Il Dipartimento di Giustizia degli Stati Uniti ha annunciato con orgoglio di aver concluso con successo l'operazione congiunta denominata #Medusa, che ha inflitto un duro colpo al gruppo di origine russa #Turla alle dipendenze del Servizio di Sicurezza Federale della Federazione Russa (#FSB). Questa operazione ha mirato a debellare il gruppo #APT Turla, che per quasi 20 anni ha condotto

#CozyBear, noto anche come #APT29, è un gruppo criminale legato all'intelligence russa. Il gruppo è attivo dal 2008 e si è specializzato in operazioni di #cyberspionaggio e #attacchi avanzati.
E' collegato con #FSB, il servizio di sicurezza federale russa, e #SVR, il

Dall'inizio di quest'anno, i cybercriminali hanno preso di mira le vulnerabilità di #Cacti e #Realtek sui server #Windows e #Linux che possono essere sfruttati. In due attacchi diversi, gli attori minacciosi hanno infettato le vittime con i #malware #ShellBot (aka #PerlBot) e

#APT1 è un gruppo di #cyber-spionaggio attivo in Cina dal 2006, noto per aver compromesso oltre 140 organizzazioni in 20 settori strategici importanti, tra cui quattro delle sette industrie emergenti che la Cina ha identificato come critiche per il suo sviluppo. APT1 è stato identificato come parte del Terzo Dipartimento

#FancyBear è il nome di un gruppo di #hacker considerato responsabile di una serie di #attacchi informatici contro obiettivi governativi, militari, di intelligence e di difesa in tutto il mondo. Si ritiene che il gruppo sia legato ai servizi di #intelligence militari russi ed è stato anche chiamato #APT28 o

C'è un nuovo allarme riguardante alcuni video presenti su #YouTube che potrebbero mettere a rischio i nostri dispositivi. I #cybercriminali utilizzano sempre più spesso questa piattaforma di broadcasting video per diffondere #malware. Gli esperti di #CloudSEK hanno identificato una nuova

#OnionDuke, un #malware rilevato per la prima volta dal #LeviathanSecurityGroup, è stato distribuito attraverso un nodo di uscita di #Tor con sede in #Russia che ha iniettato il malware nei file scaricati dagli utenti. Avvolgendo i file eseguibili legittimi con il malware, gli aggressori erano in grado di

Dopo avervi parlato in altre pillole di #BlackCat e #LockBit oggi vi parlo di #Conti
Il gruppo criminale dietro al #ransomware Conti"è stato ribattezzato da #CrowdStrike con il nome #WizardSpider. Questo gruppo è conosciuto come uno dei più attivi e viene attribuito

Continuando la pillola della settimana scorsa su #Lockbit è da evidenziare come alla gang dietro questo #ransomware non manchi nè la fantasia nè la volontà di promuovere il proprio brand.

Oltre ad avere creato un vero e proprio logo, cosa non molto frequente nell'ambiente, ha attivato una campagna promozionale che prevede

La gang dietro questo #ransomware è sicuramente la più attiva del 2022, con centinaia di vittime mietute che hanno pagato un riscatto medio di 85.000$, tra le quali troviamo anche Pendragon, un rivenditore di automobili statunitense con oltre 200 punti vendita, al quale è stato richiesto un riscatto di ben 60 milioni di

Una caratteristica fondamentale per la sopravvivenza del #malware è la sua capacità di nascondersi ai sistemi di detection.
Per fare questo è fondamentale che la propria firma #hash vari in continuazione, altrimenti sarebbe facilmente identificabile.
Nascono così i malware polimorfici, ovvero una

Il principio del commercio elettronico (e-commerce) non è una novità, e affonda le radici negli anni ’70 ed ’80 con varie forme di “telemarketing”. Ma è ovviamente il World Wide Web negli anni ’90 del secolo scorso a forgiarne la formula che tutti noi oggi conosciamo. 

Oggi compriamo tutto online, ma forse non tutti ricordano che

Le campagne basate su email e veicolanti un malware occultato in un allegato coerente con il messaggio sono la consuetudine; ci si aspetta anche che l’allegato sia un documento Office (Word o Excel), visto che quasi la metà degli attacchi in questa prima parte del 2022 ha preso questa forma. Niente di più sorprendente dunque quello di rivedere un attacco in natura basato

Abbiamo già sfatato il mito degli 0-day come minaccia fondamentale per la sicurezza del mondo IT. 

Fino a che aziende e organizzazioni trascureranno di tenere il passo delle versioni software prodotte dai vendor, fino a quando continueranno a omettere aggiornamenti di sicurezza importanti, allora nessun agente di minaccia sarà mai costretto a cercare (disperdendo

In molti nostri articoli ci siamo concentrati sulla cronaca di allarmi per minacce 0-day, già visti in natura o “scampati per un pelo”. 

Non passa infatti molto tempo che una nuova minaccia, una nuova campagna, una nuova vulnerabilità da sanare vengano individuate da vendor e ricercatori: diciamo è

Nella pillola precedente vi avevo parlato delle tecniche antidebugging utilizzate dai malware e vi avevo parlato dell'utilizzo della primitiva CreateToolhelp32Snapshot per ricercare un processo.
Oggi vi mostro una routine scritta in C per dimostrarvi come si può fare.
Ho commentato il codice per renderlo più leggibile....

Continuo il discorso della pillola precedente sulle tecniche di #antidebugging utilizzate dai #malware.
La volta scorsa vi ho parlato del campo #BeingDebugged all'interno della #PEB, oggi vi parlerò di un'altra tecnica.
Oltre a controllare questo campo nella PEB, i malware utilizzano la tecnica della scansione dei processi in memoria per identificare un #debugger in

La  #malwareAnalysis prevede lo studio del #malware e dei suoi comportamenti.
Questo può essere fatto in modalità statica (senza eseguire il malware) o dinamica (eseguendo il malware in ambiente controllato).
L'analisi dinamica avanzata prevede di eseguire un malware all'interno di un

Le Yara Rules sono un vero e proprio linguaggio, ideato da Victor Alvarez di #VirusTotal per identificare un malware.
Prima della sua nascita i #malwareAnalyst non avevano una struttura sintattica rinosciuta per descrivere un malware, quindi ognuno lo descriveva a modo suo ;-)
Ogni regola è suddivisa in tre