Una task force (NECI) contro il black market e aggiornamenti Ucraina, con qualche utile spunto
Buon sabato e ben ritrovato caro cyber User. Questa settimana ci si è spostati tra vari punti interessanti sul livello di sicurezza della sanità Lombarda, con attacca a ASST Fatebenefratelli-Sacco (ospedali e distretti ad esso collegati) e subito dopo con ATS Insubria, che abbiamo letto anche nel blog. Degno di nota anche il presunto incidente ai danni di Juventus (ne parla Marco Govoni) che ha visto la messa in vendita di credenziali di accesso e vulnerabilità della società sportiva. Tra le cose della settimana vorrei anche segnalare una webapp che ha lanciato l'amico Francesco dalla quale si possono seguire una grande quantità di fonti cyber worldwide (lo consiglio!). Ma ora veniamo a una storia da approfondire.
In breve oggi ti parlo di:
Il funzionamento della macchina dei sequestri di siti illegali
Aggiornamenti fronte Ucraina, tra Lockbit ed altri
Il funzionamento della macchina dei sequestri di siti illegali
La task force Narcotics and Economic Crimes Investigations (NECI), un'unità specializzata della polizia della California, composta dall'Office of Homeland Security Investigations , dal US Postal Inspection Service , dal Federal Bureau of Investigation (FBI) , dall'US Postal Service Office of Inspector General, dall'Internal Revenue Service-Criminal Investigation e dalla Drug Enforcement Administration (DEA), ha ampliato il suo elenco di sospetti del dark web, pubblicando alcune informazioni su un servizio .onion relativo a queste indagini.
Il gruppo appena descritto, collabora attivamente a molteplici indagini legate al funzionamento dei black market online, mantenendo aggiornati i dati sui venditori di spicco e gli ultimi arresti effettuati dalle autorità. In questa maniera si riesce a bloccare diverse operazioni illecite tra cui vendita di droga, sample di malware e dati/documenti rubati.
Farmacy41
sicknessVersion2 - 23MightyMouse23
Houseofdank - BestBuyMeds - TrapMart
DankStix
BudgetBudsExpress
CokeWave
SafeDealsDirect
Cannabars - thefastplug
PhantomLabs
Diablow - raiseappeals - RaisedByDiablow
CaliCartel - Playground - GaminoCrimeFamily - DopeQueen
DrFrosty
guessguess
largomonkey - sillycoconut
Super_Shards
Gemstoned
TheCommission - TheCovenant
chlnsaint
CaliPlugMike - DatCubensisBoy -
FantasticFungi
bossoftherock
igogrraawwr
L'elenco tuttavia è da prendere con il beneficio del dubbio perché in passato si è dimostrato come, in alcuni casi di market illeciti dichiarati arrestati, in realtà l'attività era continuata, a suggerimento di una importante persistenza dei criminali in grado di bypassare le autorità. L'ultima volta nel 2019. Per ora, le piattaforme di NECI mantengono un design un po' funzionale, mostrando le informazioni disponibili in modo disorganizzato e confuso, oltre al fatto che molti membri della comunità della sicurezza informatica ritengono che non ci siano abbastanza blocchi per garantire che non vengano incluse informazioni errate in questo database.
Da questo link, visitabile solo sotto rete Tor, è possibile visionare una galleria di temi e grafiche pagine di sequestro, utilizzate dalle autorità statunitensi, tra cui anche quelle del gruppo NECI: http://awaji2tor4b3ambm3fcl5gslzgxxccgdnwmnmma23co7foyayhmsiead.onion/links/seizure.php
Aggiornamenti fronte Ucraina, tra Lockbit ed altri
Lockbit 2.0, dall'inizio dell'invasione russa dell'Ucraina si è schierato come neutrale, di fatto senza prendere una posizione con il concetto che operano solo per il business, senza alcuna convinzione politica.
Però il 5 maggio CyberScoop riporta che la banda di ransomware LockBit 2.0, un gruppo di criminale noto per il suo malware, ha colpito l'Agenzia statale bulgara per i rifugiati sotto il Consiglio dei ministri. "Tutti i dati disponibili verranno pubblicati!" afferma la gang sul suo sito, dando una scadenza per la pubblicazione al 9 maggio (ma nessuna richiesta di riscatto pubblico).
Il 9 maggio, ovviamente, è la festa della vittoria della Russia (II guerra mondiale, liberazione e vittoria sulla Germania nazista). Nel frattempo la Bulgaria ha accolto più di 200.000 rifugiati ucraini ed è stata allineata con l'Ucraina nell'attuale guerra. Vedremo dunque se il 9 maggio cambierà anche la loro posizione, in ogni caso sembra più schierata di ciò che si afferma.
