Chaos ransomware, terribile strage in Texas e il data leak pro-Brexit
Buon sabato e ben ritrovato caro cyber User. Questa settimana gran parte dell'attenzione mediatica italiana si è rivolta ai fatti recenti di ATS Insubria, con aggiornamenti legali e politici che vedono richieste di chiarimenti sull'attacco ransomware alla struttura sanitaria. Ci si chiede quanti e quali siano tutte le persone coinvolte e quali dati sono andati persi durante l'attacco. Sulla questione indagano le autorità e, sembra, anche il Garante Privacy. Altro tema caldo è stato occupato dalla presentazione ufficiale, mediante conferenza stampa governativa, della Strategia Italia per la cyber sicurezza, per il miglioramento della resilienza delle strutture critiche, il ruolo dell'Agenzia per la Cubersicurezza Nazionale (ACN) e la costituzione del nuovo Comitato Tecnico.
Invece per il mio blog sono gli utili giorni di VOTAZIONE per la nomination agli European Cybersecurity Blogger Awards 2022. Sono in nomination e ora servono i voti per poter vincere la categoria “The Noobs”. Se vuoi sostenermi, basta spuntare in corrispondenza della voce “www.insicurezzadigitale” all’interno di questo form online, e confermare.
Grazie di cuore!
In breve oggi ti parlo di:
Nuove varianti di ransomware Chaos e Nokoyawa
Meta poteva anticipare la strage in Texas?
Il data leak di email personali di sostenitori UK pro-Brexit viene dalla Russia
Nuove varianti di ransomware Chaos e Nokoyawa
C'è uno sforzo costante da parte degli sviluppatori di ransomware per migliorare il loro malware per una maggiore efficacia. Recentemente sono state scoperte due nuove varianti di ransomware, identificate come Yashma e Nokoyawa.
Yashma ransomware
I ricercatori di BlackBerry hanno scoperto e fornito dettagli interessanti su una recente variante del ransomware Chaos, chiamata Yashma alias Chaos 4.0.
Yashma include due nuovi miglioramenti, la possibilità di interrompere l'esecuzione in base alla posizione della vittima e interrompere diversi processi in esecuzione collegati ad antivirus e software di backup. Chaos è stato osservato per la prima volta sui forum clandestini nel giugno 2021 e nel giro di un anno è stata rilasciata la sua sesta variante. Secondo i ricercatori, questa variante, come tutte le sue varianti precedenti, è un distruttore di file, senza alcuna intenzione di fornire istruzioni per il ripristino dei file o uno strumento di decrittazione.
I ricercatori di BlackBerry nel loro rapporto delineano la genealogia della famiglia di ransomware Chaos, descrivendo in dettaglio sei versioni del malware che sono state rilasciate da quando è emerso per la prima volta. BlackBerry ha scoperto che Chaos ha legami con i ceppi ransomware Onyx e Yashma, sebbene Chaos inizialmente (e senza successo) ha affermato di essere una propaggine di Ryuk. Ma non lo era, e questa affermazione è stata verificata come falsa.
Nokoyawa ransomware
Il nuovo Nokoyawa condivide somiglianze di codice con il ransomware Karma e si sta migliorando riutilizzando il codice da fonti pubblicamente disponibili.
La maggior parte del codice aggiunto è stato copiato alla lettera da fonti pubblicamente disponibili, come il codice del ransomware Babuk trapelato nel settembre 2021.
La richiesta di riscatto e il modo in cui le vittime contattano gli aggressori espongono un netto cambiamento importante nelle nuove varianti. Ora, la vittima deve contattare gli aggressori tramite un URL .onion tramite un browser Tor. Inoltre, ci sono nuove funzionalità che massimizzano il numero di file che possono essere crittografati con questo malware.
