Il Blog di Michele Pinassi
A quanto pare, la #ransomware gang #Lockbit ha colpito l'Agenzia delle Entrare e tra poco meno di 48 ore pubblicherà i dati esfiltrati sul loro blog. Al momento, per la precisione, non ci sono dettagli in merito (Lockbit non ha pubblicato alcun sample), quindi…
UPDATE Una prima analisi dei file pubblicati sembrerebbe confermare che non sono stati esfiltrati dai server dell'Agenzia delle Entrate quanto, piuttosto, dalle macchine di uno studio di commercialisti in Verona.
LockBit sembra aver preso una (ennesima) cantonata in merito all'origine dei dati esfiltrati.
LockBit sembra aver preso una (ennesima) cantonata in merito all'origine dei dati esfiltrati.
Telling users to ‘avoid clicking bad links’ still isn’t working
We're even aware of some cases where people have forwarded suspicious emails from their home accounts to their work accounts, assuming that the security measures in place in their organisations will protect them. And once a link in a phishing email is clicked and an attack launches, the stigma of clicking can prevent people reporting it, which then delays the incident response.
https://www.ncsc.gov.uk/blog-post/telling-users-to-avoid-clicking-bad-links-still-isnt-working
We're even aware of some cases where people have forwarded suspicious emails from their home accounts to their work accounts, assuming that the security measures in place in their organisations will protect them. And once a link in a phishing email is clicked and an attack launches, the stigma of clicking can prevent people reporting it, which then delays the incident response.
https://www.ncsc.gov.uk/blog-post/telling-users-to-avoid-clicking-bad-links-still-isnt-working
www.ncsc.gov.uk
Telling users to ‘avoid clicking bad links’ still isn’t working
Why organisations should avoid ‘blame and fear’, and instead use technical measures to manage the threat from phishing.
In this post, we show how ChatGPT can bring value to reverse engineers and malware analysts, both those just entering the field as well as more experienced professionals. We will give specific examples and highlight some of the pitfalls for the following reverse engineering and malware analysis challenges
https://www.sentinelone.com/labs/11-problems-chatgpt-can-solve-for-reverse-engineers-and-malware-analysts/
https://www.sentinelone.com/labs/11-problems-chatgpt-can-solve-for-reverse-engineers-and-malware-analysts/
SentinelOne
11 Problems ChatGPT Can Solve For Reverse Engineers and Malware Analysts
ChatGPT has captured the imagination of many across infosec. Here's how it can superpower the efforts of reversers and malware analysts.
👍1
Cluster25 researchers analyzed several campaigns (also publicly reported by CERT-AGID) that used phishing emails to spread an InfoStealer malware written in .NET through an infection chain that involves Windows Shortcut (LNK) files and Batch Scripts (BAT). Taking into account the used TTPs and extracted evidence, the attacks seem perpetrated by the same adversary (internally named AUI001).
https://blog.cluster25.duskrise.com/2022/12/22/an-infostealer-comes-to-town
https://blog.cluster25.duskrise.com/2022/12/22/an-infostealer-comes-to-town
TL;DR La ransomware gang Lockbit sbaglia la rivendicazione di un attacco, confondendo uno studio di commercialisti con l’Agenzia delle Entrate. Tuttavia l’attacco è preoccpante e conferma la necessità, anche per le PMI italiane, di imparare ad adottare opportune strategie di cybersecurity per difendere i dati dei clienti e il proprio business.
https://www.zerozone.it/cybersecurity/lockbit-sbaglia-ma-lattacco-e-comunque-preoccupante/22624
https://www.zerozone.it/cybersecurity/lockbit-sbaglia-ma-lattacco-e-comunque-preoccupante/22624
Il blog di Michele Pinassi
Il blog di Michele Pinassi • LockBit sbaglia ma l’attacco è comunque preoccupante
Qualche giorno fa sul blog della ransomware gang LockBit viene pubblicata una rivendicazione piuttosto preoccupante: attacco all'Agenzia delle Entrate, con tanto di pubblicazione dei dati dopo due…
Linux 权限提升漏洞(CVE-2022-2602)
Linux 权限提升漏洞(CVE-2022-2602)
by SeeBug - http://www.seebug.org/vuldb/ssvid-99622
Linux 权限提升漏洞(CVE-2022-2602)
by SeeBug - http://www.seebug.org/vuldb/ssvid-99622
o scorso martedì 20 dicembre è stata ricevuta con grande accoglienza sulla stampa la circolare del Ministro dell’Istruzione e del Merito (MIM), Giuseppe Valditara, “sull’utilizzo dei telefoni cellulari e analoghi dispositivi elettronici in classe”. Il tema è uno di quelli più produttivi e potenti e già ben rodato nello scatenare click, confusione e scontri. Dal momento in cui la notizia ha cominciato a essere condivisa sui social media si è innescato un ridondante frastuono che è durato per due giorni. L’intrattenimento ha funzionato, il pubblico ha interagito massivamente.
