Archive

Buona domenica e ben ritrovato caro cyber User.

Oggi parliamo di una tranquilla giornata di novembre quando i datacenter di SAP a Walldorf, nel sud-ovest della Germania, furono scossi da un furto che avrebbe avuto conseguenze significative. Quattro dischi SSD scomparvero misteriosamente, facendo emergere gravi preoccupazioni sulla sicurezza dei dati e sulla protezione delle informazioni personali all'interno dell'azienda specializzata nel software di gestione delle risorse aziendali (ERP).

L'incidente fu un duro colpo per SAP, che in quel periodo stava cercando di consolidare il proprio successo nel campo del cloud computing e del software come servizio, sia attraverso i propri servizi cloud che attraverso fornitori terzi. La scoperta, in seguito, di uno dei dischi rubati su eBay, acquistato da un dipendente SAP, rese l'accaduto ancora più imbarazzante per l'azienda.

L'acquirente fortunato del disco riuscì a identificarlo come un prodotto SAP e a determinare che conteneva informazioni personali di almeno un centinaio di dipendenti SAP. Tuttavia, in risposta alle preoccupazioni espresse dalla stampa, una portavoce di SAP dichiara che non era stata ancora trovata alcuna informazione di identificazione personale (PII) all'interno dei dischi. L'azienda continua con gli sforzi per rassicurare il pubblico sostenendo che la protezione dei dati dei clienti era una delle loro priorità assolute.

Buona domenica e ben ritrovato caro cyber User. Scrivo oggi per condividere con voi gli ultimi sviluppi riguardanti le recenti rivelazioni sulla polizia israeliana e l'utilizzo di un nuovo spyware chiamato Echo. Dopo il clamoroso scandalo internazionale che ha coinvolto CitizenLab, Amnesty International e il gruppo NSO con il loro spyware Pegasus, sembra che in Israele si stia verificando un'ondata di smantellamento e nuove indagini.

Lo scorso anno, il Ministero della Giustizia israeliano ha avviato un'indagine sulla polizia israeliana per il suo utilizzo di Pegasus in incidenti che coinvolgevano attivisti, uomini d'affari, giornalisti e politici. Questo ha sollevato preoccupazioni riguardo alla violazione della privacy e all'abuso di potere da parte delle forze dell'ordine.

Ora, un nuovo caso sta emergendo un anno e mezzo dopo. È stato scoperto che un'altra società israeliana chiamata Rayzone, specializzata in cyber intelligence, ha sviluppato un nuovo spyware chiamato Echo, che è stato trovato nell'arsenale della polizia israeliana. Tuttavia, ciò che rende questo caso ancora più inquietante è il fatto che la polizia israeliana ha acquisito Echo senza l'approvazione dell'ufficio del procuratore generale israeliano, aggirando le raccomandazioni del Ministero della Giustizia. Questo solleva gravi questioni legali e di privacy.

L'Echo ha una funzionalità di raccolta e analisi dei dati sulla posizione dell'utente, che consente di monitorare con precisione i percorsi di movimento delle vittime, individuando i luoghi più visitati e tenendo traccia delle applicazioni installate sui loro dispositivi mobili. Tuttavia, mentre per tracciare la posizione degli abbonati tramite operatori di servizi speciali e forze dell'ordine è necessaria un'autorizzazione giudiziaria, Echo sembra ottenere queste informazioni attraverso altri mezzi, consentendo l'esecuzione di attività simili senza alcuna approvazione.

Buona domenica e ben ritrovato caro cyber User. Alcune settimane di pausa, ma l'attività cyber di InsicurezzaDigitale e quindi anche di NINAsec, resta incensante e la pausa è solo "apparente". E' servita per far uscire, lunedì scorso, il primo report quadrimestrale del progetto DRM (Dashboard Ransomware Monitor). Un report sullo stato del ransomware a livello globale e con un focus sull'Italia; disponibile online in doppia lingua, direttamente sul sito della piattaforma di monitoraggio. Inoltre stanno arrivando grandi contributi alla piattaforma, che la stanno migliorando con importanti novità, sia stilistiche che di backend.

FBI si concentra su BianLian

FBI, CISA e ACSC stanno avvertendo le organizzazioni di infrastrutture critiche degli attacchi ransomware BianLian. Dal giugno 2022, la banda ha utilizzato le credenziali del protocollo desktop remoto (RDP) dei broker di accesso iniziale o degli attacchi di phishing per accedere alle reti delle vittime. CISA, FBI e ACSC affermano che la banda BianLian ha preso di mira le organizzazioni di infrastrutture critiche statunitensi e le società private australiane, inclusa un'organizzazione di infrastrutture critiche, per un anno. A partire da gennaio 2023, l'organizzazione si è concentrata sull'esfiltrazione di dati piuttosto che sul ransomware.

La cyber gang installa strumenti di gestione e accesso remoti tra cui Atera Agent, AnyDesk, SplashTop e TeamViewer oltre a una backdoor basata su Go specifica per la vittima.

Buona domenica e ben ritrovato caro cyber User. Anche se il mantenimento delle mie attività cyber richiede impegno e fatica, non lo considero un lavoro ma una passione. Nonostante tutto, per domani buon Primo Maggio.

Nel racconto di oggi evidenziamo insieme alcuni dettagli di una curiosa vicenda che è stata portata alla luce dal ricercatore Jon DiMaggio: la storia di come un ragazzo di nemmeno 30 anni, diventa un cyber criminale da gang ransomware. La storia di Bassterlord.

