#BlueNorOff, anche conosciuto come #APT38, #StardustChollima, #BeagleBoyz e #NickelGladstone, è un gruppo finanziariamente motivato responsabile dei trasferimenti illegali di denaro attraverso la falsificazione di ordini da #SWIFT. Questo gruppo è ritenuto essere una unità del più famoso #LazarusGroup, quindi si ritiene essere sponsorizzato dalla Corea del Nord.

Secondo un rapporto del 2020 dell'esercito degli Stati Uniti, BlueNorOff ha circa 1.700 membri che compiono #cybercriminalità finanziaria concentrando l'attenzione sull'analisi a lungo termine e sfruttando le #vulnerabilità della rete nemica e dei sistemi per il guadagno finanziario per il regime o per prendere il controllo del sistema. #BlueNorOff mira alle istituzioni finanziarie e alle borse di #criptovaluta, inclusi oltre 16 organizzazioni in almeno 13 paesi tra il 2014 e il 2021, tra cui Bangladesh, India, Messico, Pakistan, Filippine, Corea del Sud, Taiwan, Turchia, Cile e Vietnam. Si ritiene che i ricavi siano destinati allo sviluppo di tecnologie missilistiche e nucleari.

L'attacco più famoso di BlueNorOff è stato la rapina alla Banca centrale del Bangladesh del 2016, in cui hanno cercato di utilizzare la rete SWIFT per trasferire illegalmente quasi 1 miliardo di dollari dall'account della Federal Reserve Bank di New York appartenente alla Banca centrale del Bangladesh. Dopo che diverse transazioni sono state effettuate (20 milioni di dollari tracciati in Sri Lanka e 81 milioni di dollari nelle Filippine), la Federal Reserve Bank di New York ha bloccato le rimanenti transazioni, a causa dei sospetti sollevati da un errore di ortografia.

Il #malware associato a BlueNorOff include #DarkComet, #Mimikatz, #NESTEGG, #MACKTRUCK, #WANNACRY, #WHITEOUT, #QUICKCAFE, #RAWHIDE, #SMOOTHRIDE, #TightVNC, #SORRYBRUTE, #KEYLIME, #SNAPSHOT, #MAPMAKER, #sysmon, #BOOTWRECK, #CLEANTOAD, #CLOSESHAVE, #DYEPACK, #Hermes, #woPence, #ELECTRICFISH, #PowerRatankba, #PowerSpritz.

Le tattiche comunemente utilizzate da BlueNorOff includono il #phishing, utilizzo di #backdoor, il #drive-by compromise,  #wateringhole, lo sfruttamento di versioni obsolete e insicure di Apache Struts 2 per eseguire il codice su un sistema. 

#LazarusGroup è un gruppo di #cybercrime gestito dal governo della #CoreadelNord. Anche se non si sa molto del #LazarusGroup, molti attacchi #cyber sono stati attribuiti a loro tra il 2010 e il 2021. Originariamente un gruppo criminale, il gruppo è stato ora designato come una minaccia persistente avanzata, #APT, a causa della natura, minaccia e ampia gamma di metodi utilizzati durante l'operazione. I nomi dati dalle organizzazioni di #sicurezza includono #HiddenCobra (usato dal Dipartimento della Sicurezza Interna degli Stati Uniti per fare riferimento alle attività #cyber del governo nordcoreano) e #Zinc (da Microsoft). Ha forti legami con la Corea del Nord. L'#FBI afferma che #LazarusGroup è un'organizzazione di #hacking sponsorizzata dallo stato nordcoreano. Secondo il disertore nordcoreano Kim Kuk-song, l'unità è conosciuta internamente in Corea del Nord come Ufficio di collegamento 414. La Corea del Nord trae beneficio dalle operazioni #cyber poiché può presentare una minaccia asimmetrica con un piccolo gruppo di operatori, specialmente nei confronti della Corea del Sud. La prima attività nota che il gruppo è responsabile è conosciuta come #OperazioneTroy, che si è svolta dal 2009 al 2012. Si trattava di una campagna di #cyber-spionaggio che utilizzava tecniche di attacco #DDoS per prendere di mira il governo sudcoreano a Seul. Sono stati anche responsabili di attacchi nel 2011 e nel 2013. È possibile che fossero dietro anche a un attacco del 2007 contro la Corea del Sud, ma ciò è ancora incerto. Un attacco notevole di cui il gruppo è noto è l'attacco del 2014 contro Sony Pictures. L'attacco a Sony utilizzava tecniche più sofisticate e evidenziava quanto il gruppo fosse diventato avanzato nel tempo. Il #LazarusGroup è stato segnalato per aver rubato 12 milioni di dollari dalla Banco del Austro in Ecuador e 1 milione di dollari dalla Tien Phong Bank del Vietnam nel 2015. Hanno anche preso di mira banche in Polonia e in Messico. Il furto di banca del 2016 includeva un attacco alla Banca del Bangladesh, rubando con successo 81 milioni di dollari ed è stato attribuito al gruppo. Nel 2017, il #LazarusGroup è stato segnalato per aver rubato 60 milioni di dollari dalla Far Eastern International Bank di Taiwan. Sempre nel 2017 sembra che sia stato il responsabile della diffusione di #WannaCry.

