Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Crowdstriker 970×120
Fortinet 320x100px

Tag: ransomware

Quando l’Antivirus diventa un’Arma! RansomHub utilizza TDSSKiller per infiltrarsi nelle reti

Redazione RHC 11/09/2024

Il team di Malwarebytes ha scoperto che il gruppo ransomware RansomHub utilizza lo strumento legittimo TDSSKiller per disabilitare gli strumenti EDR su un dispositivo. Oltre a TDSSKiller, i criminali informatici utilizzano anche LaZagne per raccogliere dati. Questi programmi sono conosciuti da tempo tra i criminali informatici, ma questa è la prima volta che vengono utilizzati da RansomHub. LaZagne è un’utilità per estrarre password da varie applicazioni e sistemi, che può aiutare nei test di penetrazione. TDSSKiller, originariamente sviluppato da Kaspersky Lab per rimuovere i rootkit, è stato utilizzato per disabilitare i sistemi EDR. Dopo aver condotto una ricognizione e identificato gli account con privilegi elevati, RansomHub ha tentato

NoName: come creare un’alleanza tra hacker Criminali lavorando all’ombra di LockBit

Redazione RHC 11/09/2024

Da oltre tre anni il gruppo ransomware NoName cerca di costruirsi una reputazione prendendo di mira le piccole e medie imprese di tutto il mondo con il suo ransomware. Gli specialisti di ESET hanno suggerito che NoName sta ora lavorando con RansomHub come partner. Gli hacker utilizzano strumenti personalizzati che fanno parte della famiglia di malware Spacecolon. Per penetrare nella rete, i criminali informatici utilizzano attacchi di forza bruta e sfruttano anche vecchie vulnerabilità. Recentemente, NoName ha aggiunto un nuovo ransomware al suo arsenale: ScRansom, che ha sostituito Scarab. I ricercatori seguono le attività del gruppo dal 2023, dandogli il nome in codice CosmicBeetle. ESET

RansomHub rivendica un attacco informatico all’università di Genova. Allarme per la Sicurezza dei Dati

Vincenzo Miccoli 11/09/2024

Il gruppo di hacker noto come RansomHub ha pubblicato recentemente all’interno del proprio data Leak Site (DLS) la rivendicazione di un nuovo attacco informatico ad una PA italiana: l’Università di Genova. Secondo quanto descritto nella sezione ‘Chi siamo’ del loro sito, RansomHub è formato da cybercriminali operanti in diverse parti del mondo, accomunati dall’intento di ottenere profitti economici attraverso le loro azioni illecite. L’attacco è stato annunciato da RansomHub il 9 Settembre 2024, dove hanno pubblicato alcuni dettagli relativi alla violazione. La violazione riguarda circa 18 GB di dati e, se non verrà pagato il riscatto, i dati presumibilmente esfiltrati verranno pubblicati

Aumento degli attacchi ransomware in Cina. Manifatturiero il più colpito e AI al Servizio del Cybercrime

Redazione RHC 08/09/2024

Nel periodo tra luglio 2023 e giugno 2024, 26 gruppi di ransomware hanno condotto attacchi mirati contro 71 organizzazioni in Cina, portando a un aumento del 100% rispetto all’anno precedente. Questi dati sono stati rivelati durante il 2° Forum sulla Sicurezza del Cyberspazio, tenutosi il 5 settembre a Tianjin, attraverso il “Rapporto di Analisi della Situazione della Sicurezza nel Cyberspazio (2024)”, prodotto dal National Computer Virus Emergency Response Center. La minaccia del ransomware: una preoccupazione globale I recenti dati del rapporto evidenziano che trojan, ransomware e botnet costituiscono una sorta di “triade” di minacce che guidano l’evoluzione del crimine informatico. Questi attacchi

Come su Mr. Robot! Ma il Governo Iraniano viene a patti con i Criminali per la stabilità del sistema Bancario del paese

Redazione RHC 06/09/2024

Chi conosce la serie Mr. Robot, si ricorderà dell’attacco alla E-Corp che controllava l’intero sistema bancario degli Stati Uniti D’America e le conseguenze che ha portato l’impossibilità di effettuare pagamenti con la moneta corrente. Nel mese di agosto, l’Iran ha subito un attacco informatico simile, che ha messo a rischio la stabilità del sistema bancario del Paese. Fonti vicine alla situazione affermano che in seguito all’incidente il governo è stato costretto a stringere un accordo con gli hacker e a pagare un riscatto di diversi milioni di dollari. Secondo analisti e funzionari occidentali, una società iraniana ha trasferito almeno 3 milioni di dollari per