DiMaggio in questo lavoro ha raccolto tanto materiale su Bassterlord, partendo da un punto molto recente, il suo annuncio lanciato sul forum XSS, per ufficializzare la recente collaborazione con Lockbit (marzo 2023).

Inoltre ha ricostruito dettagli e contenuti instaurando un dialogo con Bassterlord in persona che si concede ad un'intervista. Da questa intervista DiMaggio riesce a carpire dettagli importanti della sua vita e degli eventi che l'hanno scandita, fino a farlo diventare un criminale informatico.

Buon sabato e ben ritrovato caro cyber User. La settimana scorsa mi sono preso una pausa in vista della Pasqua e l'appuntamento settimanale è saltato. Riprendiamo oggi con una interessante storia di spyware statali.

E' stato identificato uno spyware che è stato in grado di penetrare negli iPhone di giornalisti, esponenti dell'opposizione politica e un dipendente di una ONG. I ricercatori di Microsoft e il gruppo per i diritti digitali Citizen Lab hanno analizzato campioni di malware che dicono sia stato creato da QuaDream, un produttore di spyware per la sorveglianza, israeliano che è stato segnalato per sviluppare strumenti di hacking sensibili che non richiedono nemmeno alla vittima di fare clic su collegamenti dannosi - per iPhone.

I clienti di QuaDream gestivano server da vari paesi in tutto il mondo: Bulgaria, Repubblica Ceca, Ungheria, Romania, Ghana, Israele, Messico, Singapore, Emirati Arabi Uniti (UAE) e Uzbekistan, in base ai dati raccolti dal Citizen Lab.

QuaDream è visto come un concorrente di NSO Group e vende una suite di spyware nota come Reign che viene utilizzata per compromettere gli iPhone, ottenere l'accesso ai loro sistemi e rubare dati. Un exploit "zero clic" consente di hackerare il dispositivo di un individuo senza alcuna azione da parte della vittima. Sembra che il software di QuaDream abbia utilizzato inviti del calendario iCloud dannosi e invisibili inviati da un operatore di spyware verso il target atteso. Questi vengono quindi utilizzati per infiltrarsi nel dispositivo e ottenere l'accesso ai dati all'interno.

Buona domenica e ben ritrovato caro cyber User. L'organismo statunitense, preposto per la sicurezza informatica, si muove verso la prevenzione in ambito ransomware, con alert e consigli alle infrastrutture critiche. È consolidata l'idea secondo la quale in USA, gli attacchi ransomware siano un problema decisamente sentito.

In effetti anche dal punto di vista statistico, negli ultimi tre anni, questo paese è quello che subisce più danni da questa tipologia di minaccia cyber.

La US Cybersecurity and Infrastructure Security Agency (CISA) ha annunciato un nuovo progetto pilota, la Pre-Ransomware Notification Initiative, che spera sarà in grado di notificare più vittime possibile prima che l'attacco ransomware avvenga.

L'idea non è dettagliata dal punto di vista tecnico, sul come verranno generati gli avvisi ai titolari dell'infrastruttura in esame, però emerge che si tratta di un sistema implementato per le strutture pubbliche che fanno parte del perimetro che CISA ha costruito. Vale a dire sanità, energia ed istruzione. Anche da una semplice consultazione della nostra Dashboard Ransomware Monitor, è facile individuare questi tre, come i settori maggiormente vessati, non solo in USA ma in generale.

Buon sabato e ben ritrovato caro cyber User. Questo video rappresenta i momenti dell'operazione FBI che ha condotto all'arresto di Pompompurin, noto amministratore del forum Breached, dedito alla pubblicazione e intermediazione di vendita di materiale illecito.

BreachForums è ancora disponibile online, e dalla visualizzazione della live chat sulla home page del sito, è chiaro che gli utenti attivi del forum si sono resi conto solo ora che il loro amministratore - e il database del sito - è ora probabilmente nelle mani dell'FBI.

Il 15 marzo l'FBI ha arrestato il newyorkese Conor Brian Fitzpatrick, sospettato di essere il proprietario del forum criminale Breached, agendo sotto il soprannome di "Pompompurin". BreachForums è considerato la reincarnazione di RaidForums, che è stato chiuso dall'FBI nel 2022.

Buon sabato e ben ritrovato caro cyber User. Oggi colgo l'occasione per divulgare una interessante analisi di Gianluca Tiepolo sulle ultime attività di APT29. In questo momento storico in cui si guarda con allarme gli attacchi provenienti dalla Russia, che spesso ci si sofferma agli strati più superficiali della propaganda cyber (i banali DDoS di Killnet!), osservare i movimenti di gruppi criminali come APT29, è sicuramente guardare in faccia i reali problemi dell'interferenza russa sulla sicurezza delle nostre infrastrutture critiche.

Gli attacchi dalla Russia contro l'Europa

Noto dal 2008, APT29 è un gruppo criminale informatico collegato allo stato russo.

Conosciuto anche tramite diversi nomi (CozyBear, The Dukes, Group 100, CozyDuke, EuroAPT, CozyCar, Cozer, Office Monkey, YTTRIUM, Iron Hemlock, Iron Ritual, Cloaked Ursa, Nobelium, Group G0016, UNC2452, Dark Halo, NobleBarron), è considerato un prodotto del Foreign Intelligence Service (SVR) del governo russo.

Buona domenica e ben ritrovato caro cyber User. Oggi analizziamo dettagli sul modus operandi del nuovo gruppo ransomware Vendetta.

