remcos_rat-jpg

Remcos: il software legittimo diffuso in Italia come RAT

Remcos è un software legittimo per il controllo remoto dei dispositivi. In Italia è spesso diffuso come RAT con l’inganno tramite campagne malware mirate.

Prima di tutto le presentazioni: che cosa è Remcos?
Remcos è software legittimo per il controllo e la gestione di un dispositivo da remoto. Appartiene ad un’azienda tedesca e consente la gestione remota di dispositivi che eseguono sistemi operativi Windows. Purtroppo è ampiamente usato dai cyber attaccanti in molteplici forme e campagne dannose.

Non è una novità che vi siano tool legittimi utilizzati a fini illegittimi. Un esempio? Bitlocker è una funzionalità di sicurezza di Windows che consente la criptazione di interi volumi proprio in funzione di “anti furto” dei dati. Eppure Bitlocker è stato utilizzato per le motivazioni opposte: rubare e prendere in ostaggio i dati richiedendo riscatti alle vittime per riportare in chiaro i file.

Viene distribuito come Remote Access Trojan tramite campagne email truffaldine, spesso tramite l’uso di downloader come Batloader.

Una (delle tante) catene di infezione di Remcos
Una (delle tante) catene di infezione di Remcos. Fonte: SentinelOne
La campagne di distribuzione in Italia
Come detto, Remcos è spesso in distribuzione in Italia, anche se a cadenza del tutto irregolare. Ultimamente però gli esperti del CERT hanno notato come le campagne di distribuzione di Remcos stiano aumentando di numero e intensità.

Il 20 Novembre, con una segnalazione sul canale Telegram, il CERT ha notificato l’ennesima campagna a tema Agenzia delle Entrate.

Fonte: Canale Telegram CERT- AGID
L’email, in questo caso, contiene un link che in realtà punta al download di un file ZIP. Questo file ZIP contiene un file URL che punta ad un SMB (in questo caso con IP russo). Da qui viene scaricato ed eseguito il malware.

Il file contenuti nello ZIP
Fonte: Canale Telegram CERT- AGID
Anche il ricercatore di sicurezza JAMESWT ha individuato campagne di distribuzione di Remcos a tema Agenzia delle Entrate.

Campagna di distribuzione di Remcos a tema Agenzia delle Entrate
Fonte: JAMESWT
Campagna di distribuzione di Remcos a tema Agenzia delle Entrate
Fonte: JAMESWT
Pur cambiando corpo ed oggetto email, la catena di infezione è invariata. Il corpo email contiene un link che conduce al download di un file ZIP. Questo archivio contiene un file URL che punta ad un SMB dal quale viene scaricato ed eseguito il malware.

L'eseguibile di Remcos
Fonte: JAMESWT

malware_StrRat-jpg

Malware StrRat: analisi del CERT di una campagna di diffusione in Italia

Malware StrRat: il CERT ha pubblicato l’analisi di una campagna di diffusione veicolata in Italia

Malware StrRat: iniziamo dalle presentazioni
L’ultima campagna di diffusione in Italia risale a al Giugno 2023. Infatti è a cadenza del tutto irregolare che StrRat viene diffuso nel nostro paese.

StrRat è un remote access trojan (RAT) scritto in Java. Presenta una vasta gamma di funzionalità dannose per quanto i suoi obiettivi principali siano il furto di informazioni e le capacità di backdoor. Ruba dati dai browser e dai client email ed ha capacità di keylogger online e offline.

StrRat mira alle seguenti informazioni:

username;
sistema operativo;
architettura del sisema;
presenza sul sistema di software antivirus;
localizzazione della vittima;
verifica se il malware sia già presente o meno sul sistema bersaglio;
tempi di inattività del dispositivo;
password salvate sui browser (Chrome, Firefox, Internet Explorer ecc..) e client email (Outlook, Thunderbird, Foxmail ecc…).
L’unica “nota positiva” è che StrRat colpisce soltanto i sistemi Windows.

La campagna di distribuzione analizzata dal CERT
Il CERT ha, come dicevamo, reso pubblica l’analisi di una campagna di distribuzione di StrRat nel nostro paese. L’email vettore del malware è scritta in inglese, in questo caso, ma emula comunicazioni di una nota azienda produttrice di macchinari industriali.

Fonte: CERT
Il mittente è stato “spoofato” ovviamente. Lo spoofing è una tecnica molto utilizzata negli attacchi spam e phishing e mira a convincere gli utenti che un messaggio provenga da una certa entità o azienda che conoscono e della quale possono fidarsi.