Kevin Mitnick è un noto #hacker americano che è stato attivo negli anni '80 e '90. #Mitnick ha iniziato la sua carriera di #hacking all'età di 16 anni, quando ha iniziato a manipolare i sistemi telefonici per ottenere accesso a numerose reti informatiche. In seguito ha cominciato ad utilizzare tecniche di ##per ottenere informazioni e ##e, guadagnando l'accesso ai loro account e ai loro sistemi informatici.
Di seguito sono elencati alcuni dei suoi ##più eclatanti:
#DEC: Nel 1981, quando aveva solo 16 anni, Mitnick riuscì ad entrare nel sistema DEC, una grande azienda di computer dell'epoca, rubando il codice sorgente di uno dei loro sistemi operativi.
#IBM: Nel 1982, Mitnick ottenne l'accesso al sistema IBM della Pacific Bell, la società di telecomunicazioni della California, e da lì riuscì a penetrare nel sistema della stessa IBM, violando i computer di molte altre grandi aziende.
#NSA: Nel 1992 Mitnick riuscì ad accedere ai computer della #NationalSecurityAgency, l'agenzia di spionaggio statunitense, e a copiare documenti classificati.
#SunMicrosystems: Sempre nel 1992, Mitnick rubò il codice sorgente di alcuni prodotti della Sun Microsystems, un'azienda che produceva software e hardware per computer.
#Motorola: Nel 1994 Mitnick riuscì ad entrare nel sistema della Motorola e a copiare il codice sorgente del loro sistema operativo per telefoni cellulari.
#Shimomura: Nel 1995 Mitnick entrò nel sistema del famoso esperto di sicurezza informatica Tsutomu Shimomura e rubò alcuni dei suoi file personali.
Questo ultimo episodio gli fu fatale in quanto Shimomura, estremamente contrariato, aiutò l'#FBI a catturarlo ed arrestarlo.
Infatti proprio nel 1995, Mitnick fu arrestato e incarcerato per cinque anni per una serie di reati informatici. Dopo la sua liberazione nel 2000, Mitnick ha intrapreso una carriera di consulente sulla sicurezza informatica e ha scritto diversi libri sulle sue esperienze di #hacking.
Mitnick è considerato uno dei più famosi hacker della storia dell'informatica e ha avuto un impatto significativo sulle leggi e le politiche di sicurezza informatica negli Stati Uniti. Le sue tecniche di #hacking e social engineering sono state utilizzate come esempio di ciò che le aziende e le organizzazioni devono evitare per garantire la sicurezza dei loro sistemi.

Kevin Mitnick è stato nella top 10 dei #MostWanted dell'FBI per svariati anni.

Una lettura consigliata: L'arte dell'inganno

Autore: Kevin Mitnick

#FancyBear è uno dei nomi con cui è conosciuto un gruppo di #criminaliinformatici russi affiliati al servizio segreto russo #GRU. Il gruppo prende di mira governi, organizzazioni e cittadini russi considerati nemici politici del #Cremlino utilizzando tecniche sofisticate di #hacking e #phishing per rubare informazioni sensibili.

Fancy Bear ha agito con diversi nomi nel corso degli anni, tra cui #APT28, #PawnStorm, #Sofacy #Sednit, #STRONTIUM e #Unità26165. I suoi obiettivi principali sono stati i paesi transcaucasici e i membri della #NATO, violando server di organizzazioni governative e non governative.