V_IS_Vendetta, oppure?

Apparso pochi giorni fa nella scena del cyber-crime, Vendetta si propone come gruppo ransomware. La sue pagine Web sono all'interno di un sottodominio del sito Web di Cuba, altro gruppo ransomware già da tempo operativo.

Questa settimana il gruppo Vendetta ha rivendicato l'attacco a Highwealth, grande società di costruzioni edili a Taiwan. La rivendicazione ha previsto, esattamente come la precedente società sua vittima (del 12/02/2023), l'esposizione online di quanto rubato con l'attività di intrusione.

The Guardian: un team di azienda supply chain israeliana ha manipolato le elezioni in oltre 30 paesi in tutto il mondo utilizzando l'hacking, il sabotaggio e la disinformazione dei social media e ha violato account Telegram e Gmail.

Come riporta The Guardian, Tal Hanan 50 anni, ex agente delle forze speciali israeliane sotto lo pseudonimo di "Jorge", ha interferito segretamente nelle elezioni in vari paesi del mondo per più di 20 anni.

È stato presumibilmente esposto "accidentalmente" da un consorzio internazionale di giornalisti investigativi che hanno condiviso poi le informazioni con The Guardian. Hanan ha negato, per ora, le accuse.

L'inchiesta supporta il fatto secondo cui, un'unità segreta dell'ex commando chiamata “Team Jorge” abbia utilizzato lo speciale software Advanced Impact Media Solutions per risolvere vari “problemi” dei suoi clienti, in grado di controllare un esercito di migliaia di profili sui social network Twitter, LinkedIn, Facebook, Telegram, Gmail, Instagram e YouTube, oltre ad account Amazon con carte di credito, portafogli Bitcoin e account Airbnb.

Buon sabato e ben ritrovato caro cyber User. Se pensi di aver perso la puntata della settimana scorsa, non è così. NINAsec ha saltato una settimana per via di miei problemi di salute legati ai mali stagionali!

Arrivano le sanzioni a responsabili di Trickbot

Gli Stati Uniti e il Regno Unito hanno ufficialmente sanzionato alcuni dei membri della banda criminale informatica Trickbot. Le autorità governative USA e UK infatti, stanno lavorando in coordinamento per questa operazione già da tempo e gli ultimi aggiornamenti accertano l'identità di nuove 7 persone, sospettate di aver preso parte alla cyber gang.

Alcuni dei nominativi ci suoneranno sicuramente familiari, ho coperto infatti l'anno scorso, tutta l'operazione di doxing che è scaturita dal Conti leak, la fuga di dati subita dal noto gruppo ransomware ad opera di un ricercatore che aveva accesso alle piattaforme criminali, in occasione dello schieramento pro Russia del gruppo Conti sull'invasione dell'Ucraina.

Buona domenica e ben ritrovato caro cyber User. Questa settimana, che NINAsec esce di domenica piuttosto che di sabato, come tradizione, torniamo a parlare di Iran e di ciò che l'incessante guerra interna, sta scatenando. In particolare voglio analizzare un fatto che negli ultimi giorni ha occupato pagine di cronaca: l'Australia che allerta, preoccupata, le proprie organizzazioni per attacchi ransomware guidati dall'Iran. Può essere un pericolo anche per l'Europa e l'Italia. Difficilmente attacchi così politicamente motivati, possono tenere i Paesi non affini, lontani dal pericolo.

Da un'inchiesta parlamentare che indaga sulle recenti violazioni dei diritti umani in Iran, svolta dall'Australia, il cui rapporto non è ancora stato ufficialmente presentato, sembra aver raccolto prove di segnalazioni di sorveglianza e abusi da parte del regime contro australiani-iraniani che si sono espressi contrari alla Repubblica islamica (ad esempio diplomatici iraniani in Australia).

Il tutto inizia con la pressione di Stati Uniti, UE, Gran Bretagna e altri paesi per inserire nella lista nera l'IRGC (Corpo delle Guardie Rivoluzionarie Islamiche) per la brutale repressione dei manifestanti, che ha visto più di 19.000 persone arrestate e oltre 500 uccise. Manifestazioni che vanno avanti dalla morte in custodia cautelare (in carcere) della 22enne Mahsa Amini (Jina Amini) il 16 settembre scorso.

L'Australian Signals Directorate (ASD) in risposta a questa inchiesta tramite i dubbi posti dalla viceministro degli affari esteri Claire Chandler, ha collegato un rapporto di settembre del Joint Cybersecurity Advisory (CSA).

Buon sabato e ben ritrovato caro cyber User. La settimana appena trascorsa, segnata dall'arresto di uno dei più rilevanti boss mafiosi della storia d'Italia, Matteo Messina Denaro, ha generato un importante flame mediato che credo valga la pena analizzare. Le intercettazioni e i trojan (captatori) utilizzati ai fini d'indagine.

Il flame di cui accennavo si è riacceso proprio a seguito di alcune affermazioni fatte dall'attuale ministro della giustizia (governo Meloni 2022) Carlo Nordio già nel mese di dicembre 2022. La sua proposta è di "una revisione" della legge normativa che regolamenta le intercettazioni sia in ambito di quando e come possono essere operate, sia in ambito di loro utilizzo e diffusione a mezzo stampa. Già al tempo queste affermazioni preoccuparono non poco esperti e magistrati, ma da lunedì appena dopo lo storico arresto, il riflettore si è automaticamente rivolto a Nordio con le parole del procuratore capo di Palermo, Maurizio De Lucia che afferma, "senza intercettazioni non si possono fare le indagini di mafia. Sono uno strumento indispensabile e irrinunciabile nel contrasto alla criminalità organizzata e alla mafia". Da li in poi una serie di scuse e correzioni di tiro a livello politico, hanno cercato di mitigare quella che il destino ha confezionato come sventure, per il ministro Nordio.

