Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Fortinet 970x120px
320x100 Itcentric

Tag: botnet

Attacchi Mirati con TgRat: Il Trojan che Usa Telegram per infettare Linux

Redazione RHC 07/07/2024

Gli analisti Doctor Web hanno identificato la versione Linux del noto trojan TgRat, utilizzato per attacchi mirati. Una delle caratteristiche degne di nota di questo malware è che è controllato da un bot di Telegram. TgRat, originariamente scritto per Windows, è stato scoperto nel 2022. Si trattava di un piccolo programma dannoso creato per dispositivi specifici da cui gli aggressori pianificavano di rubare informazioni riservate. Poi i ricercatori hanno affermato che TgRat utilizza Telegram come server di controllo. Il server era un gruppo chiuso nel messenger e la comunicazione veniva effettuata utilizzando l’API di Telegram (libreria  github.com/wrwrabbit/telegram-bot-api-go). Come riferisce ora Doctor Web, durante un’indagine sull’incidente è stata

Zergeca: La Botnet Che Minaccia Linux e Altri Sistemi Operativi con Attacchi DDoS e Funzionalità Avanzate

Redazione RHC 24/06/2024

I ricercatori del team di sicurezza XLab hanno recentemente scoperto una nuova botnet nel cyberspazio, Zergeca, che si distingue per le sue capacità avanzate e rappresenta una seria minaccia per milioni di dispositivi digitali. Zergeca è in grado non solo di sferrare attacchi DDoS, ma anche di svolgere molte altre funzioni dannose. Il 20 maggio 2024, XLab ha rilevato un file ELF sospetto nella directory “/usr/bin/geomi” sulla piattaforma Linux di uno dei suoi clienti. Questo file, compresso utilizzando un UPX modificato, è rimasto a lungo inosservato dai programmi antivirus. Dopo l’analisi i ricercatori hanno scoperto che si tratta di una botnet implementata a Golang. E dato che la sua infrastruttura C2 utilizzava la

Migliaia di credenziali di Italiani Online! Cosa sono le Combo list, tra botnet, infostealer e protezione

Simone D'Agostino 10/06/2024

Una minaccia sempre più crescente sta emergendo con forza: sono le Combo list. Su RHC ne abbiamo parlato a lungo, si tratta di elenchi di credenziali rubate che rappresentano un pericolo significativo per la sicurezza informatica. In questo articolo, esploreremo cosa sono le Combo list, come funzionano e l’impatto che possono avere sulla nostra sicurezza digitale e come difendersi. Cosa sono le Combo list Le Combo list sono raccolte di dati sottratti da varie violazioni di sicurezza, solitamente contenenti combinazioni di indirizzi email e password. Questi dati vengono aggregati e poi messi in vendita nei mercati clandestini del dark web e su

Operazione Endgame: Europol Demolisce Le Reti Botnet e Dropper e Arresta i Cybercriminali

Redazione RHC 30/05/2024

Tra il 27 e il 29 maggio 2024 l’operazione Endgame, coordinata dal quartier generale di Europol, ha preso di mira i dropper tra cui IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le azioni si sono concentrate sull’interruzione dei servizi criminali attraverso l’arresto di obiettivi di alto valore, la demolizione delle infrastrutture criminali e il congelamento dei proventi illegali. Questo approccio ha avuto un impatto globale sull’ecosistema dei dropper. Il malware, la cui infrastruttura è stata abbattuta durante i giorni dell’azione, ha facilitato gli attacchi con ransomware e altri software dannosi. Dopo le giornate di azione, il 30 maggio 2024 otto fuggitivi ricercati

Milioni di messaggi distribuiscono il ransomware LockBit Black: l’alert di Proofpoint

Redazione RHC 18/05/2024

A cura di Selena Larson, Staff Threat Researcher and Lead, Intelligence Analysis and Strategy, Proofpoint A partire dal 24 aprile 2024, e ogni giorno per circa una settimana, Proofpoint ha osservato campagne ad alto volume con milioni di messaggi facilitati dalla botnet Phorpiex che consegnavano il ransomware LockBit Black. È la prima volta che i ricercatori di Proofpoint osservano campioni di ransomware LockBit Black (alias LockBit 3.0) consegnati tramite Phorpiex in volumi così elevati. Il campione di LockBit Black usato in questa campagna è stato probabilmente costruito a partire dal builder di LockBit, trapelato nell’estate del 2023.  I messaggi provenivano da “Jenny

