cybercrime

CRON#TRAP: nuova minaccia con ambienti Linux emulati

Gli esperti di sicurezza di Securonix hanno scoperto una campagna di attacco, chiamata CRON#TRAP, che rappresenta una nuova minaccia per la sicurezza dei sistemi informatici. Questa campagna si basa su una tecnica sofisticata che prevede l’utilizzo di un ambiente Linux emulato per consentire agli attaccanti di mantenere la persistenza all’interno dei dispositivi infetti.

L’attacco si avvia con un file di collegamento (.lnk) malevolo che, una volta eseguito, estrapola un ambiente Linux, emulato tramite QEMU, un software di virtualizzazione open-source comunemente utilizzato per scopi legittimi. Questo ambiente Linux emulato è preconfigurato con una backdoor, che stabilisce una connessione automatica a un server di comando e controllo (C2) gestito dagli attaccanti. Questa tecnica consente loro di operare in modo nascosto, rendendo particolarmente difficile il rilevamento da parte dei software antivirus tradizionali.

Il vettore di attacco iniziale non è stato ancora confermato, ma i ricercatori ritengono che possa trattarsi di un’email di phishing contenente un link per scaricare un file zip dannoso. Il tema sembra essere correlato a un sondaggio, poiché il nome del file ZIP e il file di collegamento erano denominati “OneAmerica Survey.zip” e “OneAmerica Survey.lnk”. Questo file zip, contiene il file .lnk che avvia l’ambiente emulato. Mentre l’utente vede un messaggio di errore, l’ambiente Linux emulato, chiamato “PivotBox”, continua a funzionare in background. Questo ambiente permette agli attaccanti di eseguire comandi, installare strumenti e persino stabilire un canale di esfiltrazione dei dati, ottenendo così il controllo completo del sistema infetto.

Sebbene non sia stato possibile attribuire con certezza la campagna a un gruppo specifico né identificare con precisione le vittime, in base ai dati di telemetria raccolti, la maggior parte delle attività sembra provenire da fonti situate negli Stati Uniti e in Europa. Inoltre, il linguaggio utilizzato nella campagna e la posizione dei server di comando e controllo negli Stati Uniti suggeriscono che il Nord America potrebbe essere stato uno degli obiettivi principali.

La campagna CRON#TRAP rappresenta una minaccia significativa per la sua capacità di nascondersi e aggirare i controlli di sicurezza tradizionali, combinando tecniche di phishing con l’uso innovativo di ambienti virtuali.

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

https://www.securityinfo.it/2024/11/13/scoperto-crontrap-un-ambiente-linux-emulato-che-installa-una-backdoor/

L'articolo CRON#TRAP: nuova minaccia con ambienti Linux emulati proviene da Rivista Cybersecurity Trends.

Cybercrime: Microsoft smantella l’infrastruttura PhaaS ONNX

Microsoft, con il supporto della Linux Foundation e delle autorità statunitensi, ha smantellato ONNX, una delle principali infrastrutture di Phishing-as-a-Service (PhaaS). Conosciuta anche come Caffeine o FUHRER, la piattaforma era un punto di riferimento per campagne globali di phishing. L’operazione, formalizzata attraverso un’ordinanza del tribunale distrettuale della Virginia, ha portato alla chiusura di 240 domini malevoli.

ONNX, attiva dal 2017, aveva guadagnato notorietà nella prima metà del 2024, offrendo strumenti sofisticati per attacchi di phishing a pagamento. I cybercriminali potevano abbonarsi a piani mensili che variavano tra 150 e 550 dollari, ricevendo kit preconfigurati, sistemi per bypassare l’autenticazione a due fattori (2FA) e hosting resistente ai blocchi. Si stima che dalla piattaforma partissero ogni mese decine di milioni di email fraudolente mirate a colpire aziende e utenti di servizi come Microsoft 365, Google e Dropbox.

Una delle tecniche più innovative adottate da ONNX era il “quashing”, un phishing che utilizza QR code malevoli inseriti in documenti PDF. Questo sistema ingannava le vittime, indirizzandole verso falsi portali di accesso simili a quelli autentici. L’approccio si dimostrava particolarmente insidioso nei contesti aziendali, sfruttando dispositivi personali integrati nei programmi BYOD (Bring Your Own Device), complicando il lavoro dei sistemi di sicurezza.