Questa premessa era doverosa per inquadrare il clima di questa settimana che, anche a livello tecnico, si è fatto sentire sul tema intercettazioni. Tanto che in Senato, questo martedì 17/01 si è svolta una interessante audizione in Commissione Giustizia. Di questa audizione consiglio l'ascolto dell'intervento di Paolo Dal Checco (consulente informatico forense), che ne delucida le criticità che necessitano di essere normate. Qui trovate il video (dal minuto 1:26:00).

Buon sabato e ben ritrovato caro cyber User. Siamo alla seconda settimana di questo 2023, ma l'anno è iniziato sicuramente con un passo abbastanza accelerato, lato cyber crime.

La neonata Dashboard Ransomware Monitor ha già collezionato 71 attacchi dall'inizio del mese di gennaio 2023.

Bug in JsonWebToken mette a rischio 22 mila software

Auth0 ha corretto una vulnerabilità RCE nella popolare libreria open source JsonWebToken, che è stata utilizzata da oltre 22.000 progetti e scaricata più di 36 milioni di volte al mese su NPM.

Buon sabato e ben ritrovato caro cyber User. La settimana scorsa ci siamo salutati con l'ultimo appuntamento newsletter dell'anno. Oggi qui, siamo alla prima puntata di questo 2023.

Avevo anche accennato al fatto che ci sarebbe stata una sorpresa, e chi segue il blog, presumibilmente l'ha già vista comparire proprio nel primo dell'anno.

La galassia inSicurezzaDigitale è cresciuta, si allarga con un nuovo strumento aperto a tutti. Si tratta della Dashboard Ransomware Monitor, e servirà per tenere traccia, con un'interfaccia Web ed esportazioni in CSV e feed RSS, di tutti gli attacchi ransomware a livello globale, direttamente con lo scraping sui siti onion dei gruppi criminali.

Buon sabato e ben ritrovato caro cyber User. Siamo arrivati all'ultimo appuntamento con questa newsletter, del 2022. Oggi è l'ultimo giorno dell'anno ed è anche sabato. Quindi non può mancare un aggiornamento cyber con NINAsec, anche se più leggero del solito e soprattutto mirato a farvi a tutti (e siete diventati numerosissimi in questi 12 mesi) i miei migliori auguri per uno Buon inizio di anno nuovo.

Quindi tanti auguri a tutti e... Ci sarà, proprio per l'inizio dell'anno, una importante sorpresa sulla galassia inSicurezzaDigitale. A breve su questi canali.

Settimana governata dal ransomware

Il giorno di Natale, il terzo porto più grande del Portogallo è stato attaccato da un attacco informatico.

Buon sabato e ben ritrovato caro cyber User. È stata una settimana molto intensa, tra sviluppo della nuova Dashboard Ransomware (ora online), seguire l'attività cyber in generale e l'intervento al Congresso Regionale CGIL, nel quale non ho perso occasione per parlare di sicurezza informatica nel mondo del lavoro e delle imprese.

Tornando al punto della nuova Dashboard Ransomware (raggiungibile su ransom.insicurezzadigitale.com), due righe giusto per descrivere di cosa si tratta. Vuole essere un progetto, tutto italiano, per il monitoraggio dell'ecosistema ransomware tempo per tempo in circolazione, tracciando le cyber gang (con un sistema di scraping pressoché automatico), e memorizzandone i contenuti delle rivendicazioni, per essere fruibili da chiunque, con un semplice motore di ricerca interno, suddivisi per anni, per gruppo criminale e per Paese della vittima. Il tutto compatibile anche con il formato RSS 2.0.

In breve oggi ti parlo di:

• Il caso Thyssenkrupp

• Informazioni su centinaia di migliaia di studenti esposte online

• Epic Games punzecchiata per la privacy dei giovani utenti

Buon sabato e ben ritrovato caro cyber User. Tra i chiacchiericci della settimana resta a galla il discorso Twitter e rimane innegabile la differenza di gestione tra il prima e il post Elon Musk. I giornali di tutto il mondo aprono inchieste quotidiane basate sulle decisioni che il magnate americano implementa o cancella. Ne parla il Wall Street Journal, il Guardian e il New York Times, evidentemente un cambiamento c'è stato e alcune decisione stanno impattando sulla società. Molte delle più importanti istanze Mastodon ora sono state inserite in una sorta di backlist di Twitter, così che d'ora in poi, qualsiasi link condiviso nel social dell'uccellino blu appartenente alle istanze bloccate, viene segnalato all'utente che ci clicca come pericoloso (una sorta di censura interna).

Tra le novità spiccano anche quelle inerenti la spunta Blu, che ora viene trattata (per tutti coloro che l'avevano prima di Musk) con sospetto e con tanto di avviso che sottolinea il fatto che "tale spunta è stata applicata dal board direttivo precedente, e che può non essere in linea di notorietà come ci si aspetta". L'avviso sembra impattare su tutti, profilo ufficiale di Elon compreso.

Nel frattempo se volete farvi un giro su Mastodon, usate la nostra istanza: mastodon.insicurezzadigitale.com ah no, questa non è bloccata su Twitter, per ora.

