redmount.xyz

Negli ultimi giorni il collettivo hackers autodenominatosi Predatory Sparrow (in persiano Gonjeshke Darande) ha rivendicato di aver paralizzato la Bank Sepah, la più grande banca statale dell’Iran, collegata ai Guardiani della Rivoluzione (IRGC) e gravemente sanzionata dagli USA per il suo ruolo nel finanziare programmi bellici. Secondo diverse fonti, il sito della banca è offline, gli sportelli ATM non funzionano e le transazioni sono bloccate. Disruption che si estende anche alle stazioni di servizio, dove molte pompe non riescono a processare pagamenti perché connesse a Bank Sepah. A rendere il tutto ancora più significativo, poche ore fa Nobitex, il principale exchange di criptovalute in Iran, ha confermato di essere stato vittima di un grave attacco informatico: oltre 48 milioni di dollari in asset digitali sono stati sottratti, principalmente Tether (USDT) sulla rete Tron. L’exchange rappresentava una delle poche vie alternative al sistema bancario ufficiale iraniano, spesso usat...

Negli ultimi giorni, il conflitto tra Israele e Iran ha oltrepassato il piano militare e politico, invadendo apertamente anche il cyberspazio. Dopo il bombardamento israeliano su obiettivi nucleari in Iran, il gruppo di hacktivisti pro-Palestinesi noto come Handala ha rivendicato una serie di attacchi informatici contro infrastrutture e organizzazioni israeliane. Li avevamo già visti in azione qualche mese fa, poi sembravano spariti. Adesso sono tornati, e lo hanno fatto con un messaggio chiaro: vendetta e visibilità. Quando si parla di cyberwar, è facile pensare subito agli stati e ai servizi segreti. Ma in realtà, dietro gran parte di questi attacchi ci sono gruppi ideologici, che si muovono fra attivismo politico, vandalismo digitale e operazioni semi-organizzate di disturbo. Handala, ad esempio, ha lanciato attacchi DDoS e sostenuto di aver trafugato dati sensibili, e anche se la portata effettiva non è sempre verificabile, la narrativa che si costruisce attorno a questi eventi pu...

Dall'inizio dell'invasione russa dell'Ucraina nel 2022, il cyberspazio è diventato un campo di battaglia cruciale. Tra i protagonisti di questa guerra cibernetica emergono i "Black Owl", un gruppo di hacker affiliato alla Direzione Principale dell'Intelligence del Ministero della Difesa ucraino (HUR). Le loro operazioni hanno inflitto danni significativi alle infrastrutture militari e logistiche russe. Nel settembre 2024, i Black Owl hanno colpito siti web russi legati alla logistica militare, come "okrug.ru" e "vashhotel.ru", accedendo a dati sensibili sul movimento delle truppe. Hanno lasciato come firma l'immagine di un gufo sopra un teschio trafitto, simbolo ricorrente delle loro incursioni. Non operano da soli: collaborano con altri gruppi pro-Ucraina, come il "VO Team", e insieme hanno preso di mira oltre 800 server russi, incluse istituzioni finanziarie come Alfa Bank e Rostelecom. A febbraio 2024, hanno violato anche i...

Nel panorama della cybercriminalità globale, pochi nomi evocano tanto timore quanto LockBit. Questo gruppo di hacker di origine russa, attivo dal 2019, ha costruito un vero e proprio impero criminale su base ransomware-as-a-service (RaaS), mettendo in ginocchio oltre 2.000 organizzazioni in tutto il mondo. Il loro modello operativo è simile a quello di un'azienda: forniscono malware, pannelli di controllo e strumenti per la contrattazione dei riscatti agli affiliati, in cambio di una quota su ogni pagamento ricevuto. I guadagni stimati superano i 120 milioni di dollari, rendendo LockBit una delle minacce informatiche più aggressive degli ultimi anni. Negli ultimi mesi, la Svizzera è finita nel mirino del gruppo. Diverse aziende elvetiche sono state colpite da attacchi ransomware che hanno paralizzato sistemi, rubato dati sensibili e richiesto riscatti per un totale stimato di oltre 2,3 milioni di franchi svizzeri. I file sottratti non erano semplici elenchi di clienti o documenti ...