L’infrastruttura tecnica di ONNX includeva meccanismi per garantire l’efficacia e la persistenza degli attacchi. Tra questi, l’uso di JavaScript criptato per eludere i sistemi di rilevamento e hosting a prova di censura per rallentare la chiusura dei domini compromessi. Inoltre, integrava bot Telegram sia per il controllo delle campagne sia per gestire le interazioni in tempo reale con le vittime. Un elemento particolarmente pericoloso era la capacità di intercettare i codici 2FA, persino con account dotati di sistemi di autenticazione avanzati.

Il colpo di grazia a ONNX è arrivato grazie all’opera di un ricercatore di sicurezza, che ha identificato e reso pubblica l’identità del presunto responsabile della piattaforma. Questo ha permesso a Microsoft e alle autorità di intervenire tempestivamente, bloccando le operazioni della rete e sequestrando i domini utilizzati per le attività illecite.

https://blogs.microsoft.com/on-the-issues/2024/11/21/targeting-the-cybercrime-supply-chain/

https://www.securityopenlab.it/news/4315/microsoft-smantella-linfrastruttura-phaas-onnx.html

L'articolo Cybercrime: Microsoft smantella l’infrastruttura PhaaS ONNX proviene da Rivista Cybersecurity Trends.

Campagna di phishing contro ho. Mobile

Il team anti-frode di D3Lab ha individuato una nuova campagna di phishing che prende di mira ho. Mobile, il marchio commerciale di Vodafone Enabler Italia S.r.l., società di Vodafone Italia SpA.

Il phishing si basa su una pagina fraudolenta ospitata sul dominio ho-mobile[.]cfd, creato appositamente per confondere gli utenti riprendendo il nome del sito ufficiale di ho. Mobile. L’obiettivo principale è sottrarre i dati delle carte di credito delle vittime da utilizzare per usi illeciti.

Il dominio malevolo risulta essere stato registrato a fine novembre tramite il provider statunitense Spaceship.com. Da notare che l’estensione di dominio “CFD”, pur essendo nata per il settore della moda, è stata sfruttata in questo caso per fini criminali.

D3Lab raccomanda agli utenti la massima attenzione e ricorda che la presenza del protocollo HTTPS non garantisce automaticamente la sicurezza o l’affidabilità di un sito web.

https://www.d3lab.net/campagna-di-phishing-ai-danni-di-ho-mobile/

L'articolo Campagna di phishing contro ho. Mobile proviene da Rivista Cybersecurity Trends.

Attacco ransomware a Conad

Conad, il consorzio bolognese leader specializzato nel commercio al dettaglio e titolare dell’omonima catena di supermercati, è stato vittima di un attacco ransomware. Il gruppo di cyber criminali Lynx ha rivendicato l’incursione, pubblicando sul Dark Web un conto alla rovescia che concede al consorzio 72 ore per pagare un riscatto ed evitare la pubblicazione di documenti riservati.

Secondo quanto emerso, l’attacco non ha provocato danni all’infrastruttura IT del consorzio né compromesso l’operatività del sito web o dei servizi di Conad, ma ha consentito agli attaccanti di sottrarre dati sensibili relativi a risorse umane e clienti. I file resi visibili, sebbene pubblicati in una forma che ne rende difficile la lettura, consistono in versioni digitalizzate di documenti cartacei, tra cui capitolati e corrispondenze con clienti e fornitori.

Il 15 gennaio, Conad ha dichiarato che i dati copiati sono “non strutturati e non rilevanti” e che l’azienda ha già informato il Garante della Privacy e la Polizia Postale, procedendo anche con una denuncia formale: “Consorzio Nazionale Dettaglianti (Conad) Soc. Coop. ha subito, in data 20 novembre 2024, un attacco informatico ai propri sistemi, prontamente respinto grazie alle misure di difesa immediatamente implementate. Conad ha verificato che una piccola quantità di dati – non strutturati e non rilevanti, non riferiti in alcun modo ai clienti dell’insegna – potrebbe essere stata oggetto di copia. Subito dopo l’attacco, Conad ha prontamente informato il Garante per la protezione dei dati personali e la Polizia Postale. In queste ore, dopo aver ricostruito ulteriormente la vicenda attraverso informazioni diffuse apparentemente su siti web riconducibili ai criminali responsabili dell’attacco stesso, Conad ha depositato una denuncia relativa all’accaduto presso la Procura della Repubblica di Bologna”.

L’attacco si inserisce in un modello di “doppia estorsione” sempre più diffuso, in cui i criminali utilizzano la minaccia di pubblicazione dei dati rubati per spingere al pagamento. Conad rassicura clienti e fornitori sulla continuità delle operazioni, ma resta da vedere come evolverà la vicenda nei prossimi giorni.

https://www.federprivacy.org/informazione/flash-news/attacco-ransomware-a-conad-gli-hacker-chiedono-un-riscatto-per-non-pubblicare-i-dati

L'articolo Attacco ransomware a Conad proviene da Rivista Cybersecurity Trends.