Gli stage di infezione
L’email presenta un allegato, una presunta “fattura”. Facendo attenzione si nota già qualcosa di strano: l’allegato ha una doppia estensione “.doc.jar”. Il file ovviamente è un JAR dal quale però viene estratto ed eseguito un altro file con doppia estensione, questa volta “.doc.js”.

Al suo interno, spiegano gli esperti del CERT, c’è del codice offuscato che, deoffuscato, porta ad un nuovo file Javascript, quindi ad un file JAR.

Tra le risorse del JAR è presente un file denominato “config.txt”. Al suo interno c’è una stringa in Base64 che contiene il file di configurazione del malware StrRat. Il contenuto è criptato, comunque, con algoritmo AES ma la sua decriptazione è piuttosto semplice.

A questo punto è possibile analizzare il codice: in questo caso, la versione analizzata presenta una serie di comandi per attivare queste funzioni remote:

keylogging;
escalation dei privilegi;
furto delle password;
funzionalità che imitano un attacco ransomware. In realtà il malware modifica soltanto le estensioni dei file, ma non ne cripta il contenuto.
Qui il report completo del CERT con tutti i dettagli tecnici.

01 (1)

Fraud GPT – il Cybercrime sempre un passo avanti?

Il cybercrime punta sull'AI
Se da un lato ChatGPT e i sistemi di intelligenza artificiale hanno catturato l'attenzione delle persone e vengono sempre più utilizzati, cambiando il loro sistema di approccio al computer, al lavoro, all'accesso ai dati e influenzando addirittura il comportamento, anche i criminali informatici hanno esplorato come poter capitalizzare questo fenomeno. Un recente esempio di questo è FraudGPT.

FraudGPT è un prodotto venduto abbastanza liberamente nel dark web e su Telegram che funziona in modo simile a ChatGPT, ma crea contenuti per facilitare cyberattacchi. I membri del team di ricerca sulle minacce di Netenrich l'hanno identificato per la prima volta e visto pubblicizzato nel luglio 2023. Uno dei punti “forti” di questo “prodotto” è che che non ha i controlli incorporati e le forme di limitazione che impediscono a ChatGPT di eseguire o rispondere a richieste inappropriate. In sintesi, è il fratello cattivo o l’anima nera di un sistema creato per dare contributi positivi.

Ulteriori informazioni reperibili in rete, ci dicono che questo software, viene aggiornato ogni una o due settimane e presenta diversi modelli di IA. FraudGPT ha addirittura un tariffario basato su abbonamento. Sempre cercando online si scopre che possiamo ottenerlo al modico prezzo di $200 al mese o $1.700 all'anno. Ovviamente in comodi e anonimi Bitcoin.

La versione "cattiva" di ChatGPT
Il team di Netenrich ha acquistato e testato FraudGPT. L'interfaccia sembra simile a quella di ChatGPT, con un registro delle precedenti richieste dell'utente nella barra laterale sinistra e la finestra di chat che occupa la maggior parte dello schermo. Le persone devono cliccare sul bottone "Fai una domanda" e premere Invio per generare la risposta. Proprio come nella normale ChatGPT a cui chiediamo la ricerca su Cavour o Garibaldi o altre informazioni ordinarie, qui possiamo chiedere ben altro.

Uno dei prompt di test ha chiesto al software, per testare il sistema, di creare e-mail di phishing relative alle banche. Gli utenti dovevano solo formattare le loro domande includendo il nome della banca e FraudGPT faceva il resto. Ha persino suggerito dove inserire un collegamento maligno nel contenuto. FraudGPT poteva andare oltre, creando delle landing page che invitavano i visitatori a fornire informazioni. Forse abbiamo scoperto l’origine di una buona parte dei messaggi che riceviamo sui nostri smartphone. Specialmente quelli della nostra banca che ci “informano” di accessi strani.

Altri prompt hanno chiesto a FraudGPT di elencare i siti o i servizi più presi di mira dagli hacker, i più vulnerabili e i più utilizzati. Queste informazioni potrebbero aiutare a pianificare futuri attacchi. Una pubblicità sul dark web per il prodotto menzionava che poteva creare senza difficoltà codice maligno, sviluppare malware "invisibili", individuare vulnerabilità, identificare bersagli semplici da colpire e altro.