https://www.valigiablu.it/cellulari-scuola-circolare/
https://www.valigiablu.it/cellulari-scuola-circolare/
Valigia Blu
Quando la disinformazione arriva dal Ministero dell’Istruzione e del Merito: il caso dei dispositivi elettronici a scuola
La circolare del Ministero dell'Istruzione e del Merito sui cellulari a scuola nulla cambierà ma, intanto, ha contribuito a riacutizzare il ciclo del panico morale sui dispositivi elettronici.
Sintesi riepilogativa delle campagne malevole nella settimana del 17 – 23 dicembre 2022
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 24 campagne malevole di cui 22 con obiettivi italiani e 2 generiche che hanno comunque coinvolto l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 116 indicatori di compromissione (IOC) individuati.
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-dicembre-2022/
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 24 campagne malevole di cui 22 con obiettivi italiani e 2 generiche che hanno comunque coinvolto l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 116 indicatori di compromissione (IOC) individuati.
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-dicembre-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 17 – 23 dicembre 2022
In questa settimana, il CERT-AgID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 24 campagne malevole di cui 22 con obiettivi italiani e 2 generiche che hanno comunque coinvolto l’Italia, mettendo a disposizione dei…
Risolte multiple vulnerabilità nel kernel Linux
(AL01/221223/CSIRT-ITA)
Risolte 5 vulnerabilità che impattano il kernel Linux. Tali vulnerabilità risiedono in ksmbd, un file server CIFS/SMB3 che è stato integrato nel Kernel a partire dalla versione 5.15.
by CSIRT - https://www.csirt.gov.it/contenuti/rilevate-multiple-vulnerabilita-nel-kernel-linux-al01-221223-csirt-ita
(AL01/221223/CSIRT-ITA)
Risolte 5 vulnerabilità che impattano il kernel Linux. Tali vulnerabilità risiedono in ksmbd, un file server CIFS/SMB3 che è stato integrato nel Kernel a partire dalla versione 5.15.
by CSIRT - https://www.csirt.gov.it/contenuti/rilevate-multiple-vulnerabilita-nel-kernel-linux-al01-221223-csirt-ita
Awesome Social Engineering
Un regalo di natale dal Blog di Michele Pinassi: una guida sul social engineering
https://github.com/v2-dev/awesome-social-engineering
Un regalo di natale dal Blog di Michele Pinassi: una guida sul social engineering
https://github.com/v2-dev/awesome-social-engineering
GitHub
GitHub - giuliacassara/awesome-social-engineering: A curated list of awesome social engineering resources.
A curated list of awesome social engineering resources. - giuliacassara/awesome-social-engineering
Using Shodan Images to Hunt Down Ransomware Groups
Shodan is a banner-grabbing search engine that “gathers information about all devices directly connected to the internet. If a device is directly hooked up to the internet then Shodan queries it for various publicly available information. The types of devices that are indexed can vary tremendously: ranging from small desktops up to nuclear power plants and everything in between.” Shodan scans for ports and exposes vulnerabilities as well. Pretty freakin’ cool, huh?
https://www.huntress.com/blog/using-shodan-images-to-hunt-down-ransomware-groups
Shodan is a banner-grabbing search engine that “gathers information about all devices directly connected to the internet. If a device is directly hooked up to the internet then Shodan queries it for various publicly available information. The types of devices that are indexed can vary tremendously: ranging from small desktops up to nuclear power plants and everything in between.” Shodan scans for ports and exposes vulnerabilities as well. Pretty freakin’ cool, huh?
https://www.huntress.com/blog/using-shodan-images-to-hunt-down-ransomware-groups
Huntress
Using Shodan Images to Hunt Down Ransomware Groups | Huntress
In this blog, we’re going to focus on how Shodan helps us unveil some of the infrastructure that supports ransomware actors.