Smantellati i due più grandi forum di cybercrime

Una vasta operazione, supportata da Europol e condotta con la partecipazione di otto paesi, ha portato allo smantellamento dei forum di criminalità informatica “Cracked” e “Nulled”, che contavano oltre 10 milioni di utenti. Queste piattaforme rappresentavano una porta di ingresso nel mondo della criminalità informatica per la compravendita di dati rubati, malware e servizi di cybercrime, facilitando l’accesso al crimine informatico anche a individui poco esperti.

L’azione investigativa, svolta tra il 28 e il 30 gennaio, ha portato all’arresto di due sospettati, all’esecuzione di sette perquisizioni e al sequestro di 17 server, oltre 50 dispositivi elettronici e circa 300.000 euro in contanti e criptovalute. Sono stati chiusi 12 domini legati alle piattaforme, oltre a servizi di intermediazione finanziaria e hosting connessi, utilizzati per il riciclaggio dei proventi illeciti.

Europol ha fornito supporto operativo, analitico e forense, agevolando lo scambio di informazioni tra le forze dell’ordine. Le indagini hanno coinvolto diversi paesi, tra cui Italia, Germania, Francia, Spagna e Stati Uniti.

In Italia, la Polizia di Stato ha identificato un giovane hacker emiliano coinvolto nel riciclaggio di proventi illeciti legati alla piattaforma Cracked. L’analisi di chat e dispositivi sequestrati ha permesso di ricostruire i legami con un’organizzazione criminale internazionale e di individuare numerosi wallet in criptovalute. Gli investigatori hanno sequestrato oltre 70 mila dollari in criptovalute e vari dispositivi elettronici. Grazie alla collaborazione con il Dipartimento di Giustizia USA e l’FBI, sono stati resi irraggiungibili i server italiani legati alla piattaforma.

I forum “Cracked” e “Nulled”, raggiungibili facilmente dagli utenti del web, erano coinvolti nella vendita di strumenti software malevoli quali ransomware, virus, codici di accesso a piattaforme di streaming, informazioni confidenziali appartenenti a numerose aziende violate, accessi a conti bancari, etc. Grazie una rete di server tra Australia e Stati Uniti, il loro tracciamento era complesso. Il riciclaggio dei profitti avveniva tramite società di intermediazione finanziaria compiacenti.

https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-takes-down-two-largest-cybercrime-forums-in-world

https://www.commissariatodips.it/notizie/articolo/cybercrime-la-polizia-di-stato-ed-europol-smantellano-due-market-illegali-con-server-distribuiti-in/index.html

L'articolo Smantellati i due più grandi forum di cybercrime proviene da Rivista Cybersecurity Trends.

Anteprima Rapporto Clusit 2025

Nel 2024 si sono registrati 3.541 attacchi informatici a livello mondiale, con un aumento del 27,4% rispetto all’anno precedente. Sono questi i dati allarmanti contenuti nell’Anteprima del Rapporto Clusit 2025, presentata alla stampa dall’Associazione Italiana per la Sicurezza Informatica.

Secondo i ricercatori di Clusit, la frequenza degli attacchi è in costante crescita, con una media di 295 incidenti al mese nel 2024, rispetto ai 232 del 2023 e ai 139 del 2019. A peggiorare è anche la gravità delle conseguenze: il 79% degli attacchi ha avuto impatti gravi o gravissimi. In particolare, gli attacchi di gravità media sono aumentati del 42%, mentre quelli a basso impatto sono ormai trascurabili.

Italia nel mirino del cybercrime

L’Italia non è immune a questa escalation. Nel 2024, il numero di incidenti informatici nel Paese è aumentato del 15,2% rispetto al 2023, rappresentando il 10,1% degli attacchi globali. Complessivamente, tra il 2020 e il 2024, sono stati rilevati 973 incidenti significativi, di cui 357 solo nell’ultimo anno. Sebbene la crescita sia più contenuta rispetto agli anni precedenti, il trend rimane preoccupante.

Il cybercrime si conferma la principale minaccia, responsabile dell’86% degli attacchi nel 2024, con un incremento di 3 punti percentuali rispetto all’anno precedente. Crescono anche gli attacchi legati all’Hacktivism (+16%) e all’Information Warfare, che ha quasi raddoppiato la sua incidenza rispetto al 2023.