Un vero e proprio manuale di istruzioni per cybercriminali.

Il team di Netenrich ha anche identificato il probabile venditore di FraudGPT come un soggetto che, in passato, offriva servizi di hacking a pagamento. Inoltre, hanno collegato la stessa persona a uno strumento simile chiamato WormGPT, un sistema con elevate potenzialità per la creazione di messaggi di phishing realistici e nella compromissione delle email aziendali.

Per approfondire > FraudGPT: The Villain Avatar of ChatGPT

Intelligenza artificiale e sicurezza informatica: nuovi rischi
È un dato di fatto che ChatGPT sia sempre più utilizzata e non solo nel mondo del lavoro. Ciò pone non pochi problemi per la sicurezza informatica. I dipendenti potrebbero esporre a seri rischi, anche involontariamente, informazioni aziendali riservate, incollandole in ChatGPT, per i più diversi usi. Immediato il pericolo di un possibile travaso delle stesse in sistemi illegali. Alcune aziende, tra cui Apple e Samsung, hanno non a caso già limitato il modo in cui i lavoratori possono utilizzare questo strumento.

I dati dicono che molte aziende saranno costrette a chiudere la loro attività entro due anni a causa di un data breach. Ma la perdita di dati non avviene sempre a causa di cyberattacchi, come molti possono pensare. Il pericolo è adesso anche quello che deriva dall’uso di ChatGPT, inserendovi dati magari sensibili.
Si tratta di un timore non infondato. Ad esempio un bug di ChatGPT ha esposto, nel Marzo 2023, i dettagli di pagamento di chi aveva utilizzato questo sistema in una finestra di nove ore iscrivendosi alla versione a pagamento. E non dimentichiamo che le versioni future di ChatGPT conterranno e processeranno le informazioni inserite dagli utenti precedenti. Strumenti e informazioni che, più o meno volontariamente, consegniamo ai pirati della rete.

patch_management-jpg

Patch Management: che cosa è e perché è così importante per la sicurezza informatica aziendale

Patch Management: che cosa è e perché la protezione dalle vulnerabilità rende possibile un approccio proattivo, e non solo reattivo, contro le minacce informatiche.

Patch Management: che cosa è
Il Patch Management, o la gestione delle patch, è una pratica fondamentale per garantire la sicurezza informatica delle aziende. Le patch sono aggiornamenti software progettati per correggere vulnerabilità e problemi di sicurezza nei sistemi operativi, applicazioni e dispositivi. L’importanza del Patch Management non può essere sottovalutata, poiché le minacce informatiche evolvono costantemente, e le aziende devono essere pronte a mitigare tali rischi.

Aziende con software o sistemi operativi non aggiornati e vulnerabili sono esposte a una serie di rischi significativi. Queste vulnerabilità possono essere sfruttate da attaccanti per compromettere la sicurezza dei dati, causare perdite finanziarie e danneggiare la reputazione aziendale. Ad esempio, un sistema operativo non aggiornato può presentare falle che consentono a malware e hacker di accedere ai dati sensibili dell’azienda, mettendo a rischio la riservatezza e l’integrità delle informazioni. Inoltre, un attacco informatico su larga scala può causare interruzioni operative costose e perdite di produttività.

Migliorare la Risposta alle Minacce: Patch Management e sicurezza informatica
La gestione delle patch non riguarda solo la correzione delle vulnerabilità, ma anche la preparazione dell’azienda per affrontare le minacce in modo proattivo. Affrontare le minacce in modo proattivo significa che le aziende non aspettano che si verifichi un attacco informatico prima di agire. Invece, implementano misure di sicurezza avanzate, come il monitoraggio costante delle attività di rete, l’analisi delle minacce in tempo reale e la formazione del personale per riconoscere segnali di possibili attacchi.

Questo approccio permette alle aziende di identificare e rispondere alle minacce prima che possano causare danni significativi, riducendo così l’impatto negativo sulle operazioni aziendali. Ad esempio, se un’azienda rileva attività sospette sulla rete o tentativi di accesso non autorizzati, può reagire rapidamente per mitigare il rischio di un potenziale attacco. Inoltre, la formazione del personale sull’importanza del rispetto delle pratiche di sicurezza informatica contribuisce a creare una cultura aziendale che valorizza la sicurezza, riducendo il rischio di errori umani che potrebbero favorire gli attacchi.