In breve oggi ti parlo di:

Buon sabato e ben ritrovato caro cyber User. Tra i suggerimenti rapidi che ho trovato questa settimana, volevo segnalare la descrizione del metodo di sfruttamento delle API di Reddit per ospitare eventuale traffico C2 di un ipotetico malware.

ChatGPT, il successo della piattaforma e la sicurezza dell'IA

La start-up californiana OpenAI ha rilasciato un chatbot in grado di rispondere a una serie di domande, ma le sue prestazioni impressionanti hanno riaperto il dibattito sui rischi legati alle tecnologie di intelligenza artificiale (AI).

Ormai da una decina di giorni, appena dopo che la notizia di pubblicazione di questo nuovo prodotto si è diffusa, la piattaforma (per ora di libero accesso, previa solo registrazione dell'utente gratuita) ha collezionato in soli 5 giorni un milione di utenti. I social si sono rapidamente riempiti di thread e post su cosa si riesce a generare dalle conversazioni con ChatGPT.

Buon sabato e ben ritrovato caro cyber User.

Oggi ti parlo di:

Lo stato delle proteste (ransomware) in Iran

Sappiamo che ormai da mesi in Iran ci sono diverse ripetute proteste contro il regime dittatoriale che governa il Paese. Proteste acuite dalla morte (molto controversa) di Masah Amini, durante la sua detenzione.

Buon sabato e ben ritrovato caro cyber User. L'attività con Mastodon, della nostra istanza (mastodon.insicurezzadigitale.com) continua, l'istanza sopravvive alle prime settimane di operazioni, ma di fatto emergono i primi problemi, che coinvolgono bug del core della piattaforma. In alcuni casi questi problemi fanno emergere disservizi agli utenti, l'ho sperimentato in prima persona e sembra proprio che al momento, per il problema che impedisce il reset della password dell'utente LDPA (non-LDAP) non ci sia soluzione. Questa settimana tuttavia ne ho parlato anche qui, quindi non tediamo la newsletter e partiamo con la storia di oggi. Wikileaks continua a non funzionare.

In breve oggi ti parlo di:

• Wikileaks e i segni di decadimento

Buon sabato e ben ritrovato caro cyber User. Le acque su Twitter continuano ad essere torbide. Musk, un tweet dopo l'altro, sta introducendo/modificando/eliminando, le politiche del social network, non sempre provocando apprezzamenti. Molte delle istanze Mastodon più generaliste e popolate, stanno lamentando proprio negli ultimi giorni, grandi incrementi di iscrizioni. A livello globale dunque, c'è un inizio di migrazione verso nuovi lidi, Twitter forse non soddisfa più.

Se stai cercando una porta per il Fediverso, di nicchia e poco popolata, abbiamo una istanza "geek", italiana, nostra. L'indirizzo è: mastodon.insicurezzadigitale.com

Qui alcune riflessioni di Christian Bernieri su come Mastodon dovrebbe migliorare e ciò che attualmente gli admin dovrebbero fare, per assicurare una migliore gestione della privacy sulla propria istanza. Mi sento inoltre di segnalare, a tutti coloro stiano scaricando i propri dati da Twitter, questo tool che consente di convertire quanto scaricato in formato più leggibile, duraturo e archiviabile (nonché con la sanificazione di tutti i link che altrimenti passano per t.co).

In breve oggi ti parlo di:

Buon sabato e ben ritrovato caro cyber User. Una delle novità che ha riempito sicuramente la settimana appena passata è Mastodon. Cioè, non che fosse una novità il sistema in se, più che altro con la community che ruota attorno al mio blog e ai progetti di inSicurezzaDigitale, ho tirato su un'istanza nel Fediverso, proprio per offrire un server in più a questa rete sociale e una porta italiana e focalizzata sul mondo cyber, per chiunque voglia entrarne a far parte.

L'istanza si chiama mastodon.insicurezzadigitale.com

In breve oggi ti parlo di:

• Le trasformazioni di Conti e cambio di obiettivi

• Strumenti OSINT consigliati

Buon sabato e ben ritrovato caro cyber User. Prima di arrivare al sodo del contenuto di oggi, ci terrei a ricordare che questa settimana è stata particolarmente intensa sul lato ransomware, non solo a livello globale ma anche in Italia. Il monitoraggio attivo del gruppo di lavoro che mi permette di portare avanti tutti i miei contenuti cyber, ha superato le 100 vittime italiane (tra PMI e Pubbliche Amministrazioni) dall'inizio del 2022, colpite da ransomware.

Inoltre nell'ultima settimana, per i gruppi maggiormente e storicamente più prolifici, c'è stato un rilascio massivo di rivendicazioni, su operazioni condotte, arrivando anche a 23 vittime in 24 ore, per il nuovo gruppo Royal Ransomware.

Da precisare inoltre l'operazione di LockBit contro Continental, un colosso globale che opera nel settore automobili, praticamente in ogni Paese del mondo. Questa operazione sta vedendo delle novità sul modus operandi criminale, i quali per la prima volta, hanno diffuso la chat intrattenuta con l'azienda, nella fase post attacco al fine di trattare un eventuale pagamento. Ne parlo qui. Ok, ora possiamo andare al sodo di oggi.

In breve oggi ti parlo di:

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Cosa è successo al New York Post?

• Le classifiche cyber e dove trovarle

• L'etica di prendere accordi con gli Emirati Arabi Uniti

Cosa è successo al New York Post?