Eserciti in Azione: L’Elitè USA Hackera una Base Nemica Durante Swift Response 24

Redazione RHC 06/09/2024

L’unità d’élite dell’esercito americano conosciuta come i Berretti Verdi ha mostrato le proprie abilità informatiche durante la recente esercitazione Swift Response 24 di maggio. Secondo i militari, il distaccamento ha effettuato un’operazione di pirateria informatica durante il sequestro di un edificio in Svezia. L’unità altamente addestrata delle forze speciali Operational Detachment Alpha (ODA) ha ampliato le sue competenze per includere attività di hacking. Durante un’operazione vicino alla città di Skillingaryd, i soldati del 10° gruppo delle forze speciali hanno utilizzato attrezzature speciali per connettersi alle reti Wi-Fi del bersaglio, che hanno permesso loro di monitorare l’attività nell’edificio. L’edificio è stato precedentemente scansionato utilizzando

Il Direttore IT del distretto Scuole Pubbliche di New Haven è stato licenziato dopo la perdita di 6 milioni di dollari

Redazione RHC 06/09/2024

Il direttore IT delle scuole pubbliche di New Haven è stato licenziato a seguito di un’indagine su un attacco informatico che l’anno scorso ha fatto perdere al distretto 6 milioni di dollari. Gildemar Herrera è stato messo in congedo dopo l’incidente informatico. Si stima che l’hacking abbia compromesso anche le informazioni di 400 persone. “La Sig.ra Herrera è stata licenziata a seguito di una lunga indagine amministrativa avviata in risposta alla valutazione del Dipartimento di tecnologia informatica delle scuole pubbliche di New Haven da parte di una società esterna di sicurezza informatica, assunta dopo la violazione della posta elettronica che ha portato

Cicada3301: Il Ransomware-as-a-Service Scritto in Rust Colpisce 23 Organizzazioni in 3 Mesi

Redazione RHC 04/09/2024

l malware e l’omonima cybergang Cicada3301 (intervistata in esclusiva da Red Hot Cyber in occasione dell’attacco alla AST Rhodense), è scritto in Rust per Windows e per Linux/ VMware ESXi. È disponibile come servizio (Ransomware-as-a-Service, RaaS) e in tre mesi ha colpito 23 organizzazioni. I primi casi di utilizzo di Cicada3301 sono stati registrati all’inizio di giugno. Alla fine dello stesso mese sul forum degli hacker Ramp è apparso l’annuncio del lancio di un programma di affiliazione basato su questo ransomware.   Un’analisi della versione Linux del malware effettuata svolta da Truesec ha rivelato grandi somiglianze con ALPHV/BlackCat. Durante la primavera scorsa

Esperti di sicurezza? Siete i più richiesti! Nella PA, il 46% delle posizioni in Cybersecurity è vacante

Redazione RHC 03/09/2024

Da un sondaggio globale commissionato da Kaspersky Lab è emerso che il 41% delle aziende ha un disperato bisogno di specialisti della sicurezza informatica. Gli esperti in minacce alla sicurezza informatica e gli specialisti nell’analisi del malware sono i più richiesti (39% ciascuno). C’è anche una carenza di analisti SOC (35%), specialisti di pentest e sicurezza di rete (33%) e analisti di Threat Intelligence (32%). Se suddivisa per settore, la carenza di personale addetto alla sicurezza informatica è più avvertita nel settore pubblico, dove quasi la metà dei posti vacanti non viene occupata (46%). Al secondo posto in questa classifica si trovano

L’Arma Segreta di RansomHub per disabilitare gli EDR. Il PoC del BYOVD usato da EDRKillShifter

Pietro Melillo 02/09/2024

Negli ultimi anni, la sicurezza informatica ha subito un’evoluzione rapida per contrastare le minacce sempre più sofisticate. Tuttavia, i cybercriminali continuano a trovare nuove modalità per aggirare le difese implementate dalle organizzazioni. Un esempio recente è rappresentato dall’utilizzo di driver vulnerabili in attacchi mirati, una tecnica conosciuta come Bring Your Own Vulnerable Driver (BYOVD). In questo contesto, il gruppo di ransomware noto come RansomHub ha sfruttato un driver vulnerabile per disabilitare i sistemi di rilevamento e risposta degli endpoint (EDR) utilizzando uno strumento chiamato EDRKillShifter del quale avevamo parlato recentemente. Descrizione del Driver Vulnerabile Il driver utilizzato da RansomHub è TFSysMon (come

Categorie