Nuovi ransomware, privacy in casa Amazon e la cybersecurity USA-Arabia Saudita
Buon sabato e ben ritrovato caro cyber User.
In breve oggi ti parlo di:
Amazon ha consegnato i filmati del videocitofono alla polizia senza il consenso dell'utente
Emergono tre nuovi ceppi di ransomware Lilith, RedAlert e 0mega
USA e Arabia Saudita per la sicurezza informatica
Amazon ha consegnato i filmati del videocitofono alla polizia senza il consenso dell'utente
Amazon ha fornito filmati che sono stati catturati da Ring, il loro videocitofono, alle forze dell'ordine 11 volte quest'anno senza il permesso dell'utente, una rivelazione destinata a sollevare maggiori preoccupazioni sulla privacy e sulla libertà civile in merito ai suoi accordi di condivisione video con i dipartimenti di polizia in tutto il paese.
La divulgazione è arrivata in una lettera della società che è stata resa pubblica mercoledì dal senatore statunitense Edward Markey, un democratico del Massachusetts che il mese scorso ha inviato una lettera separata ad Amazon mettendo in discussione le pratiche di sorveglianza di Ring e il coinvolgimento con le forze dell'ordine.
Mentre invece Ring, precedentemente ha sottolineato in varie occasioni che non avrebbe condiviso le informazioni sui clienti con la polizia senza un consenso, un mandato o a causa di circostanze "esigenti o di emergenza".
Emergono tre nuovi ceppi di ransomware Lilith, RedAlert e 0mega
Scritto in C/C++ e destinato ai sistemi Windows a 64 bit, Lilith aggiunge l'appropriata estensione ".lilith" ai file crittografati, dopodiché le note di riscatto vengono sparse in tutte le cartelle del sistema. Gli operatori di ransomware praticano anche la doppia estorsione minacciando di far trapelare i dati esfiltrati.
Una volta lanciato sul computer della vittima, il malware interrompe i processi in esecuzione secondo un elenco codificato, che garantisce l'accesso costante ai file destinati alla crittografia. I processi di destinazione includono: Outlook, Thunderbird, Firefox, SQL, Steam, ecc.
Il ransomware accede al database del gestore del controllo dei servizi e chiama alcune API per ottenere il controllo sui servizi presi di mira per fermarli. Successivamente, Lilith esegue la scansione dei dischi nel sistema e dei file per la crittografia, esaminando tutte le directory dei file sulla macchina.
I file vengono quindi crittografati utilizzando un set di API crittografiche e una chiave casuale generata localmente. Il codificatore ignora i file EXE, DLL e SYS, nonché un certo numero di directory e nomi di file, inclusa la chiave pubblica locale che Babuk utilizzerà in seguito per decrittografare.
Prima che inizi la crittografia, il ransomware scrive le note di riscatto in diverse cartelle. Riferisce che la vittima ha 72 ore per mettersi in contatto con gli operatori di ransomware e organizzare le trattative di pagamento.
Se il riscatto non viene pagato, l'attaccante minaccia di rendere pubblici i dati trafugati, per i quali la nota contiene anche un link al dominio Tor del sito DLS.
Cyble avverte anche di un aumento degli attacchi che utilizzano due famiglie di ransomware relativamente nuove, RedAlert e 0mega.
RedAlert è noto per aver attaccato i server Linux VMware ESXi nelle ultime settimane, bloccando le macchine virtuali e crittografando tutti i file ad esse associati. Il malware viene lanciato manualmente, supporta più comandi di pre-crittografia e accetta solo pagamenti di riscatto in Monero.
Per 0mega, che utilizza una tattica di doppia estorsione, non sono stati ancora pubblicati indicatori di compromesso.
I dettagli tecnici del TTP e le raccomandazioni sono forniti nel rapporto di Cyble Research Labs.
USA e Arabia Saudita per la sicurezza informatica
USA e Arabia Saudita annunciano una maggiore cooperazione in materia di sicurezza informatica
Washington e Riyadh hanno annunciato l'ampliamento della cooperazione nel campo della sicurezza informatica, che comprende "lo scambio di dati sulle minacce in quest'area e le azioni degli intrusi al fine di rafforzare la protezione globale dei due paesi".
Gli Stati Uniti e l'Arabia Saudita hanno concordato di lavorare a stretto contatto per condividere le migliori pratiche, tecnologie, strumenti e approcci alla cyber education, ha affermato la Casa Bianca.
Sul sito web della Casa Bianca spiega inoltre quanto segue:
"Il presidente Biden ha accolto con favore la firma di accordi bilaterali sulla sicurezza informatica con la Saudi Arabian National Cybersecurity Authority, uno con l'FBI e l'altro con la Cybersecurity and Infrastructure Security Agency (CISA). Attraverso questi memorandum di cooperazione, gli Stati Uniti e l'Arabia Saudita si stanno espandendo le loro relazioni bilaterali esistenti su questo tema, scambieranno informazioni sulle minacce alla sicurezza informatica e condivideranno informazioni sulle azioni degli intrusi per migliorare la protezione generale dei due paesi e coopereranno sulle migliori pratiche, tecnologie, strumenti e approcci alla formazione e all'istruzione nel settore della sicurezza informatica".
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.