Gli sviluppatori di ransomware stanno ancora lavorando continuamente per migliorare il loro malware. Apparentemente, la recente disgregazione di Conti ransomware non è sufficiente a demotivare gli aggressori a impegnarsi maggiormente per migliorare il proprio ransomware. Gli sviluppatori di malware si stanno abituando al riutilizzo del codice disponibile pubblicamente per aggiungere nuove funzionalità al proprio malware con il minimo sforzo. Ciò rappresenta una seria sfida per la comunità della sicurezza informatica e richiede continui sforzi in ricerca e innovazione.
Meta poteva anticipare la strage in Texas?
Difficile dare una risposta a questa domanda, però è risaputo che Meta, nei suoi prodotti di Instagram e Facebook, abbia parecchie AI in grado di analizzare il contenuto delle chat provate tra gli utenti della piattaforma, sopratutto a scopo di marketing e advertising, rilevare pedopornografia, molestie e commerci illegali. Sembra però che, nonostante il lavoro di questa intelligenza artificiale, non sia stato possibile per i messenger delle piattaforme Meta, rilevare l'attività decisamente fuori dal comune di Salvador Ramos, responsabile della recente sparatoria all'interno di una scuola in Texas.
Mercoledì, il governatore del Texas Greg Abbott ha confermato che c'erano avvertimenti sui messaggi Salvador Ramos su Facebook prima della sparatoria che ha provocato la morte di 19 persone in una scuola elementare a Uvalde.
Poco dopo, il portavoce di Facebook Andy Stone ha chiarito che i post descritti dal governatore Abbott facevano parte di una conversazione privata condotta su Facebook Messenger scoperta dopo che si è verificata questa tragedia. Il portavoce ha anche detto che Meta collaborerà con le autorità locali nelle indagini.
Al di la dei commenti del portavoce interno alla società, è noto che i sistemi di Meta possano riconoscere parole, toni e modi anche di una conversazione privata pertanto, il motivo per cui Meta non è stato in grado di determinare che i messaggi inviati da Ramos fossero vere minacce è sconosciuto. Inoltre, Meta sta per implementare la crittografia end-to-end sulle sue piattaforme di messaggistica, che eliminerebbe definitivamente la capacità di rilevare potenziali minacce.
Il data leak di email personali di sostenitori UK pro-Brexit viene dalla Russia
Un portavoce della sicurezza informatica di Google e un ex capo dell'intelligence estera del Regno Unito hanno affermato che "hacker russi" hanno creato un sito Web per pubblicare e-mail di politici che hanno sostenuto l'uscita della Gran Bretagna dall'Unione Europea (fonte Reuters del 25 maggio).
Si tratta del sito "Very English Coop d'Etat", dove si trova la corrispondenza personale dell'ex spia britannica Richard Dearlov, della politica Gisela Stuart, dello storico Robert Toombs e di altri sostenitori dell'uscita del Regno Unito dall'UE.
Il sito afferma che tutte queste persone fanno parte di un gruppo di ferventi sostenitori della Brexit. Allo stesso tempo, si sostiene che sia questo gruppo a controllare segretamente la politica nel Regno Unito.
Shane Huntley, che guida il gruppo di analisi e software di Goggle, ha affermato che il sito è collegato al gruppo di criminali Cold River con sede in Russia. Allo stesso tempo, la società tecnologica americana non ha ancora fornito alcuna prova di questi eventuali collegamenti.
Come mio solito, espongo il sito che contiene questo leak, a titolo divulgativo e informativo (per ulteriori ricerche): https://sneakystrawhead.co.uk/. Inoltre gli archivi completi sono stati collezionati anche da DDoSecrets e disponibili in vari formati per il download.
Thomas Rid, un esperto di sicurezza informatica presso la Johns Hopkins University, ha dichiarato: "Quello che mi salta all'occhio è quanto sia simile il modus operandi a Guccifer 2 e DCLeaks", ha detto, riferendosi a due dei siti che hanno diffuso e-mail trapelate rubate ai Democratici in vista delle elezioni presidenziali americane del 2016.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec. Mi raccomando: VOTAMI (form online) per gli EU Awards!