Esempio di Attacco Informatico: WannaCry e la Vulnerabilità di EternalBlue
Un esempio noto di attacco informatico che ha sfruttato una vulnerabilità già conosciuta è il caso di WannaCry. Questo ransomware ha colpito migliaia di sistemi in tutto il mondo nel 2017 sfruttando la vulnerabilità di EternalBlue in Windows, una vulnerabilità che era stata corretta mediante una patch rilasciata da Microsoft alcuni mesi prima dell’attacco. Tuttavia, molte aziende non avevano applicato la patch o aggiornato i loro sistemi, consentendo a WannaCry di diffondersi rapidamente e crittografare i dati, richiedendo un riscatto per il ripristino. Questo episodio evidenzia chiaramente l’importanza di un solido Patch Management, poiché l’attacco poteva essere evitato mediante la semplice applicazione di una patch di sicurezza disponibile da tempo.

Per saperne di più > Il ransomware WannaCry e l’exploit EternalBlue ancora in attività: sono davvero eterni?

Una proposta: il Patch Management di Seqrite
Seqrite Endpoint Security è una piattaforma semplice e completa che integra tecnologie innovative come Anti Ransomware, DNA Scan Avanzato e un Sistema di Analisi Comportamentale per proteggere le reti aziendali dalle minacce avanzate di oggi. Offre una vasta gamma di funzionalità avanzate tra le quali la Scansione delle Vulnerabilità e il Patch Management.

Scansione Vulnerabilità:
scansionando le vulnerabilità note di applicazioni e sistemi operativi, questa funzionalità consente agli utenti di applicare le necessarie patch di sicurezza per il sistema operativo, i software e i browser.
Patch Management:
consente la gestione centralizzata delle patch. Consente di verificare e installare le patch mancanti per le applicazioni e i sistemi operativi installati nella rete aziendale. Sarà possibile quindi automatizzare controllo e installazione delle patch mancanti semplificando notevolmente lo sforzo necessario a mantenere sicuri ed integri gli endpoint.

spynote-jpg

SpyNote: lo spyware per Android che ama l’Italia

SpyNote è uno spyware per Android finalizzato al furto dati e al controllo remoto del dispositivo. Da qualche mese è sempre più attivo in Italia

SpyNote: che cosa sappiamo
SpyNote ha iniziato la propria attività nel 2016, subendo un costante aggiornamento di funzionalità e tecnologie. Oggi è alla terza versione.

E’ venduto come malware as a service (MaaS) principalmente su Telegram, ma non solo. Nato come trojan bancario ha subito l’aggiunta di svariate funzionalità comprese quelle da remote access trojan dopo che il suo codice è finito esposto su GitHub.

Ad ora quindi, oltre alle tradizionali funzionalità da trojan bancario e spyware può garantire all’attaccante il controllo remoto del dispositivo.

Le funzionalità dannose
Per prima cosa, SpyNote è noto per le capacità di nascondere la propria presenza dalla schermata principale di Android, così come dalla schermata che elenca le app usate più recentemente. Quindi richiede permissioni molto invasive per accedere ai log delle chiamate, alla fotocamera, ai messaggi SMS e agli storage esterni ecc…

Ecco un elenco delle funzionalità dannose:

tramite i servizi di accessibilità ottiene permissioni ulteriori e la capacità di simulare tap e gesti sullo schermo come se fosse un utente umano ad eseguirli.
Sempre grazie i servizi di accessibilità può intercettare i codici di autenticazione 2FA.
Esegue verifiche di specifiche keyword per verificare la presenza di sandbox o ambienti di test. Se individua ambienti atti allo studio del suo funzionamento, si mette in standby.
Le keyword ricercate da SpyNote
Le keyword ricercate da SpyNote
Esegue attacchi di tipo overlay. Quando gli utenti aprono le app bancarie legittime. SpyNote sovrappone delle schermate fake tramite le quali sottrae i dati e le credenziali inserite.
Può effettuare registrazioni tramite la fotocamera, acquisire schermate, registrare telefonate, intercettare SMS.
Ha funzionalità che gli consentono di rilevare la posizione GPS del dispositivo e lo fa aggiiornandola costantemente.
La localizzazione del dispositivo
La localizzazione del dispositivo
SpyNote è, ovviamente, anche un keylogger. Raccoglie le battiture e le codifica in base64, quindi le conserva entro un file txt chiamato “/Config/sys/apps/log/log-yyyy–MM–dd.txt“. Questo file è poi inviato al server C&C del malware
La funzionalità di keylogging di SpyNote
La funzionalità di keylogging di SpyNote
Come si diffonde
SpyNote, come detto, è sempre più attivo in Italia. Il CERT, nel solo 2023, ha individuato più campagne di diffusione di SpyNote. Ad Ottobre ad esempio, i ricercatori di sicurezza hanno segnalato una campagna di diffusione, ovviamente via SMS, che ha sfruttato il tema IT-Alert, il sistema di allarme pubblico implementato in Italia.

