Chaos, il nuovo malware: come colpisce, come difendersi


articolo di Niccolò Ellena: Chaos, il nuovo malware: come colpisce, come difendersi (money.it)

Chaos è un nuovo malware scritto in linguaggio Go che è capace di sfuggire agli antimalware. Diffusosi rapidamente in Italia, prende di mira i dispositivi dotati di Linux e Microsoft

C’è un nuovo malware in città: il suo nome è Chaos. È stato scoperto da dei ricercatori di Black Lotus Labs, un centro di ricerca collegato a Lumen Technologies, un’azienda americana operante nell’ambito delle telecomunicazioni.

Il malware è stato scritto in linguaggio Go, un linguaggio di programmazione creato da Google nel 2009 che rende il malware molto difficile da rintracciare.

Secondo gli esperti, il malware sarebbe riconducibile al malware Kaiji, già diffuso da un paio di anni e utilizzato principalmente per attacchi DDoS (Distributed Denial of Services). Entrambi sono stati scritti con lo stesso linguaggio.

Come attacca Chaos – Chaos può prendere di mira sia computer con Linux sia con Windows. In questo modo può accrescere più rapidamente la sua botnet, con genera attacchi DDoS.

Il malware inoltre è per sua stessa natura molto versatile, poiché può essere eseguito su una serie di architetture diverse, come ARMIntel (i386)MIPS e PowerPC. Queste sono tipiche dei router che si trovano sia nelle case delle persone sia nelle aziende.

Chaos attacca prevalentemente cercando dispositivi che non sono stati aggiornati alla loro ultima versione e perciò presentano delle vulnerabilità.

Ma non soltanto, secondo gli esperti si è propagato grazie anche attacchi cosiddetti brute force, basati cioè sull’inserire una password che non si conosce finché non la si indovina, e sfruttando chiavi SSH rubate.

Agenzia cyber, aumento degli attacchi agli operatori italiani di energia


articolo Redazione ANSA: https://www.ansa.it/sito/notizie/tecnologia/tlc/2022/09/02/agenzia-cyber-aumento-attacchi-operatori-italiani-energia_f50cf0ea-5166-46b8-9d3d-a1a98fd30376.html

Raccomandazioni per innalzare protezione infrastrutture digitali

Un’immagine che simula e rappresenta la figura di un hacker impegnato in un attacco informatico. Gli Stati Uniti e i suoi più stretti alleati hanno accusatato formalmente la Cina di essere dietro a un’ondata di cyber attacchi senza precedenti che hanno colpito Microsoft e diverse aziende sparse per il mondo – ANSA/ ALESSANDRO DI MARCO

Si registra un aumento degli attacchi cibernetici alle strutture energetiche nazionali.

Lo fa sapere l’Agenzia per la cybersicurezza nazionale, informando che si è tenuta questo pomeriggio la riunione del Nucleo per la cybersicurezza riguardo agli attacchi che negli scorsi giorni hanno coinvolto operatori italiani del settore energetico (Eni e Gestore dei servizi energetici, ndr).

I tecnici dell’Agenzia hanno diffuso le raccomandazioni tecniche “per l’innalzamento dei livelli di protezione delle infrastrutture digitali degli operatori energetici, adeguandole costantemente alle più recenti informazioni sulla minaccia“.

L’incremento generalizzato di attività malevole, confermato dai dati di monitoraggio dell’Agenzia – rileva l’organismo diretto da Roberto Baldoni – evidenzia il perdurare di diverse campagne globali di tipo Ddos (Distributed denial of service, in pratica si invia un’enorme quantità di richieste al sito web bersaglio, che non è in grado di gestirle e quindi di funzionare correttamente, ndr) e intrusivo, nell’ambito delle quali l’Italia risulta essere un target particolarmente colpito“.