ZyXEL LTE3301-M209 硬编码漏洞(CVE-2022-40602)
ZyXEL LTE3301-M209 硬编码漏洞(CVE-2022-40602)
by SeeBug - http://www.seebug.org/vuldb/ssvid-99623
ZyXEL LTE3301-M209 硬编码漏洞(CVE-2022-40602)
by SeeBug - http://www.seebug.org/vuldb/ssvid-99623
Rilevato nuovo exploit OWASSRF in grado di aggirare le mitigazioni per ProxyNotShell
(AL01/221227/CSIRT-ITA)
Rilevato un nuovo metodo di exploitation, denominato "OWASSRF”, in grado di aggirare le contromisure proposte da Microsoft come mitigazione alla vulnerabilità di Exchange denominata ProxyNotShell.
by CSIRT - https://www.csirt.gov.it/contenuti/rilevato-nuovo-exploit-owassrf-in-grado-di-aggirare-le-mitigazioni-per-proxynotshell-al01-221227-csirt-ita
(AL01/221227/CSIRT-ITA)
Rilevato un nuovo metodo di exploitation, denominato "OWASSRF”, in grado di aggirare le contromisure proposte da Microsoft come mitigazione alla vulnerabilità di Exchange denominata ProxyNotShell.
by CSIRT - https://www.csirt.gov.it/contenuti/rilevato-nuovo-exploit-owassrf-in-grado-di-aggirare-le-mitigazioni-per-proxynotshell-al01-221227-csirt-ita
Direttiva EU NIS2.pdf
1.3 MB
La 𝗗𝗶𝗿𝗲𝘁𝘁𝗶𝘃𝗮 𝗡𝗜𝗦 𝟮 è stata pubblicata oggi sulla Gazzetta Ufficiale UE ed entrerà in vigore il ventesimo giorno successivo alla pubblicazione.
Gli Stati membri avranno 21 mesi di tempo dall'entrata in vigore per recepirla.
La NIS2 stabilisce la base per le misure di gestione del rischio di cybersicurezza e gli obblighi di comunicazione nei settori coperti dalla Direttiva, quali energia, trasporti, finanza, sanità e infrastrutture digitali.
Gli Stati membri avranno 21 mesi di tempo dall'entrata in vigore per recepirla.
La NIS2 stabilisce la base per le misure di gestione del rischio di cybersicurezza e gli obblighi di comunicazione nei settori coperti dalla Direttiva, quali energia, trasporti, finanza, sanità e infrastrutture digitali.
Genitori, non mettete le foto dei vostri figli online
Il fenomeno dello sharenting, neologismo che mette insieme due termini inglesi share (condividere) e parenting (genitorialità), fa riferimento proprio all’abitudine da parte dei genitori di pubblicare online immagini e video dei propri figli. Un comportamento tutt’altro che occasionale.
https://www.vanityfair.it/article/genitori-foto-figli-online-sharenting
Il fenomeno dello sharenting, neologismo che mette insieme due termini inglesi share (condividere) e parenting (genitorialità), fa riferimento proprio all’abitudine da parte dei genitori di pubblicare online immagini e video dei propri figli. Un comportamento tutt’altro che occasionale.
https://www.vanityfair.it/article/genitori-foto-figli-online-sharenting
VANITY FAIR
Genitori, non mettete le foto dei vostri figli online
Si chiama «sharenting» il fenomeno di condividere le immagini dei bambini in rete e sui social, un’attività molto comune ma con molti rischi che è bene conoscere
IRM-2022 (Incident Response Methodologies 2022)
CERT Societe Generale with the collaboration of CERT aDvens provides easy to use operational incident best practices. These cheat sheets are dedicated to incident handling and cover multiple fields in which a CERT team can be involved. One IRM exists for each security incident we're used to dealing with.
https://github.com/certsocietegenerale/IRM
CERT Societe Generale with the collaboration of CERT aDvens provides easy to use operational incident best practices. These cheat sheets are dedicated to incident handling and cover multiple fields in which a CERT team can be involved. One IRM exists for each security incident we're used to dealing with.
https://github.com/certsocietegenerale/IRM
GitHub
GitHub - certsocietegenerale/IRM: Incident Response Methodologies 2022
Incident Response Methodologies 2022. Contribute to certsocietegenerale/IRM development by creating an account on GitHub.
TL;DR In pieno clima festivo, la notizia dell’attacco ransomware all’Azienda Ospedaliera di Alessandria da parte della gang Ragnar Locker rischia di turbare i sonni di migliaia di pazienti che vedono i loro referti medici (e altri documenti riservati) pubblicati in Rete.
https://www.zerozone.it/cybersecurity/azienda-ospedaliera-di-alessandria-colpita-da-ragnar-locker-ransomware/22643
https://www.zerozone.it/cybersecurity/azienda-ospedaliera-di-alessandria-colpita-da-ragnar-locker-ransomware/22643
zerozone.it
Azienda Ospedaliera di Alessandria colpita da Ragnar Locker ransomware • zerozone.it
Nel disastro, la buona notizia è che i sistemi informatici dell'Azienda Ospedaliera di Alessandria sembrano essere stati violati ma non compromessi: l'operatività degli stessi è comunque salva…