Buona domenica e ben ritrovato caro cyber User. E si, questa settimana NINAsec esce di domenica in via eccezionale, unicamente per il fatto che ieri era Linux Day ed ero impegnato nell'organizzazione dell'evento di Cagliari, attività che ha assorbito diverse energie, spostando di fatto gli altri impegni quotidiani.

In breve oggi ti parlo di:

• Operation Jackal, Black Axe in arresto

• Questione Iran, data leak di PressTV

Operation Jackal, Black Axe in arresto

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Ultime attività di Killnet

• Il gruppo Polonium e le operazioni con Creep

Ultime attività di Killnet

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Cyberspionaggio efficace contro la Difesa

• La Cina e l'influenza nelle elezioni americane

• Le telefonate dei soldati russi e la difesa cyber ucraina

Cyberspionaggio efficace contro la Difesa

Buon sabato e ben ritrovato caro cyber User. Questa settimana è stata all'insegna dei leaks. Abbiamo visto infatti ciò che è successo ad Uber, con la compromissione di importanti sistemi centrali. Al videogioco GTA6 di prossima uscita forse nel 2024 che si è visto diffondere 90 video inediti del gioco, ancora segreti e sconosciuti al mondo, svelando così importanti novità. Anche il gruppo di ransomware Lockbit questa settimana ne ha subito uno, per colpa di un programmatore della squadra infedele. In ultimo si è aggiunto anche Anonymous che ha diffuso (ancora da verificare) la lista di 305.925 persone riservisti per la guerra in Ucraina, benché ci siano segnali sulla inaffidabilità del leak.

Ma questo è ciò che si è già discusso, ora vediamo qualcosa che non sono riuscito a trattare prima.

In breve oggi ti parlo di:

• Un curioso caso in PayPal

• Nuovo attacco della webcam, sugli occhiali

• Il successore di Darkside e BlackMatter ransomware

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Aggiornamenti sul mondo del ransomware, oggi

• FBI aggiunge tre iraniani tra i ricercati per attacchi cyber

• Potenziale aumento degli attacchi di phishing alla luce della morte della regina

• BreachedForums viene attenzionato, adesso

Aggiornamenti sul mondo del ransomware, oggi

Buon sabato e ben ritrovato caro cyber User. Da segnalare, solo con un link rapido, il caso dell'Albania e dell'Iran, già affrontato questa settimana sul blog. Lo rilancio qui perché potrebbe essere, senza problemi, il primo caso di crisi diplomatica (l'Albania ha chiuso tutti i rapporti ufficiali con l'Iran), a seguito di un attacco informatico. Inoltre tutto il personale diplomatico e di altro tipo dell’Ambasciata lasceranno il territorio della Repubblica d’Albania.

In breve oggi ti parlo di:

• Cosa è successo alla Corte dei Conti

• Databreach TikTok, si o no?

• Cyber spionaggio e elezioni americane

Cosa è successo alla Corte dei Conti

Buon sabato e ben ritrovato caro cyber User. In Italia questa settimana possiamo chiamarla "La settimana cyber dell'energia", a parte tutte le vicissitudini politiche alle quali abbiamo assistito per le varie proposte sull'indipendenza dal gas russo, sull'energia rinnovabile per il PNRR e sul tetto massimo del prezzo del petrolio a livello UE, in Italia abbiamo assistito anche a due clamorosi attacchi informatici, uno rivolto prima a GSE (il nostro gestore dei servizi energetici, partecipata dal MEF) e poi dopo pochi giorni anche a ENI SpA, un colosso partecipata dallo Stato. Ne ho raccontato alcuni dettagli anche sul mio blog, ma la situazione è ancora in evoluzione. Quindi, settore energia, decisamente in crisi (anche cyber).

In breve oggi ti parlo di:

• REvil (reale o no) potrebbe essere tornato

• Ancora spionaggio cinese: TA423

REvil (reale o no) potrebbe essere tornato

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Cosa succede all'interno di Twitter?

• Lo spyware commerciale non molla gli zero-day di Apple e Android

• RedAlpha prende di mira gli attivisti per i diritti umani

Cosa succede all'interno di Twitter?

Buon sabato e ben ritrovato caro cyber User. Come avrai notato anche NINAsec è andata in "vacanza" (in realtà stavo traslocando di abitazione!) due settimane e riprende oggi con una nuova pubblicazione, ancora intinta di estate!

Un occhio di riguardo per la settimana che sta arrivando va al monitoraggio di ciò che sta accadendo in questi giorni presso Arpac Regione Campania, ennesimo ente pubblico presumibilmente vittima di attacco informatico, che sta rendendo difficile la pubblicazione dei monitoraggi ambientali sulle acque marine, che l'ente svolge quotidianamente (specialmente in questo periodo). Gli amministratori dell'ente suggeriscono che sono vittime di un attacco più ampio che copre diversi enti statali in questo periodo, ma questo non deve giustificare, in effetti si, sono in tanti ad essere colpiti in questi mesi. E ciò significa che tutti avevano problemi di sicurezza nella propria infrastruttura.

In breve oggi ti parlo di:

• TikTok e la sicurezza nazionale

• Monitoraggio Telegram, in Russia è realtà

• BlackByte è tornato e si fa chiamare BlackByte 2.0

Buon sabato (veramente quasi domenica stavolta) e ben ritrovato caro cyber User. Un appunto va alla vicenda che questa settimana ha visto coinvolta l'Agenzia delle Entrate e il ransomware LockBit. Nello specifico per ciò che animerà la settimana prossima e ciò il rilascio dei dati per quello che è in realtà l'attacco allo studio professionale GESIS SRL. Cerchiamo di non considerare chiusa la vicenda, al netto di ciò che potrà accadere la settimana prossima, finché queste domande non saranno sanate, con risposte convincenti.