Il gruppo ha effettuato una serie di attacchi notevoli, tra cui l'attacco informatico contro il Parlamento federale tedesco, l'attacco contro la rete televisiva francese TV5 Monde, l'attacco contro il Comitato nazionale democratico statunitense, l'attacco contro l'Agenzia mondiale antidoping, l'attacco contro la campagna elettorale di Emmanuel Macron e l'attacco contro il Parlamento norvegese.
Questo gruppo è noto per l'utilizzo di tattiche sofisticate di #phishing, #malware e vulnerabilità #zero-day per violare i sistemi. Nonostante l'attenzione mediatica attirata, il gruppo continua ad essere attivo e rappresenta un pericolo per gli obiettivi che sceglie di attaccare.

#DarkSide è il nome di un gruppo criminale che prende di mira #aziende e #organizzazioni in tutto il mondo. Il gruppo è stato reso noto alla fine del 2020, quando ha iniziato a effettuare attacchi #ransomware su larga scala, bloccando l'accesso ai sistemi delle vittime e chiedendo un #riscatto in criptovaluta per sbloccarli.

#DarkSide è noto per il suo #modusoperandi sofisticato e altamente organizzato. Utilizza infatti tecniche di #hacking avanzate e attacca principalmente aziende di grandi dimensioni in vari settori, come l'#energia, la #logistica e la #sanità. Il gruppo è stato associato anche ad alcuni attacchi di #phishing, in cui inviano email fasulle a vittime selezionate per ottenere credenziali di accesso o installare malware nei loro sistemi.

#DarkSide ha attirato l'attenzione dei media internazionali dopo aver effettuato un attacco ransomware contro la compagnia di carburanti #ColonialPipeline negli Stati Uniti nel maggio 2021. L'attacco ha causato la chiusura del sistema di distribuzione del carburante dell'azienda, provocando problemi di approvvigionamento in diverse parti degli Stati Uniti. Il gruppo ha chiesto un riscatto di 4.2 milioni di dollari in criptovaluta per sbloccare il sistema.

L'origine on è ancora stata confermata con certezza, ma si ritiene che il gruppo sia di origine russa o di lingua russa. E' stato notato che la grammatica e la sintassi utilizzate nelle note di riscatto del gruppo sembrano indicare un madrelingua russo come autore. Inoltre, il gruppo ha evitato di attaccare le organizzazioni che operano in paesi di lingua russa, il che potrebbe indicare che sia basato in Russia o che abbia legami con la criminalità informatica russa. Tuttavia, non ci sono prove definitive sull'origine del gruppo.

#EquationGroup è un gruppo di hacker presumibilmente affiliato alla #NationalSecurityAgency (NSA) degli Stati Uniti, noto per la creazione di malware sofisticati utilizzati per condurre attività di spionaggio informatico. Il gruppo è stato oggetto di attenzione dopo che il gruppo di hacker chiamato #ShadowBrokers ha pubblicato alcuni dei codici sorgente del malware del gruppo nel 2015.

Tra i malware più noti creati da Equation Group c'è #Stuxnet, un worm progettato per attaccare e danneggiare il sistema di centrifughe nucleari iraniano. Il worm ha attaccato i sistemi di controllo delle centrifughe, facendole girare a una velocità molto superiore a quella tollerabile, causando danni fisici al sistema. Si ritiene che Stuxnet sia stato utilizzato dagli Stati Uniti e da Israele come parte di una campagna di sabotaggio contro il programma nucleare iraniano. Da notare che Stuxnet conteneva 5 #zero-day.

Uno degli #exploit più noti creati dal gruppo Equation è l'exploit #EternalBlue, che è stato utilizzato per diffondere il ransomware #WannaCry dal gruppo #Lazarus nel 2017. EternalBlue è stato utilizzato per sfruttare una vulnerabilità nei sistemi operativi Windows per diffondere il malware in tutto il mondo, causando danni a organizzazioni pubbliche e private. 

Un altro #malware creato dal gruppo Equation è #GrayFish, un malware avanzato utilizzato per condurre attività di spionaggio informatico. Il malware è stato progettato per operare in modalità #rootkit, ovvero un tipo di malware che si nasconde nel sistema operativo, rendendosi invisibile alle solite operazioni di scansione e rimozione dei virus.

Equation Group è stato oggetto di dibattito e speculazione, dato che le attività del gruppo non sono state rivelate pubblicamente. Tuttavia, ci sono state numerose ipotesi sulla sua esistenza e le sue attività, e molte fonti indicano che il gruppo è stato coinvolto in attività di spionaggio informatico su vasta scala.