NOTA BENE: non esiste alcuna app IT-Alert. Ogni app che sfrutti tale denominazione è fake.

L’SMS truffaldino conteneva il link che conduceva ad un dominio di recente registrazione nel quale erano visibili intestazioni relative alla Presidenza del Consiglio dei Ministri.

Fonte: CERT
Nel primo caso l’app compromessa installata sui dispositivi degli utenti emulata IT-Alert, il sistema di allerta pubblico.

Fonte: CERT
In un secondo caso invece il dominio falso riproduceva le fattezze del sito web legittimo di un importante istituto bancario italiano.

Immagina di poter verificare un pc, un tablet o uno smartphone e certificare se è intercettato o compromesso con un software spia oppure no. Tutto da remoto!

lockbit-italia-jpg

Lockbit si abbatte sull’Italia: tre vittime da inizio Novembre

Il ransomware Lockbit torna di nuovo a colpire in Italia: tre aziende colpite da inizio Novembre. Sul leak site i countdown

Lockbit “abbatte” la Boeing
Che Lockbit sia una delle operazioni ransomware più attive e pericolose di quelle attualmente “sul mercato” non c’è dubbio. I primi giorni di Novembre, di Lockbit si è parlato nei media di mezzo mondo, a causa di un attacco di quelli “di punta”, come potremmo definirlo. LockBit ha “bucato” la Boeing, il gigante aerospaziale famoso in tutto il mondo.

L’azienda ha confermato che l’attacco non ha avuto impatto sulla sicurezza dei voli, ma il sito web e tutti i servizi Boeing sono stati offline svariati giorni

La schermata mostrata dal sito boeing[.]com quando era offline
La schermata mostrata dal sito boeing[.]com quando era offline
Gli attaccanti però hanno rivendicato non solo l’accesso alla rete aziendale ma soprattutto il furto di una gran quantità di dati sensibili.

La rivendicazione dell'attacco a Boeing sul leak site di Lockbit
La rivendicazione dell’attacco a Boeing sul leak site di Lockbit
Gli attaccanti avevano minacciato la pubblicazione dei dati entro il 2 Novembre, ma nel leak site di Lockbit non se ne trova traccia. Probabilmente l’azienda ha trovato un accordo con gli attaccanti.

Per approfondire > Ransomware: Lockbit la catena di attacco e le attività anti-forensi

Un diluvio di attacchi in Italia
Ma veniamo a noi e al Bel Paese. In questa prima settimana di Novembre si contano ben 3 vittime italiane. Il 2 Novembre la gang ransomware rivendica l’attacco alla De Gregoris, azienda di arredi in provincia di Latina.

La rivendicazione dell'attacco a De Gregoris sul leak site di Lockbit
La rivendicazione dell’attacco a De Gregoris sul leak site di Lockbit
La rivendicazione è correlata, come da tradizione, da una serie di samples dei dati rubati.

i samples dei dati rubati dalla De Gregori
I samples dei dati rubati dalla De Gregori
Lo stesso giorno ecco pubblicata la seconda rivendicazione: bucato il Centro Ortopedico di Quadrante SpA. Nella rivendicazione gli attaccanti specificano che è stato attaccato il sito web ospedalecoq[.]it, che al momento è ancora down, e non il sito ospedalecoq[.]com che invece è raggiungibile. Su questo è intervenuta l’azienda stessa, specificando come il dominio .it sia in abbandono da molto tempo.

La rivendicazione dell'attacco al Centro Ortopedico di Quadrante sul leak site di Lockbit
La rivendicazione dell’attacco al Centro Ortopedico di Quadrante sul leak site di Lockbit
Qualche giorno dopo l’attacco, l’azienda ha contattato la redazione di red Hot Cyber (tra le prime testate a rendere pubblica la notizia), dichiarando che

“il sistema è integro e il sito aziendale è operativo e consultabile”.

La rivendicazione, a tutt’oggi, non presenta sample di dati rubati.