1. Perché LockBit ha rivendicato l'attacco all'AdE se in realtà aveva tra le mani un medio studio di commercialisti (LockBit non è il gruppo criminale degli ultimi arrivati)?

2. Perché lo stesso studio GESIS è stato rivendicato contemporaneamente anche dal gruppo ransomware LV?

3. Perché sia la società colpita, sia SOGEI, sia la Polizia di Stato parlano solo di LockBit e nessuno di LV?

Ma adesso concentriamoci sulle storie di questa settimana

In breve oggi ti parlo di:

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Evilnum prende di mira organizzazioni finanziarie

• Uno strumento da segnalare: badKarma

• Migliorare il livello di sicurezza informatica della nazione

Evilnum prende di mira organizzazioni finanziarie

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Amazon ha consegnato i filmati del videocitofono alla polizia senza il consenso dell'utente

• Emergono tre nuovi ceppi di ransomware Lilith, RedAlert e 0mega

• USA e Arabia Saudita per la sicurezza informatica

Amazon ha consegnato i filmati del videocitofono alla polizia senza il consenso dell'utente

Buon sabato e ben ritrovato caro cyber User.

In breve oggi ti parlo di:

• Hacktivismo indiano, DragonForce Malaysia presto un nuovo ransomware

• Come terminano le operazioni AstraLocker

• Arrestati per frode informatica si spacciavano per ministri

Hacktivismo indiano, DragonForce Malaysia presto un nuovo ransomware

Buon sabato e ben ritrovato caro cyber User. Due storie che hanno attirato la mia attenzione questa settimana e alcune informazioni utili da GitHub.

In breve oggi ti parlo di:

• Il gruppo Killnet lamenta infiltrazioni

• De-anonimizzare Quantum ransomware

• Alcune informazioni utili

Buon sabato e ben ritrovato caro cyber User. Qualche riflessione sulla settimana passata e poi vediamo la storia della puntata.

In breve oggi ti parlo di:

• I fatti della settimana

• Cooperazioni cyber inaspettate: Arabia Saudita e Israele

Buon sabato e ben ritrovato caro cyber User. Nel primo punto stavolta mi dilungo un po' sui fatti della settimana, e poi i racconti di questo sabato.

In breve oggi ti parlo di:

• Mi dilungo sui fatti della settimana

• Tor sembra mettere le basi per l'Internet del futuro

• Oggi è MaliBot, attenzione con gli smartphone Android

Mi dilungo sui fatti della settimana

Buon sabato e ben ritrovato caro cyber User. Questa settimana sono stato un po' fuori dai giochi, reduce da malattia COVID che mi ha decisamente indebolito e fatto seguire meno ciò che è successo durante la prima parte della settimana. Nel frattempo posso raccontarvi che è stata aggiornata la situazione dell'attacco del 2 giugno del Comune di Palermo e ne parlo su CyberSecurity360 (è un ransomware, è Vice Society ed è stato rilasciato il comunicato ufficiale). La polizia postale ha portato a termine "Rear Window", con arresti di gruppi criminali che spiavano dalle videocamere IP non protette, registravano e rivendevano le immagini più intime di un grande numero di italiani, su case private, palestre e studi medici. Poi l'attacco al fornitore di EasyCoop, piattaforma ecommerce, che lo descrive bene Marco Govoni nell'ultima puntata del suo Cronache Digitali.

In breve oggi ti parlo di:

• La popolarità del riconoscimento facciale in Asia

• Attacchi di spionaggio: l'operazione Panopticon

La popolarità del riconoscimento facciale in Asia

Buon sabato e ben ritrovato caro cyber User. Uno dei punti di contatto comune un po' a tutta la stampa, per questa settimana è l'argomento Killnet. Minacce di attacchi DDoS che da lunedì avrebbero dovuto paralizzare la nostra pubblica amministrazione. Continue rivendicazioni si sono poi susseguite nei giorni restando, ad oggi, ancora con un nulla di fatto. Tutti questi contenuti hanno concentrato l'attenzione della stampa anche se, in effetti sono successe anche altre cosette interessanti: l'attacco informatico al Comune di Palermo ancora non risolto e il nuovo zero-day Follina, sfruttato dal gruppo APT cinese TA413, al momento in attacchi contro la comunità tibetana internazionale utilizzando il dominio tibet-gov[.]web[.]app.

In breve oggi ti parlo di:

• La sicurezza in Telegram, tra polizia e phishing

• Russia e riconoscimento facciale

• Bloccato da Europol il malware per Android FluBot

La sicurezza in Telegram, tra polizia e phishing

Buon sabato e ben ritrovato caro cyber User. Questa settimana gran parte dell'attenzione mediatica italiana si è rivolta ai fatti recenti di ATS Insubria, con aggiornamenti legali e politici che vedono richieste di chiarimenti sull'attacco ransomware alla struttura sanitaria. Ci si chiede quanti e quali siano tutte le persone coinvolte e quali dati sono andati persi durante l'attacco. Sulla questione indagano le autorità e, sembra, anche il Garante Privacy. Altro tema caldo è stato occupato dalla presentazione ufficiale, mediante conferenza stampa governativa, della Strategia Italia per la cyber sicurezza, per il miglioramento della resilienza delle strutture critiche, il ruolo dell'Agenzia per la Cubersicurezza Nazionale (ACN) e la costituzione del nuovo Comitato Tecnico.