I settori più colpiti

A livello globale, i principali bersagli degli attacchi cyber sono stati:

Obiettivi Multipli (18% del totale, +17% rispetto al 2023);
Settore Governativo e Militare (13%, +45%);
Settore Sanità (13%, +19%).

In Italia, il comparto più colpito è stato News e Multimedia (18% degli attacchi), seguito dal Manifatturiero e dagli Obiettivi Multipli (16% ciascuno). Il settore governativo ha registrato il 10% degli incidenti, mentre i Trasporti e la Logistica hanno subito una riduzione degli attacchi del 4% rispetto al 2023.

Le tecniche di attacco: Malware e DDoS in primo piano

Nel 2024, il 33% degli attacchi globali è stato causato da Malware, con una crescita dell’11% in termini assoluti. Anche gli attacchi DDoS hanno subito un aumento del 36%, mentre il Phishing e il Social Engineering sono cresciuti del 33%. In Italia, il Malware è stato la principale causa degli incidenti (38%), seguito dai DDoS (21%) e dallo sfruttamento di Vulnerabilità (19%).

I continenti più colpiti

Nel 2024, l’Europa ha registrato un aumento significativo degli incidenti informatici, con un incremento del 67%. Complessivamente, oltre il 65% degli attacchi globali ha avuto come bersaglio i territori americano ed europeo, confermando la loro elevata esposizione alle minacce cyber.

Analisi Fastweb: l’intelligenza artificiale e il cybercrime

L’analisi di Fastweb evidenzia un aumento del 23% degli eventi di sicurezza nel 2024, con oltre 69 milioni di attacchi rilevati. L’uso dell’intelligenza artificiale si sta rivelando cruciale sia per gli attaccanti, che sviluppano malware sempre più sofisticati, sia per la difesa, con tecnologie avanzate che migliorano la rilevazione e la mitigazione delle minacce.

Il Rapporto Clusit 2025 sarà presentato ufficialmente l’11 marzo, in occasione del Security Summit di Milano, evento di riferimento per il settore della cybersecurity.

https://clusit.it/wp-content/uploads/area_stampa/2025/Anteprima_Rapporto_Clusit_2025.pdf

L'articolo Anteprima Rapporto Clusit 2025 proviene da Rivista Cybersecurity Trends.

NoName057(16) attacca ancora siti italiani: Ordine dei Giornalisti offline

Un nuovo attacco informatico ha colpito diversi siti istituzionali italiani. Nel mirino degli hacker del gruppo filorusso NoName057(16) i portali delle Regioni Lombardia, Umbria e Friuli-Venezia Giulia, oltre ai siti delle città di Brescia, Parma, Reggio Emilia, Perugia, Ravenna e Rimini. Anche il sito dell’Ordine dei Giornalisti è stato attaccato e risulta al momento irraggiungibile.

Gli attacchi, di tipo DDoS (Distributed Denial of Service), hanno causato l’inaccessibilità temporanea dei siti coinvolti, sovraccaricando i server con un volume di traffico anomalo. Nel caso del Comune di Reggio Emilia, l’attacco è stato registrato intorno alle 7 del mattino di ieri. Le difese informatiche hanno retto, impedendo accessi non autorizzati o furti di dati; tuttavia, il sito è rimasto inaccessibile per alcune ore. Il personale dei Sistemi Informativi ha individuato l’origine del problema e ha bloccato gli indirizzi IP responsabili, impedendo loro di contattare i server del Comune e ripristinando la piena funzionalità del portale intorno alle 11:30.

L’Agenzia per la Cybersicurezza Nazionale (ACN) è stata allertata e ha informato le autorità competenti riguardo agli attacchi in corso. Nonostante i disagi causati, non sono stati segnalati accessi impropri o compromissioni di dati sensibili nei sistemi colpiti.

Questa serie di attacchi si inserisce in una campagna più ampia condotta dal gruppo NoName057(16), che ha intensificato le sue attività contro siti italiani nelle ultime settimane. Le autorità continuano a monitorare la situazione e a implementare misure di sicurezza per proteggere le infrastrutture digitali del Paese.

https://www.rainews.it/tgr/fvg/articoli/2025/02/ancora-attacchi-hacker-ai-siti-istituzionali-colpito-il-web-della-regione-fvg-41dfac58-dfd7-452b-8a8d-87a90f871154.html

https://www.ansa.it/emiliaromagna/notizie/2025/02/26/attacco-hacker-filorussi-a-sito-comune-reggio-emilia_35aa4b35-1970-42f2-b2d7-c6191db0cdb1.html

L'articolo NoName057(16) attacca ancora siti italiani: Ordine dei Giornalisti offline proviene da Rivista Cybersecurity Trends.