Hacker, attacco a Eni dopo il Gse. Massima allerta dell’intelligence


articolo: https://www.repubblica.it/economia/2022/08/31/news/hacker_eni_energia_gse-363672946/

Nel mirino le società energetiche. Tra le ipotesi, un tentativo russo di influenzare le elezioni del 25 settembre. Possibile una riunione del Cisr, il Comitato interministeriale per la sicurezza della Repubblica

Roma, 31 agosto 2022

Anche l’Eni nel mirino degli hacker, dopo l’attacco che nella notte tra domenica e lunedì scorsi ha colpito il Gestore dei servizi energetici (Gse). I sistemi di protezione interni della società hanno rilevato nei giorni scorsi – “nell’ambito delle attività di monitoraggio delle infrastrutture informatiche, rafforzate a seguito dell’inizio del conflitto in Ucraina” – “accessi non autorizzati alla rete aziendale” e sta lavorando “per valutare le conseguenze del tentativo d’attacco, che risultano attualmente di lieve entità“.

Due episodi che fanno scattare la massima allerta di intelligence e Agenzia per la cybersicurezza nazionale, considerando l’attivismo russo sul fronte della minaccia cyber a 25 giorni dalle elezioni politiche in Italia. Valutata anche l’ipotesi che sia in corso una campagna offensiva. Domani potrebbe svolgersi a Palazzo Chigi, prima del Consiglio dei ministri, una riunione del Comitato interministeriale per la sicurezza della Repubblica (Cisr). Sui casi specifici indagano gli specialisti della Polizia postale. continua a leggere su repubblica.it

Poste Italiane, si teme attacco hacker del gruppo filo russo Killnet: servizi bloccati negli uffici


articolo di Giulia Cimpanelli: https://www.corriere.it/tecnologia/22_maggio_30/servizi-poste-bloccati-si-teme-l-attacc-gruppo-hacker-filo-russo-killnet-d6c1cffe-dff2-11ec-907c-89e18a84369e.shtml

Come registra Downdetector e Twitter, dopo le 7 di oggi si è verificato un picco delle segnalazioni per malfunzionamenti e disservizi

Servizi bloccati negli uffici di Poste Italiane: si ipotizza che siano i primi effetti dell’attacco hacker di Killnet in Italia. Come registra Downdetector, dopo le 7 di martedì si è verificato un picco delle segnalazioni per malfunzionamenti e disservizi.

Anche su Twitter molti utenti denunciano sistemi e servizi degli uffici postali in tilt da Nord a Sud con l’hashtag #posteitaliane. Sembra che alcuni uffici abbiano addirittura chiuso i battenti questa mattina presto per cercare di risolvere il problema. Su Twitter l’hashtag #hacker è trend topic in Italia.

Ieri il gruppo filorusso Killnet aveva annunciato: «Colpo irreparabile all’Italia» che sarebbe stato sferrato alle 5 di questa mattina.

La nota di Poste Italiane – La prima nota di Poste Italiane chiarisce che non si tratta di un attacco hacker, ma di un disguido tecnico dovuto a un aggiornamento informatico interno. «Il disguido tecnico, che si è verificato stamani negli uffici postaliè dovuto ad un aggiornamento del sistema” e non ad un attacco informatico —. È quanto fanno sapere fonti di Poste Italiane, precisando che «il disguido è in via di risoluzione».

Disagi a RomaA Roma denunciano rallentamenti e in certi casi anche blocco delle funzioni allo sportello. Difficoltà anche nelle prenotazioni delle visite in intramoenia attraverso il sistema informatico della Asl Roma 1.

Gli hacker russi minacciano attacco all’Italia: «Danni irreparabili»


articolo: Gli hacker russi minacciano attacco all’Italia: «Danni irreparabili» – Il Sole 24 ORE


(Ansa)

Il «collettivo Killnet» minaccia una cyberwar su larga scala ai siti italiani. Allarme del Csirt Italia, il team di risposta dell’Agenzia per la cybersicurezza nazionale

«Un colpo irreparabile all’Italia». A minacciarlo per lunedì 30 sono gli hacker filorussi del collettivo Killnet, che tornano a farsi sentire dopo gli attacchi lanciati nelle ultime settimane contro siti istituzionali (dal Senato al ministero della Difesa, dalla Polizia al Csm), aziende ed aeroporti, sui quali ha aperto un fascicolo la procura di Roma. C’è stato anche un tentativo – andato a vuoto – di colpire la piattaforma dell’Eurovision song contest svoltosi a Torino. E nel pomeriggio di domenica Csirt Italia, il team di risposta in caso di incidente dellAgenzia per la cybersicurezza nazionale, ha diramato un alert, evidenziando come continuino «a rilevarsi segnali e minacce di possibili attacchi imminenti ai danni, in particolare, di soggetti nazionali pubblici, soggetti privati che erogano un servizio di pubblica utilità o soggetti privati la cui immagine si identifica con il paese Italia».

Csirt Italia: mitigare immediatamente le vulnerabilità – La raccomandazione è ad «implementare con effetto immediato» le «azioni per mitigare le vulnerabilità» ed a «mantenere un attento controllo sulle infrastrutture It h24».

In una chat su Telegram Killnet ha postato prima un messaggio: «30 maggio – 05:00 il punto d’incontro è l’Italia!». Successivamente, col solito tono ironico, ha aggiunto: «sono sempre stato interessato a una domanda: la Russia generalmente supporta le nostre attività? Dal momento che faremo un colpo irreparabile in Italia a causa della guerra con Anonymous. Saremo almeno ricordati nella nostra terra natale?».

Il riferimento è all’azione di Anonymous che nei giorni scorsi aveva reso inaccessibile il sito dei filorussi ’killnet.ru’, dichiarando guerra agli hacker ’rivali’. «Abbiamo chiamato Fake Anonymous sul campo di battaglia in Italia se non possono fermarci come promesso», è la risposta di Killnet, che ha ricevuto sulla stessa chat il sostegno di Legion, gruppo affiliato: «preparati», ha scritto quest’ultimo con l’emoticon del fuoco.

Attacchi Ddos per «sovraccaricare» i server – Gli attacchi registrati nelle passate settimane sono stati di tipo Ddos (Distributed denial of service). In pratica, si invia un’enorme quantità di richieste al sito web bersaglio, che non è in grado di gestirle e quindi di funzionare correttamente. continua a leggere

App antivirus distribuivano malware, colpite Italia e Gb


articolo Redazione ANSA: https://www.ansa.it/sito/notizie/tecnologia/software_app/2022/04/07/app-antivirus-distribuivano-malware-colpite-italia-e-gb_0b43b9b4-2a11-4398-9dff-a56b4ee54be3.html

Scaricate 11mila volte, sospetti su aggressori lingua russa

Si spacciano per app anti virus, invece diffondono malware bancari che rubano credenziali e informazioni bancarie.

E’ la scoperta dei ricercatori della società di sicurezza Check Point Research che ha trovato sei applicazioni su Google Play Store: ha contato oltre 1.000 indirizzi IP unici di dispositivi infetti, soprattutto in Italia.

Le applicazioni dannose sono state scaricate più di 11.000 volte. La società ha comunicato i risultati a Google, che ha rimosso le app dannose.

Check Point Research sospetta che gli aggressori siano di lingua russa e avverte gli utenti Android di stare molto attenti anche nel download di soluzioni anti-virus, le quali dovrebbero proteggerli dai virus stessi. Il 62% delle vittime sono state trovate in Italia; il 36% nel Regno Unito, il 2% in altri Paesi. Gli hacker hanno implementato una funzione di geo-localizzazione che ignora gli utenti in Cina, India, Romania, Russia, Ucraina o Bielorussia.

Le app incriminate sono Atom clean booster, Super cleaner, Alpha antivirus, Powerful cleaner, e due con l’identico nome Center security. Il malware conosciuto come Sharkbot, ruba credenziali e informazioni bancarie. Sharkbot – spiegano i ricercatori – attira le vittime con notifiche push, inducendo gli utenti a inserire credenziali con la compilazione di moduli. Quando l’utente inserisce le proprie credenziali in queste finestre, i dati compromessi vengono inviati a un server maligno.

“Penso che sia importante per tutti gli utenti di Android sapere e pensare due volte prima di scaricare qualsiasi soluzione antivirus dal Play Store. Potrebbe essere Sharkbot”, spiega Alexander Chailytko, di Check Point Software che raccomanda di installare solo applicazioni affidabili e verificati, e di segnalare a Google app apparentemente sospette.

Sito del Mite down, non raggiungibile il ministero della Transizione Ecologica: «Minaccia esterne»


articolo di Paolo Ottolina: Mite, in down il sito del Ministero della Transizione Ecologica: «Minaccia esterne»- Corriere.it

Il ministro Cingolani: «Abbiamo minacce esterne rilevate sulla rete informatica del Ministero e per prudenza abbiamo dovuto sospendere il funzionamento di tutti i sistemi informatici del ministero»

La notizia l’ha data lo stesso ministro Roberto Cingolani, mentre era collegato in diretta con Radio1: «Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero e per prudenza abbiamo dovuto sospendere il funzionamento di tutti i sistemi informatici del ministero». Il responsabile della Transizione ecologica ha aggiunto: «La sicurezza è il primo parametro da tenere a mente». continua a legggere

Attacco hacker alle ferrovie, Trenitalia bloccata: biglietterie e self service non vanno. «Chiesto riscatto»


articolo di Alessio Lana, Paolo Ottolina e Rinaldo Frignani: https://www.corriere.it/tecnologia/22_marzo_23/trenitalia-bloccata-hacker-biglietterie-self-service-non-funzionano-fe4d6004-aaa2-11ec-89dc-0e9cfd23fb65.shtml

Disagi per un virus cryptolocker della famiglia dei ransomware. «Riscatto di 5 milioni di dollari, da pagare entro 3 giorni. Probabile si tratti di criminali comuni». È possibile acquistare i biglietti sull’app e sul sito online (o a bordo)

Trenitalia e Rfi vittima di un attacco hacker. Dalla mattina di oggi, 23 marzo, biglietterie e self service sono state messe offline dalle stesse aziende per evitare la propagazione dell’infezione informatica e procedere alla bonifica, i cui tempi al momento non sono noti. I disservizi sono causati da un virus cryptolocker della famiglia dei ransomware (che cos’è) in grado di introdursi in una rete informatica per decriptare i dati sensibili e bloccarli, chiedendo poi un riscatto per rilasciarli e liberare il sistema. Un cyberattacco simile ad altri registrati in Italia negli ultimi mesi, come quello dell’estate scorsa alla piattaforma sanitaria della Regione Lazio che per un mese creò enormi danni anche alle prenotazioni per i vaccini anti-Covid e per le stesse prestazioni mediche.

«Chiesto un riscatto di 5 milioni di dollari» – Chi c’è dietro a questo attacco? Si era ipotizzato anche un coinvolgimento di un gruppo russo (collettivi di hacker russi come Conti sono specializzati proprio nei ransomware) ma secondo una nostra fonte, un professionista del mondo della sicurezza digitale, «l’origine sembra piuttosto legata a criminali comuni, che bloccano i sistemi per denaro. Nella schermata (che alleghiamo, ndr) i cybercriminali hanno chiesto a Rfi un riscatto di 5 milioni di dollari entro 3 giorni per sbloccare i computer criptati dal malware. Se il riscatto non sarà pagato entro 72 ore, la richiesta sale a 10 milioni di dollari». Gli esperti di sicurezza consigliano di non procedere mai al pagamento. Da parte sua, invece, Rete Ferroviaria Italia, attraverso un portavoce, non conferma di aver ricevuto richiesta di denaro.

Spenti i terminali – L’attacco è scattato mercoledì notte contro la rete delle Ferrovie italiane, con la conseguente decisione dell’azienda di far spegnere subito i terminali informatici negli uffici a livello nazionale e con i problemi tecnici ai servizi per il pubblico, come i tablet a disposizione del personale di bordo e in banchina. Sono in corso indagini per risalire al gruppo di hacker che materialmente è entrato in azione: agenti della polizia postale stanno svolgendo una serie di accertamenti insieme con la protezione aziendale delle Ferrovie. continua a leggere

Via software e prodotti cyber russi da tutte le pubbliche amministrazioni italiane: il decreto


articolo di Alessandro Longo: https://www.repubblica.it/tecnologia/2022/03/18/news/vietati_software_e_prodotti_cyber_russi_in_tutte_le_pubbliche_amministrazioni_italiane_il_decreto-341909411/

C’è la bozza dell’annunciato provvedimento che mette al bando tecnologie di cyber security in tutti gli enti pubblici italiani, dai Comuni alle scuole alla Sanità. Ecco i dettagli

Il Governo sta per approvare il decreto che mette al bando tutti i prodotti e i servizi di sicurezza informatica russi – non solo Kaspersky, quindi – da tutte le pubbliche amministrazioni italiane. Come Comuni, Regioni, ministeri, enti sanitari e scuole. Il decreto era stato annunciato dal Governo nei giorni scorsi proprio per il caso Kaspersky; oggi è trapelata una bozza, che ItalianTech ha potuto leggere.

Il decreto contro software e prodotti cyber security russi – Tutti gli enti pubblici italiani sono quindi obbligati a “diversificare” se hanno prodotti e servizi tecnologici di sicurezza informatica. Insomma devono sostituirli con altri. Si chiede in particolare alle stazioni appaltanti della PA di provvedere all’acquisto di alternative. Il decreto richiama quanto indicava in settimana dall’Agenzia della cyber security nazionale, che consigliava, anche ai privati non solo alle aziende che hanno tecnologia russa di fare una “analisi del rischio” urgente e di diversificare. Il decreto specifica, prendendole da quanto indicato dall’Agenzia, le categorie di prodotti e servizi da sostituire. continua a leggere

  • sicurezza dei dispositivi (endpoint security), compresi antivirus, antimalware ed Endpoint detection and Response (in sigla, Edr);
  • Web application firewall (Waf);
  • protezione della posta elettronica;
  • protezione dei servizi cloud;
  • servizi di sicurezza gestiti (Managed security service).

Scatta l’allarme: l’Italia sarà colpita da un attacco informatico


articolo di Arturo Di Corinto: https://www.repubblica.it/tecnologia/2022/03/05/news/scatta_lallarme_litalia_sara_colpita_da_un_attacco_informatico-340458724/

La notizia divulgata nei canali riservati diventa pubblica: si teme un’incursione di hacker russi ai danni dei servizi essenziali del nostro Paese

Traffic light protocol white: la notizia prima classificata come riservata diventa pubblica, dal semaforo rosso si passa a quello arancione e poi al bianco, che nel mondo della difesa cibernetica significa che è arrivata all’opinione pubblica, e la notizia è che “domenica 6 marzo potrebbero esserci attacchi cyber in Italia ai danni di enti governativi e industriali non meglio definiti”.

A lanciare l’allarme è stato lo Csirt, il Computer Security Incident Response Team dell’Agenzia per la cybersicurezza nazionale: “Nel ricordare la necessità di adottare tutte le misure di protezione degli asset IT, in particolare quelle oggetto degli alert specifici già diffusi dall’Agenzia per la Cybersicurezza Csirt Italia, si raccomanda prestare particolare attenzione nel giorno indicato e comunicare eventuali evidenze di attività malevole utilizzando i canali di comunicazione dello Csirt Italia”.

Ce lo aspettavamo. Se ne era parlato a lungo in questi giorni in cui il conflitto militare tra la Russia e l’Ucraina aveva preso anche la forma di un conflitto cibernetico. Tutto era cominciato – come da noi riportato – dalla diffusione di un pericoloso malware di origine russa, un wiper, capace di cancellare la memoria dei computer e di renderli inservibili, ed era proseguito con le incursioni di Anonymous e di una trentina di altri gruppi hacker dai nomi fantasiosi che avevano bloccato le risorse informatiche una volta dei russi una volta degli ucraini. Tutto all’insegna del timore di un intervento Nato che secondo l’articolo 5 può intervenire in difesa di un paese dell’alleanza, anche in caso di attacco cibernetico.

Adesso, come atteso, la preoccupazione è che anche un paese distante come l’Italia, che ha preso posizione contro la guerra di Putin, possa essere coinvolto nella guerra cibernetica.

Già dai giorni scorsi sul sito dello Csirt però si poteva leggere questo avviso “Sebbene al momento non vi siano indicatori in tal senso, si evidenzia il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche. Tali impatti potrebbero derivare dalla natura interconnessa della rete Internet, in quanto azioni malevole, indirizzate verso una parte di essa, possono estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con impatto globale quali ad esempio NotPetya e Wannacry”.

Insomma, l’allarme non riguarda proprio tutti, ma i gestori di servizi essenziali e quelli che operano infrastrutture critiche. continua a leggere

Attacco hacker alla Toyota: chiusi tutti gli impianti in Giappone e crollo della produzione


articolo di Lorenzo Nicolao: https://www.corriere.it/tecnologia/22_febbraio_28/attacco-hacker-toyota-chiusi-tutti-impianti-giappone-crollo-produzione-09b16874-9891-11ec-899b-30de360aaa79.shtml?fbclid=IwAR33EXr40ZyfxYVgcHT5-v1LMOMbO1bw-QLCwTlYf1XuFXq_vGcdWLsr94E

I pirati hanno colpito la società che fornisce componenti e il blocco dell’attività potrebbe provocare un danno economico enorme: la Toyota calcola già 10mila veicoli prodotti in meno

La Toyota non è riuscita a impedire la sospensione dell’attività di tutte le sue sedi in Giappone dopo che uno dei suoi principali fornitori è stato colpito da un attacco hacker. Il quotidiano nipponico Nikkei ha precisato che l’azienda coinvolta dalla violazione informatica sarebbe la Kojima Press, con sede a Toyoda, una frazione della città di Nagoya, dove è situato anche il quartier generale della casa automobilistica e del suo museo. La Kojima produce componenti molto rilevanti per le auto, dal momento che lavora con sistemi avanzati il metallo e la plastica. Il suo sito è risultato improvvisamente offline, fermo per diverse ore, bloccando di fatto la produzione. Un danno che ha avuto ripercussioni immediate sulla Toyota, tanto da costringere i vertici dell’azienda a interrompere il lavoro. Un processo già rallentato e messo in difficoltà dalla carenza di microchip generata precedentemente dalla pandemia. Già a gennaio il calo della produzione della prima casa automobilistica del mondo era stato del 15% rispetto all’anno precedente, ma con questa emergenza ammontano a quattordici gli impianti che in Giappone saranno costretti a una chiusura programmata di due giorni. Per il momento, i vertici della casa hanno preferito non commentare la scelta presa.

Oltre 48 ore di inattività in questi ambiti hanno un peso notevole sul processo produttivo di una grande azienda, con il calcolo immediato dei vertici di Toyota che rappresenterebbe chiaramente un crollo della produzione di 10mila vetture a causa del cyberattacco. La multinazionale che domina non solo il mercato giapponese, ma anche quello straniero, teme chiaramente che la chiusura possa influenzare anche le sedi estere, dove da anni si producono veicoli generalmente stimati per la qualità dei materiali e la progettazione. Un attacco hacker estremamente dannoso quindi, se si pensa che nel corso del 2008 la Toyota superò anche la General Motors, diventando la prima azienda automobilistica al mondo per numero di veicoli e per fatturato. continua a leggere

Croce Rossa vittima di un attacco informatico…..


Croce Rossa vittima di un attacco informatico: a rischio i dati di oltre 515mila “persone altamente vulnerabili”

articolo di Arturo Di Corinto: https://www.repubblica.it/tecnologia/2022/01/20/news/croce_rossa_vittima_di_un_attacco_informatico_a_rischio_i_dati_di_oltre_515mila_persone_altamente_vulnerabili_-334568960/

L’attacco avrebbe avuto origine dalla compromissione di un’azienda tecnologica con sede in Svizzera, un appaltatore della Croce Rossa

Senza pudore e senza pietà. Ignoti attaccanti hanno avuto il coraggio di bersagliare perfino i server del Comitato internazionale della Croce Rossa rubando le informazioni riservate di oltre 500mila persone in condizioni vulnerabili, tra cui migranti, vittime di calamità naturali, parenti di persone scomparse e prigionieri di tutto il mondo, con un impatto su almeno 60 divisioni dell’organizzazione internazionale.

Sede a Ginevra, in Svizzera, il Comitato, apolitico, impiega circa 20mila persone in oltre 100 Paesi ed è finanziato dalle donazioni volontarie dei governi e delle società nazionali della Croce Rossa e della Mezzaluna Rossa. Dal 1863 protegge e aiuta le vittime di conflitti armati e promuove il rispetto del diritto internazionale umanitario. continua a leggere