Il caffè del 6 maggio: #DDoS sconvolge il parlamento belga. Nuovi ceppi di malware nella campagna criminale. Attori della minaccia contro MFA. Disinformazione per gli affari.

Un grande attacco DDoS (Distributed Denial-of-Service) ha colpito ieri Belnet, l’ISP che serve gran parte del settore pubblico belga. Da allora Belnet ha ripristinato il servizio. Computing rileva che l’attacco ha causato l’annullamento di diverse riunioni parlamentari (il denial-of-service ha impedito lo streaming delle riunioni a partecipanti esterni). Tra le sessioni interrotte c’è stata un’audizione davanti alla commissione per gli affari esteri che avrebbe ascoltato testimonianze sui diritti umani nella regione autonoma uigura dello Xinjiang cinese. L’attribuzione sarebbe prematura, ma questo contesto ha indotto a speculare sulla possibilità di operazioni cibernetiche cinesi.

L’unità Mandiant di FireEye ha identificato tre nuove varietà di malware in una campagna di phishing gestita da un gruppo che rintraccia come UNC2529, probabilmente una banda criminale che lavora per un introito finanziario diretto. I ricercatori definiscono il gruppo “capace, professionale e dotato di risorse sufficienti” e affermano che ha studiato da vicino i suoi obiettivi e ha adattato il suo phishbait alla cattura prevista. FireEye ha chiamato le nuove famiglie di malware “Doubledrag” (un downloader), “Doubledrop” (un dropper) e “Doubleback” (una backdoor).

Symantec descrive i modi in cui gli attori delle minacce rispondono a una maggiore sicurezza, in questo caso l’adozione diffusa dell’autenticazione a due fattori. I ricercatori sottolineano che una cosa che il recente compromesso di SolarWinds, gli attacchi ProxyLogon di Microsoft Exchange Server e lo sfruttamento delle vulnerabilità hanno in comune è che evitano la necessità di annullare l’autenticazione a più fattori.

La disinformazione non è solo per la guerra dell’informazione. Crunchbase osserva che la disinformazione può colpire anche le aziende, danneggiando la reputazione del marchio. Ciò può verificarsi nel contesto di scorte allo scoperto, short-squeezes, truffe pump-and-dump o anche sfortunati impegni di “influencer”.


Il caffè di oggi include eventi che hanno interessato Australia, Belgio, Cina, India, Iran, Israele, Giappone, Malta, Filippine, Russia e Stati Uniti.


Attacchi, minacce e vulnerabilità

La rete del settore pubblico belga subisce un attacco informatico, che colpisce il parlamento ( Informatica ) L’attacco ha interrotto una riunione programmata degli Affari esteri belgi, che avrebbe dovuto discutere della situazione dei diritti umani nello Xinjiang

XSS in the wild: ordini pieni di JavaScript utilizzati per compromettere i siti di e-commerce giapponesi ( The Daily Swig ) Vulnerabilità del sito web abusate nella nuova campagna di hacking

Tre nuove famiglie di malware trovate nella campagna di phishing della finanza globale ( ZDNet ) Doubledrag, Doubledrop e Doubleback sono opera di autori di minacce “esperti”.

Autenticazione a più fattori: il mal di testa per gli attori informatici ispira nuove tecniche di attacco ( Symantec ) L’ autenticazione a due fattori o a più fattori viene utilizzata per proteggere le organizzazioni e gli account dagli aggressori, rendendola un problema per i malintenzionati. Gli attacchi recenti mostrano come stanno tentando di aggirarlo o evitarlo completamente.

Triplo doppio UNC2529: una campagna di phishing Trifecta ( FireEye ) Abbiamo osservato una campagna di phishing diffusa e globale da UNC2529 rivolta a numerose organizzazioni in una vasta gamma di settori.

Qualys segnala le falle nella sicurezza in Exim Mail Server ( SecurityWeek ) I ricercatori di Qualys hanno scoperto diverse falle nella sicurezza in Exim, un server di posta ampiamente diffuso che è stato preso di mira in passato da attori avanzati delle minacce basate sullo stato nazionale.

Vulnerabilità dei driver Dell ad alta gravità impatto su centinaia di milioni di dispositivi ( SecurityWeek ) Dell corregge le vulnerabilità ad alta gravità che interessano un driver presente su centinaia di milioni di dispositivi.