La Botnet Ebury ha infettato 400.000 server Linux in 15 anni

Redazione RHC 15/05/2024

Secondo un recente rapporto di ESET, la botnet Ebury ha infettato quasi 400.000 server Linux dal 2009. Alla fine del 2023 erano ancora a rischio circa 100.000 server. I ricercatori ESET monitorano le attività di Ebury da oltre un decennio. Hanno registrato aggiornamenti malware significativi nel 2014 e nel 2017. Una recente operazione delle forze dell’ordine olandesi ha fornito nuovi dati sulle attività di una botnet di lunga durata. “Sebbene 400.000 sia un numero enorme, è importante capire che questo è il numero totale di infezioni in quasi 15 anni. Non tutte le macchine sono state infettate contemporaneamente”, spiega ESET. “Nuovi server spuntano costantemente e vengono infettati mentre altri vengono ripuliti

redline

Lode a RedLine, il RE degli Infostealer! Infetta un dispositivo su due attaccato da uno stealer

Redazione RHC 03/05/2024

Secondo l’analisi di Kaspersky Digital Footprint Intelligence, nel 2023, il malware RedLine è stato responsabile di infettare il 55% dei dispositivi mondiali colpiti da attacchi stealer. Gli stealer sono un tipo di programma in grado di rubare i dati personali degli utenti, inclusi accessi, password e dati della carta bancaria. Ad esempio, dal 2020 RedLine viene utilizzata attivamente dagli aggressori e, da quest’anno, è stata coinvolta nel 51% di tali incidenti. Negli ultimi 4 anni sono state identificate più di 100 varietà di infosteeler. Insieme a RedLine, Vidar (17%) e Raccoon (circa il 12%) rappresentano una quota significativa di incidenti. La crescita del numero di

I ricercatori di Fortinet scoprono la botnet Goldoon. Sfrutta bug di 10 anni per infettare i router D-Link

Redazione RHC 03/05/2024

Recentemente, i ricercatori di sicurezza informatica di Fortinet hanno scoperto una rete botnet mai vista prima chiamata Goldoon, che prende di mira i router D-Link attraverso la vulnerabilità CVE-2015-2051, nota da quasi un decennio. Questa vulnerabilità ha un punteggio CVSS quasi massimo (9,8 punti) e consente agli aggressori remoti di eseguire comandi arbitrari utilizzando richieste HTTP appositamente predisposte. Kara Lin e Vincent Lee, ricercatori di Fortinet FortiGuard Labs, hanno notato che una volta che un dispositivo viene infettato, l’aggressore ne acquisisce il pieno controllo, consentendo agli hacker di estrarre informazioni dal sistema, stabilire una comunicazione con il server di controllo e utilizzare i dispositivi infetti per ulteriori azioni dannose,

I Router TP-Link sono sotto il Fuoco Incrociato degli Attacchi DDoS

Redazione RHC 17/04/2024

Fortinet riferisce che gli aggressori continuano a sfruttare una vulnerabilità vecchia di un anno nei router TP-Link, aggiungendo router a varie botnet per effettuare attacchi DDoS. La vulnerabilità di command injection CVE-2023-1389 (punteggio CVSS: 8,8) è stata scoperta nel dicembre 2022 all’evento Pwn2Own a Toronto e corretta nel marzo 2023. Il bug colpisce il popolare modello TP-Link Archer AX21, che è stato a lungo nel mirino degli operatori di botnet. Fortinet ha assistito a numerosi attacchi che sfruttavano questa falla di sicurezza, tra cui il malware botnet Mirai e Condi. Il codice dannoso consente agli hacker di prendere il controllo dei dispositivi per sferrare attacchi DDoS. Nell’aprile 2023 si è saputo che i

I malware ora scansionano le reti all’interno delle aziende nella ricerca di vulnerabilità critiche

Redazione RHC 09/04/2024

Gli esperti di Palo Alto Networks hanno scoperto che negli ultimi tempi gli aggressori hanno fatto sempre più ricorso ai cosiddetti “attacchi di scansione”. Tali attacchi vengono avviati da malware per identificare le vulnerabilità nelle reti prese di mira. Inoltre, la fonte della maggior parte di tali attacchi sono i dispositivi legittimi nelle reti sicure. Come riescono gli hacker criminali ad ingannare gli esperti informatici in modo così astuto? L’azienda osserva che per condurre scansioni di massa da reti sicure e affidabili, gli hacker prima penetrano in queste reti e le infettano con malware. Solo dopo questi malware, che per principio di funzionamento sono semplici

Categorie