Invece per il mio blog sono gli utili giorni di VOTAZIONE per la nomination agli European Cybersecurity Blogger Awards 2022. Sono in nomination e ora servono i voti per poter vincere la categoria “The Noobs”. Se vuoi sostenermi, basta spuntare in corrispondenza della voce “www.insicurezzadigitale” all’interno di questo form online, e confermare.

Grazie di cuore!

In breve oggi ti parlo di:

Buon sabato e ben ritrovato caro cyber User. Continuano gli attacchi alle istituzioni italiane, questa settimana abbiamo assistito a diffusi DDoS su differenti settori delle nostre organizzazioni e pubbliche amministrazioni. Ancora in corso mentre scrivo queste righe infatti, il gruppo Legion (costola di Killnet) attivismo pro Russia, ha rivendicato e sta portando avanti attacchi ai siti web di Ministero degli Esteri, Consiglio Superiore della Magistratura, un gran numero di giornali, settore trasporti, aeroporti vari come Malpensa Milano, Genova, Olbia risultano non accessibili da ore. Nel corso della settimana lo stesso tenore di minacce ha colpito anche la Polizia di Stato, buttando giù il sito web per almeno 36 ore.

In breve oggi ti parlo di:

• Pixelmon diventa un phishing con il malware

• Quando la politica si preoccupa della privacy nazionale, il caso ID.me

• Cina alle prese con la cyberwar tra APT e disinformazione

• "L'hacker Conti" leva le tende o cambia nome?

Pixelmon diventa un phishing con il malware

Buon sabato e ben ritrovato caro cyber User. Questa settimana ha avuto grande eco l'attacco alle istituzioni italiane, operato nello sciame dei DDoS filo russi, rivolti ai paesi che nella loro posizione geopolitica, sostengono l'Ucraina nell'attuale scenario. Senato, Istituto Superiore di Sanità, Ministero della Difesa e ACI tra i più noti colpiti. Ne parlo con due analisi per CyberSec360 sia sulla ricostruzione dell'attacco, sia sull'allerta post-attacco dell'ACN, una puntuale e precisa copertura la trovate anche su Wired (anche qui). Vediamo ora di analizzare qualche scenario non toccato in settimana

In breve oggi ti parlo di:

• Indagini in corso su presunto attacco alla DEA degli Stati Uniti

• Aggiornamenti sul ritorno di REvil nelle scene cyber

• Alcuni strumenti utili della settimana

Indagini in corso su presunto attacco alla DEA degli Stati Uniti

Buon sabato e ben ritrovato caro cyber User. Questa settimana ci si è spostati tra vari punti interessanti sul livello di sicurezza della sanità Lombarda, con attacca a ASST Fatebenefratelli-Sacco (ospedali e distretti ad esso collegati) e subito dopo con ATS Insubria, che abbiamo letto anche nel blog. Degno di nota anche il presunto incidente ai danni di Juventus (ne parla Marco Govoni) che ha visto la messa in vendita di credenziali di accesso e vulnerabilità della società sportiva. Tra le cose della settimana vorrei anche segnalare una webapp che ha lanciato l'amico Francesco dalla quale si possono seguire una grande quantità di fonti cyber worldwide (lo consiglio!). Ma ora veniamo a una storia da approfondire.

In breve oggi ti parlo di:

• Il funzionamento della macchina dei sequestri di siti illegali

• Aggiornamenti fronte Ucraina, tra Lockbit ed altri

Il funzionamento della macchina dei sequestri di siti illegali

Buon sabato e ben ritrovato caro cyber User. Settimana calda anche questa appena passata, lato cyber security, abbiamo assistito all'apparizione del nuovo ransomware Black Basta, l'incidente non da poco di Confcommercio di Alessandria attaccata da Quantum e CocaCola analizzati da Cronache Digitali di Marco Govoni e ABI sul mio blog. Ma ora vediamo una storia da approfondire.

In breve oggi ti parlo di:

• La Russia si sveglia contro Hydra e fa il passo da gigante

• La Cina emerge in campo cyber e supera l'Iran

• No, non servirà SPID per risolvere il problema dell'autenticazione Twitter

La Russia si sveglia contro Hydra e fa il passo da gigante

Buon sabato e ben ritrovato caro cyber User. Secondo fine settimana consecutivo più lungo del solito (stavolta per il 25 aprile), per approfondire alcune cose capitate negli ultimi sette giorni.

In breve oggi ti parlo di:

• Kaspersky offre decryptor gratuito per ransomware

• Attenzione alle truffe sugli aiuti all'Ucraina

• Situazione dei gruppi APT cinesi, in finta diminuzione

Kaspersky offre decryptor gratuito per ransomware

Buon sabato e ben ritrovato caro cyber User. Prendiamoci il fine settimana pasquale, per approfondire alcune cose capitate negli ultimi sette giorni.

In breve oggi ti parlo di:

• Arrestati responsabili di Yura, sito web per assassini a noleggio

• La situazione cyber della guerra con i GB rubati che aumentano

• Ricerca Cloudflare su attacchi DDoS, migliorati alcuni cluster

• Nuovo tassello sull'operazione di sequestro RaidForums

Arrestati responsabili di Yura, sito web per assassini a noleggio