Modalità di utilizzo degli account compromessi da parte degli aggressori per creare e distribuire app OAuth dannose ( Proofpoint ) L’autorizzazione aperta o le app “OAuth” aggiungono funzionalità aziendali e miglioramenti dell’interfaccia utente alle principali piattaforme cloud come Microsoft 365 e Google Workspace. Sfortunatamente, sono anche un nuovo vettore di minacce poiché i malintenzionati utilizzano sempre più applicazioni OAuth 2.0 dannose (o malware cloud) per sottrarre dati e accedere a informazioni sensibili. Nel 2020, Proofpoint ha rilevato più di 180 diverse applicazioni dannose, attaccando oltre il 55% dei clienti con una percentuale di successo del 22%.

Le vulnerabilità di 21Nails hanno un impatto sul 60% dei server di posta elettronica di Internet ( The Record by Recorded Future ) I manutentori del software del server di posta elettronica Exim hanno rilasciato oggi aggiornamenti per correggere una raccolta di 21 vulnerabilità che possono consentire agli autori delle minacce di assumere il controllo dei server utilizzando sia locale che remoto vettori di attacco.

Siti di “phishing” che acquistano dati di accesso sul posto di lavoro collegati a una startup ben finanziata ( Vice ) Argyle afferma che fornisce accesso alla cronologia dell’occupazione e dei salari. L’acquisto dei dati di accesso può essere in contrasto con le leggi statunitensi sull’hacking.

Rapporto: L’Iran è probabilmente dietro gli attacchi informatici alle società israeliane della catena di approvvigionamento ( Cleveland Jewish News ) Nonostante l’emissione di richieste di riscatto, gli hacker avrebbero utilizzato un codice che ha corrotto le informazioni rubate, portando gli esperti a dubitare di un motivo di profitto. Fornitura israeliana

72 ore rimaste: gli hacker estendono il termine per il riscatto di PN, ma il partito insiste che non sta negoziando ( Lovin Malta ) Un gruppo di hacker che operano sul dark web ha prorogato il termine per il partito di opposizione di Malta per pagare loro un riscatto fino a questo venerdì, minacciando per rilasciare una miniera di informazioni sensibili se non vengono pagate migliaia. Tuttavia, il Partito nazionalista è rimasto fermo nella sua posizione di non negoziare con gli hacker. 

Hanno detto tutto ai loro terapeuti. Hackers Leaked It All ( Wired ) Una startup per la salute mentale ha costruito la propria attività su una tecnologia di facile utilizzo. I pazienti si sono uniti a frotte. Poi è arrivata una catastrofica violazione dei dati.

“Hai 240 ore per cooperare”: gli aggressori informatici chiedono un riscatto da fonti di sicurezza del NSW Labour ( Brisbane Times ) che parlano a condizione di anonimato ma che hanno familiarità con l’attacco hanno detto che il ransomware russo Avaddon era dietro la violazione.

Le app di fertilità con centinaia di milioni di utenti raccolgono e condividono informazioni eccessive ( EurekAlert! ) La maggior parte delle app di fertilità più votate raccoglie e persino condivide dati intimi senza la conoscenza o il permesso degli utenti, ha scoperto uno studio collaborativo dell’Università di Newcastle e dell’Università Umea . I ricercatori chiedono ora un inasprimento della categorizzazione di queste app per piattaforme per proteggere le donne dallo sfruttamento e dalla vendita di informazioni intime e profondamente personali.

Gli utenti Windows obsoleti infrangono la sicurezza informatica ( TechNewsWorld Headlines ) Un recente studio di Kaspersky ha rivelato che quasi un quarto dei PC esegue ancora Microsoft Windows 7, che ha smesso di ricevere il supporto mainstream nel gennaio 2020. Utilizzo di un sistema operativo a fine vita che non riceve più Gli aggiornamenti di sicurezza sono come guidare un’auto con la luce dei freni accesa, ha suggerito Oliver Tavakoli, CTO di Vectra AI.

Il sistema scolastico dell’Alabama respinge gli attacchi informatici ( al ) Il team tecnologico del sistema ha rilevato una minaccia il 29 aprile.

La startup spagnola Glovo è stata colpita da un attacco informatico ( Reuters ) Un hacker ha fatto irruzione nei sistemi della startup spagnola Glovo la scorsa settimana, ha detto martedì, senza specificare a quali informazioni si sarebbe potuto accedere.