Il 5 Novembre ecco l’ennesima rivendicazione: il Consorzio di Bonifica dell’Emilia. Gli attaccanti dichiarano di aver violato la rete aziendale e fissano al 13 Novembre 2023 la deadline oltre alla quale renderanno pubblici i dati rubati.

La rivendicazione dell’attacco al Consorzio di Bonifica sul leak site di Lockbit
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.

alphateam_federprivacy-jpg

Federprivacy hacked: Alpha Team rivendica

“Alpha Team WAS HERE” si legge sul sito Federprivacy, defacciato. Pubblicati dati sensibili sui social. Database in vendita

Alpha Team was here
Dalle 14 di oggi, la home page del sito web di Fedeprivacy si presenta così:

Tutte le altre pagine rispondevano con un error Internal Server Error

La home page in mattinata è stata defacciata, ovvero è stata modificata dagli attaccanti che l’hanno utilizzata per lanciare un messaggio alle stesse vittime:

Alpha Team WAS HERE …

—==[|Alpha Team]==—
MESSAGE : Questa e la prova dell accesso al vostro server.
La vostra infrastruttura informatica e stata compromessa, il che ci ha permesso di accedere al vostro server e ai vostri database.

Si prega di contattare: z0rg@airmail.cc

MANTENIAMO SEMPRE LE NOSTRE PROMESSE

Sotto attacco anche i social di Federpivacy

Nel profilo Linkedin di Federprivacy è comparso uno screen che mostra l’home page modificata dagli attaccanti, con la rivendicazione

HACKERATO DAL TEAM ALPHA: “SOSTIENE DI FAR SENTIRE GLI ALTRI AL SICURO E TIENE CORSI DI SICUREZZA INFORMATICA. ANCHE LUI È STATO HACKERATO”.

La rivendicazion e dell'attacco pubblicata da Alpha Team sul profilo Linkedin di Federprivacy
Poco dopo gli attaccanti pubblicano un secondo post che mostra screen nei quali sono esposti dati sensibili e credenziali.

La messa in vendita dei file rubati a Federprivacy
Gli screen sono accompagnati da queste parole:

“chiunque sia interessato al database o al backup delle e-mail e a tutti i file del server “federprivacy.org” deve contattare il seguente indirizzo e-mail: “z0rg@airmail.cc”.

Anche i profili personali di alcuni dei vertici di Federprivacy sono stati violati: gli attaccanti vi hanno fatto circolare gli stessi post pubblicati dal profilo dell’associazione.

Alpha Team: chi sono
Alpha Team sta colpendo duramente in Italia. Come riportato da Red Hot Cyber, poco tempo fa lo stesso gruppo ha attaccato Avangate Security, distributore di servizi IT italiano. In un forum dell’undeground hacking hanno rivendicato l’attacco e messo in vendita l’intero database, più 14000 chiavi di attivazione di varie soluzioni antivirus oltre all’intero backup.

Lo stesso gruppo ha pubblicato 93 database rubati da altrettante aziende italiane di e-commerce, ma non solo.

In una lunga intervista rilasciata Red Hot Cyber il Team Leader di Alpha Team ha dichiarato che:

“Il nostro obiettivo è quello di dimostrare quanto i dati siano vulnerabili e quanto, grandi aziende che sviluppano i loro business con i dati degli altri o peggio ancora che forniscono soluzioni per la sicurezza , abbiano delle protezioni e dei sistemi di sicurezza di tipo scolastico. E’ impensabile che grandi gruppi oggi possano fregarsene delle vulnerabilità dei loro sistemi continuando a fare i loro business.”

Un pò giustizieri, un pò hackivisti, un pò cybercriminali, insomma. Anche il recente post pubblicato su profilo Linkedin di Federprivacy ribasice questo approccio “peculiare”.

Aggiornamento del 16/11/2023
Il database di Federprivacy non è più in vendita. Il gruppo Alpha Team aveva già pubblicato l’annuncio della messa in vendita dell’intero database di Federprivacy su un forum dell’underground hacking.

Nella mattinata di oggi, 16 novembre, il post è stato editato e l’autore ha annunciato che il database non è più in vendita.

Questo il messaggio:

“NB: Given the impact it will have on many professionals in Italy, this database and all the other content is no longer for sale“

ovvero

“Dato l’impatto che questo avrà su molti professionisti in Italia, questo database e tutti gli altri contenuti non sono più in vendita”.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy