Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Dicembre 2022 08:49
Il gruppo di Hacktivisti chiamati NoName057, sono saliti alla cyber cronaca recentemente e li abbiamo visti ultimamente sferrare degli attacchi informatici contro infrastrutture statali italiane. Nello specifico parliamo degli attacchi ai siti del ministero della difesa avvenuto recentemente e contro il Ministero dell’agricoltura italiano.
I ricercatori di sicurezza informatica di Avast, hanno monitorato l’attività di un gruppo di hacker filo-russo chiamato NoName057(16), dal 1° giugno 2022. Il gruppo reagisce all’evoluzione delle situazioni politiche, prendendo di mira aziende e istituzioni filoucraine in Ucraina e nei paesi limitrofi, come Estonia, Lituania, Norvegia e Polonia.
Secondo la ricerca di Avast, il gruppo ha una percentuale di successo del 40% e le aziende con un’infrastruttura ben protetta possono resistere ai loro tentativi di attacco. La ricerca ha anche scoperto che il 20% dei successi dichiarati dal gruppo potrebbe non essere opera loro.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
NoName057(16) effettua esclusivamente attacchi DDoS.
All’inizio di giugno, il gruppo ha preso di mira i server di notizie ucraini. Quindi, si sono concentrati sui siti Web all’interno dell’Ucraina appartenenti a città, governi locali, società di servizi pubblici, produttori di armamenti, società di trasporti e uffici postali.
A metà giugno, gli attacchi sono diventati più politicamente motivati.
Gli Stati baltici (Lituania, Lettonia ed Estonia) sono stati presi di mira in modo significativo. A seguito del divieto di transito di merci soggette a sanzioni dell’UE attraverso il loro territorio verso Kaliningrad, il gruppo ha preso di mira le società di trasporto lituane, le ferrovie locali e le società di trasporto su autobus.
Il 1 luglio 2022, il trasporto di merci destinate a raggiungere i minatori impiegati dalla società di estrazione del carbone di proprietà del governo russo, Arktikugol, è stato interrotto dalle autorità norvegesi.
In risposta, il gruppo ha reagito attaccando le compagnie di trasporto norvegesi (Kystverket, Helitrans, Boreal), il servizio postale norvegese (Posten) e le istituzioni finanziarie norvegesi (Sbanken, Gjensidige).
NoName057(16) si vanta attivamente dei suoi attacchi DDoS di successo ai suoi oltre 14.000 follower su Telegram. Il loro canale è stato creato l’11 marzo 2022. Il gruppo segnala solo attacchi DDoS riusciti.
“Sebbene il numero di attacchi riusciti riportato dal gruppo sembri elevato, le informazioni statistiche indicano il contrario”
spiega Martin Chlumecky, ricercatore di malware presso Avast.
“Il tasso di successo del gruppo è del 40%. Abbiamo confrontato l’elenco degli obiettivi che il server C&C invia ai bot Bobik con ciò che il gruppo pubblica sul proprio canale Telegram. I siti Web ospitati su server ben protetti possono resistere agli attacchi. Circa il 20% degli attacchi di cui il gruppo afferma di essere responsabile non corrispondeva agli obiettivi elencati nei loro file di configurazione.”
Il gruppo controlla PC non protetti in tutto il mondo infettati da malware chiamato Bobik, che agiscono come bot.
Bobik è emerso per la prima volta nel 2020 ed è stato utilizzato in passato come strumento di accesso remoto. Il malware è distribuito da un dropper, il famoso Redline Stealer, che è una botnet-as-a-service che i criminali informatici pagano per diffondere il loro malware preferito .
Il gruppo invia comandi ai suoi bot tramite un server C&C situato in Romania. In precedenza, il gruppo aveva due server aggiuntivi in Romania e Russia, ma questi non sono più attivi. I bot ricevono elenchi di obiettivi per DDoS, sotto forma di file di configurazione XML, che vengono aggiornati tre volte al giorno. Tentano di sovraccaricare le pagine di accesso, i siti di recupero password e le ricerche sui siti.
Gli attacchi durano da poche ore a pochi giorni.
Gli attacchi di maggior successo del gruppo lasciano i siti inattivi per diverse ore o alcuni giorni. Per gestire gli attacchi, gli operatori di siti più piccoli e locali ricorrono spesso al blocco delle query provenienti dall’esterno del proprio paese. In casi estremi, alcuni proprietari di siti presi di mira dal gruppo hanno annullato la registrazione dei propri domini.
“La potenza degli attacchi DDoS eseguiti da NoName057(16) è a dir poco discutibile. Possono colpire efficacemente circa tredici indirizzi URL contemporaneamente, a giudicare dalla cronologia delle configurazioni, inclusi i sottodomini”, continua Martin Chlumecky. “Inoltre, una configurazione XML include spesso un dominio definito come un insieme di sottodomini, quindi Bobik attacca efficacemente cinque diversi domini all’interno di una configurazione. Di conseguenza, non possono concentrarsi su più domini per motivi di capacità ed efficienza”.
Gli attacchi DDoS effettuati sono stati più difficili da gestire per alcuni operatori di siti di domini importanti e significativi, come banche, governi e società internazionali. Dopo un attacco riuscito, i ricercatori di Avast hanno notato aziende più grandi che implementano soluzioni aziendali, come Cloudflare o BitNinja, che possono filtrare il traffico in entrata e rilevare gli attacchi DDoS nella maggior parte dei casi.
D’altra parte, la maggior parte delle grandi aziende internazionali si aspetta un traffico più intenso ed esegue i propri server Web nel cloud con soluzioni anti-DDoS, rendendoli più resistenti agli attacchi. Ad esempio, il gruppo non è riuscito a smantellare siti appartenenti alla banca danese Danske Bank (attaccata dal 19 al 21 giugno 2022) e alla banca lituana SEB (attaccata dal 12 al 13 luglio 2022 e dal 20 al 21 luglio 2022).
Gli attacchi di maggior successo di NoName057(16) hanno colpito le aziende con siti semplici e informativi. I server di siti come questi non sono in genere progettati per essere caricati pesantemente e spesso non implementano tecniche anti-DDoS, rendendoli un facile bersaglio.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