Nel maggio 2025, la Repubblica Ceca ha accusato la Cina di aver orchestrato un cyberattacco contro il suo Ministero degli Esteri, attribuendo l'azione al gruppo di hacker APT31, presumibilmente legato ai servizi segreti cinesi. L'attacco avrebbe compromesso comunicazioni non classificate tra ambasciate e istituzioni dell'UE, risalendo al 2022, periodo in cui la Cechia deteneva la presidenza di turno dell'UE. Il ministro degli Esteri ceco, Jan Lipavský, ha definito l'attacco una "campagna cibernetica ostile", convocando l'ambasciatore cinese a Praga e sottolineando che tali azioni minano la credibilità della Cina e contraddicono le sue dichiarazioni pubbliche. La risposta internazionale non si è fatta attendere: l'Unione Europea e la NATO hanno espresso solidarietà alla Repubblica Ceca, condannando l'attacco come una violazione delle norme internazionali. Kaja Kallas, alto rappresentante dell'UE, ha sottolineato che tali attacchi sono in...

A volte sembra che il mondo della cybersecurity corra troppo veloce per i criminali comuni. Eppure, poi leggi notizie come quella di APT36 – un gruppo hacker pakistano legato a operazioni di spionaggio militare – che prende di mira ufficiali della Difesa indiana con una semplice email di phishing... e capisci che la vera arma non è il malware, ma la psicologia.  Pakistan vs India: una rivalità lunga quanto il dopoguerra Per capire il contesto serve un minimo di geopolitica. India e Pakistan non si sopportano praticamente dalla nascita. Dal 1947 ad oggi, si sono fronteggiati in guerre aperte, crisi nucleari, scontri di confine in Kashmir e battaglie diplomatiche all’ONU. La cybersecurity è solo il nuovo fronte di un conflitto eterno. Nel grande risiko globale: India è allineata con Stati Uniti, Israele e Francia in ambito militare e tecnologico. Pakistan è storicamente vicino alla Cina, ma mantiene forti legami con la Turchia e, in parte, con l’Iran. Gli USA hanno fornito armi sia a...

Un gruppo APT (Advanced Persistent Threat) relativamente sconosciuto denominato "GoldenJackal" ha preso di mira entità governative e diplomatiche in Asia dal 2019 per spionaggio. Gli autori delle minacce hanno mantenuto un basso profilo di furtività, selezionando attentamente le loro vittime e mantenendo il numero di attacchi al minimo per ridurre la probabilità di esposizione. Kaspersky tiene traccia di GoldenJackal dal 2020 e oggi riferisce che gli attori della minaccia hanno svolto attività notevoli in Afghanistan, Azerbaigian, Iran, Iraq, Pakistan e Turchia. "GoldenJackal è un gruppo APT, attivo dal 2019, che di solito si rivolge a entità governative e diplomatiche in Medio Oriente e Asia meridionale", spiega Kaspersky. "Nonostante abbiano iniziato le loro attività anni fa, questo gruppo è generalmente sconosciuto e, per quanto ne sappiamo, non è stato descritto pubblicamente". I vettori di infezione dell'APT sono sconosciuti. Tuttavia, i ricercat...

Un attore di minaccia persistente avanzata (APT) di lingua cinese "estremamente sofisticato" soprannominato LuoYu è stato osservato utilizzare uno strumento Windows dannoso chiamato WinDealer che viene fornito per mezzo di attacchi man-on-the-side. "Questo sviluppo rivoluzionario consente all'attore di modificare il traffico di rete in transito per inserire payload dannosi", ha affermato la società russa di sicurezza informatica Kaspersky in un nuovo rapporto. "Tali attacchi sono particolarmente pericolosi e devastanti perché non richiedono alcuna interazione con il bersaglio per portare a un'infezione di successo". Conosciute per essere attive dal 2008, le organizzazioni prese di mira da LuoYu sono principalmente organizzazioni diplomatiche straniere stabilite in Cina e membri della comunità accademica, nonché società finanziarie, di difesa, logistiche e di telecomunicazioni. L'uso di WinDealer da parte di LuoYu è stato documentato per la pr...