La divulgazione del codice sorgente di Equation Group da parte di Shadow Brokers nel 2015 ha sollevato preoccupazioni sulla sicurezza globale e sulla possibilità che i governi utilizzino malware sofisticati per condurre attività di spionaggio e sabotaggio. Inoltre, la divulgazione ha messo in luce le lacune nella sicurezza del governo degli Stati Uniti e ha portato a una maggiore attenzione sulla necessità di proteggere le infrastrutture critiche dalle minacce informatiche.

 

Dopo avervi parlato in altre pillole di #BlackCat e #LockBit oggi vi parlo di #Conti
Il gruppo criminale dietro al #ransomware Conti"è stato ribattezzato da #CrowdStrike con il nome #WizardSpider. Questo gruppo è conosciuto come uno dei più attivi e viene attribuito anche ai ransomware #Ryuk e #Trikbot.

Un rapporto di maggio 2022 stima che questa gang ha asset valutabili in diversi milioni di dollari e ha un network complesso di team per le diverse versioni di #malware. Wizard Spider ha anche associazioni con altre gang criminali e gestisce tutto il processo di un cyber attacco, dall'infezione iniziale alla chiamata alle vittime per il pagamento. Questo #malware ha attirato l'attenzione dei funzionari governativi in tutto il mondo, inclusa l'Italia.

Il governo degli Stati Uniti ha offerto un premio di $15 milioni per informazioni sulle figure chiave del gruppo. Secondo #Prodaft, Wizard Spider controlla circa 130.000 dispositivi in tutto il mondo tramite il malware #SystemBC.

Questo gruppo ha dichiarato il proprio sostegno alla #Russia prendendo una posizione netta sul conflitto in essere. Alcuni membri della gang, probabilmente contrari a questa posizione, hanno diffuso documenti riservati della loro organizzazione interna e parte del loro arsenale.

A giugno 2022 il gruppo Conti ha chiuso i battenti e il suo sito onion non è più disponibile, ma come spesso accade in quest’ambiente i membri di questa gang sono confluiti in altri gruppi criminali come #Hive, #AvosLocker, #BlackCat e #HelloKitty.

Continuando la pillola della settimana scorsa su #Lockbit è da evidenziare come alla gang dietro questo #ransomware non manchi nè la fantasia nè la volontà di promuovere il proprio brand.

Oltre ad avere creato un vero e proprio logo, cosa non molto frequente nell'ambiente, ha attivato una campagna promozionale che prevede una ricompensa che va dai $500 ai $1000 a tutti coloro che vorranno tatuare il logo Lockbit sul proprio corpo.

Voi penserete che questa sia una cosa da pazzi, e che in pochi avranno aderito alla promozione, invece ha avuto talmente successo che la gang ha dovuto postare sul proprio sito la data di termine promozione fissata all'11 settembre ore 24.00 UTC (stranamente coincidente con l'anniversario dell'attentato alle torri gemelle) in quanto la stessa "li stava rovinando!" (testuali parole)

La gang dietro questo #ransomware è sicuramente la più attiva del 2022, con centinaia di vittime mietute che hanno pagato un riscatto medio di 85.000$, tra le quali troviamo anche Pendragon, un rivenditore di automobili statunitense con oltre 200 punti vendita, al quale è stato richiesto un riscatto di ben 60 milioni di dollari.
#Lockbit è stato osservato per la prima volta nel settembre 2019, conosciuto allora come #ABCD, ma da allora si evoluto per ben tre volte passando per LockBit 2.0 sino ad arrivare a LockBit 3.0
La banda criminale dietro questo pericolosissimo malware si considera il Robin Hood dei criminali in quanto dichiara di non attaccare strutture appartenenti al settore della sanità, scuola o organizzazioni aventi scopi sociali.
A confermare questa volontà nel dicembre del 2022 è stato attaccato l’ospedale #SickKids di Toronto e la gang non solo ha prontamente fornito il decryptor ma ha anche dichiarato di aver espulso l’autore dell’attacco dal proprio programma di affiliazione.
Una caratteristica che accomuna questa gang a tante altre è l’arroganza. A dimostrazione il 25 marzo 2022 un membro di Lockbit ha annunciato su un forum che avrebbe dato 1.000.000$, leggasi un milione di dollari, all’agente dell’FBI in grado di divulgare informazioni su di lui. In pratica ha messo una taglia sulla propria testa.