Interessante inoltre notare che al 6 maggio l'annuncio è sparito dall'elenco Lockbit 2.0. Da monitorare.
La guerra degli attivisti
CrowdStrike riferisce che gli hacktivist filo-ucraini, operando probabilmente sotto una qualche forma di schieramento o almeno ispirandosi "all'esercito" IT di Kiev (IT-Army), hanno utilizzato immagini Docker compromesse.
Le risorse basate su container e cloud vengono abusate per distribuire strumenti dirompenti. L'uso di infrastrutture compromesse ha conseguenze di vasta portata per le organizzazioni che potrebbero involontariamente partecipare ad attività ostili contro il governo russo, obiettivi militari e civili.
Gli honeypot Docker Engine sono stati compromessi per eseguire due diverse immagini Docker rivolte a siti Web russi, bielorussi e lituani in un attacco DoS (Denial of Service). Gli elenchi di obiettivi (vittime) di entrambe le immagini Docker si sovrappongono ai domini condivisi dall'esercito informatico dell'Ucraina (IT-Army) sostenuto dal governo ucraino. Le due immagini sono state scaricate oltre 150.000 volte, ma CrowdStrike Intelligence non è in grado di valutare quanti di questi download provengono da un'infrastruttura compromessa.
Hacktivisti e corsari hanno scelto di schierarsi nella guerra e CyberKnow ha un riassunto di come si stanno formando queste fazioni e dal loro monitoraggio, con puntuali aggiornamenti periodici, capiamo anche subito quanto sia esteso questo scenario, attorno all'invasione russa dell'Ucraina.
La trasformazione del dark web
The New Statesman pubblica un pezzo interessante questa settimana, con il quale descrive i modi in cui il dark web sta cambiando sotto lo scenario di stress dato della guerra ibrida della Russia contro l'Ucraina.
I distretti criminali di questa rete sono stati a lungo dominati da attori russofoni e c'erano alcuni principi generali che ne regolavano la condotta. Il primo di questi principi era una regola secondo la quale i criminali informatici dovrebbero generalmente evitare le ex repubbliche sovietiche che costituivano la Comunità degli Stati Indipendenti. Questa restrizione ha portato la criminalità informatica organizzata a evolversi in qualcosa di molto simile al corsaro, con il governo russo che fornisce un rifugio sicuro per le operazioni criminali, o almeno la promessa di un benevolo abbandono, a condizione che i criminali lavorino prendendo di mira paesi generalmente ostili alla Russia e ovviamente, non la Russia stessa.
La guerra attuale ha cambiato le cose, poiché due delle più grandi ex repubbliche sovietiche sono ora in guerra tra loro. (L'Ucraina è stata un membro fondatore del Commonwealth degli Stati Indipendenti nel 1991, ma è restia a passare all'adesione a pieno titolo poiché è riluttante a riconoscere, come richiede lo statuto dell'organizzazione, la Russia come unico successore legale dell'URSS). La dichiarazione di Conti di agire a sostegno patriottico della Russia è stato il primo cambiamento più importante nel dark web, che ora si mostra amplificando ciò che il politologo della Virginia Tech Eric Jardine chiama "attività informatica dannosa in background".
Finora nessuno ha spento le luci a Kiev (o Mosca), ma sono emersi stili distinti di attività non governative. Da parte russa questa è stata una continuazione dell'accanimento IT che è stato a lungo in evidenza. Alcune bande russofone, in particolare il gruppo di ransomware Conti, hanno espresso la loro adesione patriottica alla causa di Mosca, ma in generale non hanno avuto il successo che ci si poteva aspettare. L'attività criminale continua, ma non con effetti notevolmente maggiori di quelli visti prima dell'invasione russa dell'Ucraina. Le stesse bande sono diventate bersagli di rappresaglie di hacktivismo, pensiamo al doxing delle chat interne di Conti che ne è un ottimo esempio. Tale doxing non sembra aver avuto molto effetto su Conti, almeno nel breve termine, ma le fughe di notizie potrebbero offrire alcune informazioni utili sull'organizzazione e le operazioni delle bande (come appunto è stato). Nel frattempo Conti sembra stia facendo re-branding con Black Basta: molti dettagli in comune, a partire dallo stile del sito, ne fanno un'operazione presumibilmente legata agli stessi membri.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.