Un'indagine internazionale durata un anno ha portato all'arresto del presunto capo del gruppo criminale informatico SilverTerrier da parte delle forze di polizia nigeriane. "Si presume che il sospetto abbia gestito un sindacato transnazionale di criminalità informatica che ha lanciato campagne di phishing di massa e schemi di compromissione di e-mail aziendali rivolti ad aziende e singole vittime", ha affermato l'Interpol in una nota. L'operazione Delilah, come viene chiamato lo sforzo internazionale coordinato, prevedeva il monitoraggio dei movimenti fisici dell'uomo nigeriano di 37 anni, prima che fosse arrestato all'aeroporto internazionale Murtala Muhammed di Lagos nel marzo 2022. Group-IB, società di sicurezza informatica con sede a Singapore, ha dichiarato di aver fornito informazioni sulle minacce che hanno portato all'arresto nell'ambito dell'operazione di polizia iniziata nel maggio 2021. Secondo l' Unità 42 di Palo Alto Networ...

12 persone sono state arrestate nell'ambito di un'operazione delle forze dell'ordine internazionali per orchestrare attacchi ransomware su infrastrutture critiche e grandi organizzazioni che hanno colpito oltre 1.800 vittime in 71 paesi dal 2019, segnando l'ultima azione contro i gruppi di criminalità informatica. Gli arresti sono stati effettuati all'inizio di questa settimana il 26 ottobre in Ucraina e Svizzera, con conseguente sequestro di contanti per un valore di $ 52.000, cinque veicoli di lusso e una serie di dispositivi elettronici che le agenzie hanno affermato essere esaminati per scoprire nuove prove forensi delle loro attività dannose e perseguire nuove piste investigative. I sospetti sono stati principalmente collegati al ransomware LockerGoga, MegaCortex e Dharma, oltre a essere incaricati di riciclare i pagamenti del riscatto incanalando i proventi di Bitcoin illeciti attraverso servizi di miscelazione e incassandoli. "I sospetti presi di mira av...

Lazarus Group, il gruppo di minacce persistenti avanzate (APT) attribuito al governo nordcoreano, è stato osservato condurre due distinte campagne di attacco alla catena di approvvigionamento come mezzo per ottenere un punto d'appoggio nelle reti aziendali e prendere di mira un'ampia gamma di entità a valle. L'ultima operazione di intelligence di raccolta ha comportato l'uso di MATA quadro malware, nonché backdoor doppiati BLINDINGCAN e COPPERHEDGE per attaccare l'industria della difesa, un fornitore della soluzione di monitoraggio delle risorse IT con sede a Lettonia e un think tank con sede in Corea del Sud, secondo un nuovo Rapporto sulle tendenze APT del terzo trimestre 2021 pubblicato da Kaspersky. In un caso, l'attacco alla catena di approvvigionamento ha avuto origine da una catena di infezione originata da un legittimo software di sicurezza sudcoreano che esegue un payload dannoso, portando alla distribuzione del malware BLINDINGCAN e COPPERHEDGE sull...

Nobelium, l' attore delle minacce dietro il compromesso di SolarWinds nel dicembre 2020, è stato dietro a una nuova ondata di attacchi che ha compromesso 14 clienti a valle di più fornitori di servizi cloud (CSP), fornitori di servizi gestiti (MSP) e altre organizzazioni di servizi IT, illustrando il il continuo interesse dell'avversario a prendere di mira la catena di approvvigionamento attraverso l'approccio "compromesso uno a molti". Microsoft, che lunedì ha rivelato i dettagli della campagna, ha dichiarato di aver informato più di 140 rivenditori e fornitori di servizi tecnologici da maggio. Tra il 1 luglio e il 19 ottobre 2021, si dice che Nobelium abbia individuato 609 clienti, che sono stati attaccati collettivamente per un totale di 22.868 volte. "Questa recente attività è un altro indicatore del fatto che la Russia sta cercando di ottenere un accesso sistematico e a lungo termine a una varietà di punti della catena di approvvigionamento tecnologico e...

