale per il pagamento di investimenti contraffatti. 

Alcune statistiche

Il guadagno medio di una normale truffa BEC si aggira attorno ai $72,000, che diventano $809,000 nel caso di fasulle richieste di capitale. Dal luglio 2020, c'è stato un aumento del 333% delle truffe dei finti salari.