Human, forensicator, chaotic good. Law enforcement officer @Polizia Scientifica; professor by contract @UniPV
"Gli oligopoli dell’hacking. Ecco di chi sono i loader dei malware" https://ift.tt/PXmSye8 Un esercito di attaccanti ma, a riempire gli arsenali degli hacker, sarebbero pochi attori. Un oligopolio dell’hacking ridotto a pochi loader, ovvero QakBot – noto anche come QBot, QuackBot e Pinkslipbot – è l’anima del 30% degli attacchi, seguito da SecGholish (al 27%) e da Raspberry Robin (23%). L’azienda di cyber security Reliaquest ha fatto i conti in tasca ai malware, ricostruendo in un report le paternità degli attacchi. Va detto che l’avere rilevato un malware loader non coincide con il successo dell’attacco stesso e che, quindi, la rete presa di mira può non essere stata compromessa ma questo, pure essendo importante, nulla toglie al fatto che la miriade di attacchi sferrati ogni anno siano braccia armate da pochi attori. I loader servono agli hacker per garantirsi l’accesso alle reti e ai sistemi target, supportare ulteriori tentativi di intrusione e, nell’ultima fase, a rilasciare pacchetti di dati dannosi. Nella nutrita famiglia dei malware rientrano anche i ransomware, gli spyware, i worm e i trojan. Ecco chi gestisce i loader e quali sono le peculiarità di ognuno. Crescono gli attacchi cyber in Italia, ma anche le difese: ecco il quadro QakBot e SocGholish Le prime tracce di QakBot risalgono al 2007. Un trojan usato per attaccare il mondo della finanza e storicamente associato al collettivo Black Basta e, per lunghi anni, dedito ai ransomware a doppia estorsione. Prima di criptare i dati della vittima li esfiltra e minaccia di renderli pubblici se questa non paga il riscatto. Al danno operativo si aggiunge così quello reputazionale. Cyber minacce e incidenti informatici: attiva la tua resilienza in 10 step Ad agosto del 2023 (dopo 16 anni complessivi di attività), la rete QakBot è stata spenta grazie a una collaborazione tra autorità internazionali coordinate dal dipartimento di Giustizia degli Stati Uniti. L’operazione congiunta ha consentito di recuperare 8,6 milioni di dollari in criptovalute, parte del bottino frutto delle razzie. SocGholish, noto anche come FakeUpdates, è collegato al gruppo Evil Corp (lo stesso di WastedLocker) e prende di mira i sistemi Windows. Si tratta spesso di finti aggiornamenti software che, di fatto, vengono prelevati da siti infetti senza l’intervento dell’utente. Noto dal 2018, restringe il focus soprattutto sulle imprese attive nella ristorazione e nel settore alberghiero ma, al pari di ogni altro malware, non disdegna mettere il becco al di fuori della propria comfort zone. Il caso Raspberry Robin Un mezzo di diffusione che fa scuola in due diversi modi. Il primo è atavico: per diffondersi usa i dispositivi USB. In altre parole, il worm usa come vettore una tecnica nota da anni e ciò dimostra che molte organizzazioni, nonostante la vasta gamma di software che consentono di disattivare le porte USB di client e server, ancora lasciano che i propri dipendenti ne facciano uso. Tutto f...