Secondo un rapporto dettagliato di CrowdStrike , dal 2019 più di una dozzina di operatori di rete mobile si sono infiltrati da un gruppo di hacker chiamato LightBasin. È importante sottolineare che la società di ricerca sulla sicurezza informatica ha affermato che gli hacker sono stati in grado di accedere alle informazioni sugli abbonati e ai dettagli del registro delle chiamate. Tuttavia, l'azienda non ha rivelato le identità degli operatori di rete mobile che sono stati hackerati e i funzionari non hanno risposto alle domande di Light Reading sul motivo per cui non avrebbero nominato le società interessate. L'infrastruttura mobile sicura "non è qualcosa che puoi dare per scontato", ha ammonito Adam Meyers, vicepresidente senior dell'intelligence di CrowdStrike. Il rapporto dell'azienda descriveva in dettaglio una serie di metodi, semplici e complessi, utilizzati dal gruppo di hacker per ottenere l'accesso. Ad esempio, un metodo coinvolto ha semplicem...

Un attacco del tipo 'data breach', rivendicato dal gruppo Everest, è stato portato da hacker alla Siae: sono stati esfiltrati circa 60 gigabyte di dati ed è stato chiesto un riscatto per evitarne la pubblicazione. La richiesta fatta alla Siae è di tre milioni di euro in bitcoin. I documenti sottratti sono 28 mila. Sono stati sottratti dati sensibili come carte di identità, patenti, tessere sanitarie e indirizzi, che sono stati già messi in vendita sul dark web. La Società degli autori e degli editori, secondo quanto si apprende, era già stata vittima alcune settimane fa di piccoli attacchi, quelli che in gergo sono chiamati phishing, ed era scattata l'allerta dei sistemi di sicurezza. La Polizia postale indaga sul caso, attraverso il compartimento di Roma del Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche). "La Siae non darà seguito alla richiesta di riscatto", dice il dg Gaetano Blandini, che sottolinea: "A...

Il Threat Analysis Group (TAG) di Google giovedì ha dichiarato che sta monitorando più di 270 attori di minacce sostenuti dal governo provenienti da più di 50 paesi, aggiungendo di aver inviato circa 50.000 avvisi di tentativi di phishing o malware sponsorizzati dallo stato ai clienti dall'inizio del 2021. Gli avvertimenti segnano un aumento del 33% dal 2020, ha affermato il colosso di Internet, con il picco derivante in gran parte dal "blocco di una campagna insolitamente grande di un attore russo noto come APT28 o Fancy Bear". Inoltre, Google ha affermato di aver interrotto una serie di campagne organizzate da un gruppo di attaccanti sponsorizzato dallo stato iraniano tracciato come APT35 (alias Charming Kitten, Phosphorous o Newscaster), incluso un sofisticato attacco di ingegneria sociale soprannominato "Operazione SpoofedScholars" rivolto a gruppi di esperti, giornalisti , e professori con l'obiettivo di sollecitare informazioni sensibili mascherando...

Sono emersi dettagli su una nuova campagna di spionaggio informatico diretta contro l'industria aerospaziale e delle telecomunicazioni, principalmente in Medio Oriente, con l'obiettivo di rubare informazioni sensibili su risorse critiche, infrastrutture e tecnologia delle organizzazioni rimanendo all'oscuro ed eludendo con successo le soluzioni di sicurezza . La società di sicurezza informatica con sede a Boston Cybereason ha soprannominato gli attacchi " Operazione Ghostshell ", sottolineando l'uso di un trojan di accesso remoto (RAT) precedentemente non documentato e furtivo chiamato ShellClient che viene distribuito come il principale strumento di spionaggio preferito. Il primo segno degli attacchi è stato osservato nel luglio 2021 contro un insieme selezionato di vittime, indicando un approccio altamente mirato. "ShellClient RAT è in fase di sviluppo almeno dal 2018, con diverse iterazioni che hanno introdotto nuove funzionalità, mentre è sfuggito agl...

Il gruppo cinese di spionaggio informatico APT41 è stato collegato a campagne di malware apparentemente disparate, secondo una nuova ricerca che ha mappato insieme parti aggiuntive dell'infrastruttura di rete del gruppo per colpire una campagna sponsorizzata dallo stato che sfrutta le esche di phishing a tema COVID per colpire le vittime in India. "L'immagine che abbiamo scoperto era quella di una campagna sponsorizzata dallo stato che gioca sulle speranze delle persone per una rapida fine della pandemia come un'esca per intrappolare le sue vittime", ha affermato il team di BlackBerry Research and Intelligence in un rapporto ."E una volta sul computer di un utente, la minaccia si fonde con la lavorazione del legno digitale utilizzando il proprio profilo personalizzato per nascondere il proprio traffico di rete". APT41 (noto anche come Barium o Winnti) è un moniker assegnato a un prolifico gruppo cinese di minacce informatiche che svolge attività di spion...

Diverse agenzie di sicurezza nazionale, coordinate da Europol e Interpol, hanno arrestato due sospetti operatori di ransomware in Ucraina. Come annunciato lunedì da Europol, i due uomini sono stati arrestati il ​​28 settembre. Sono accusati di aver rubato dati con un malware appropriato e di estorcere loro riscatti compresi tra 5 milioni di euro e 70 milioni di euro. Si dice che i due sospetti abbiano effettuato una serie di attacchi mirati a "grandi gruppi industriali" in Europa e Nord America dall'aprile 2020, rubando dati sensibili per crittografarli. La comunicazione di Europol lascia aperta la questione delle imprese coinvolte . In caso di ricatto, i potenziali autori avrebbero chiesto diversi milioni di euro per la decrittazione dei dati. In caso di mancato pagamento, i dati rubati dovrebbero essere altrimenti pubblicati su Darknet. Secondo The Record, uno dei due sospetti, un uomo di 25 anni, avrebbe fatto parte di un'operazione di ransomware più ampia . Con ...

Un attore di minacce di lingua cinese precedentemente sconosciuto è stato collegato a un'operazione evasiva di lunga data mirata a obiettivi del sud-est asiatico già nel luglio 2020 per distribuire un rootkit in modalità kernel su sistemi Windows compromessi. Si dice anche che gli attacchi sferrati dal gruppo di hacker, soprannominato GhostEmperor di Kaspersky, abbiano utilizzato un "sofisticato framework di malware multi-stadio" che consente di fornire persistenza e controllo remoto sugli host mirati. La società di sicurezza informatica russa ha chiamato il rootkit Demodex , con infezioni segnalate in diverse entità di alto profilo in Malesia, Thailandia, Vietnam e Indonesia, oltre a valori anomali situati in Egitto, Etiopia e Afghanistan. "[Demodex] viene utilizzato per nascondere gli artefatti del malware in modalità utente agli investigatori e alle soluzioni di sicurezza, mentre dimostra un interessante schema di caricamento non documentato che coinvolge il compo...

Microsoft lunedì ha rivelato un nuovo malware distribuito dal gruppo di hacker dietro l'attacco alla catena di approvvigionamento SolarWinds lo scorso dicembre per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services ( ADFS ). Il Threat Intelligence Center (MSTIC) del gigante tecnologico ha chiamato FoggyWeb "backdoor passiva e altamente mirata", rendendolo l'attore di minacce tracciato come l'ultimo strumento di Nobelium in una lunga lista di armi informatiche come Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox e VaporRage . "Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l'attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati", hanno affermato i ricercatori di MSTIC . "Nobelium utilizza Foggy...