Vi raccontiamo qui di seguito quattro storie brevi dal pazzesco mondo della sicurezza informatica - un settore che si trova in uno strano crocevia tra tecnologia, spionaggio, criminalità e genialità. Se ci vedete ogni tanto qualche similarità con le trame di film come Ocean's Eleven o Mr. Robot, non vi preoccupate: è proprio così.

Lockbit 2.0 rappresenta uno dei più recenti tentativi di trasformare gli attacchi ransomware in un modello di business strutturato, stabile e mainstream. È stato scovato negli scorsi giorni da MHT: si può definire in un certo senso ransomware-as-a-service - il cliente assolda gli hacker per colpire un determinato bersaglio, con l'obiettivo di criptare i computer nella rete e offrire un riscatto per lo sblocco. Le parti si dividono poi i profitti: il 70-80% al cliente, il resto allo sviluppatore dell'attacco.

Come potete vedere nell'immagine qui sopra, gli hacker elencano con dovizia di particolari le funzionalità e i servizi che si possono acquistare. Colpisce in particolare la dichiarazione di aver automatizzato la distribuzione del ransomware attraverso un dominio Windows senza bisogno di script. Basta riuscire ad accedere al domain controller: il malware si occupa poi di creare criteri di gruppo ad hoc che causano la sua distribuzione su ogni sistema della rete.

Le policy compromettono tra l'altro la stragrande maggioranza delle misure di sicurezza aggiuntive messe in piedi da Microsoft: per esempio disabilitando varie funzioni di Microsoft Defender, tra cui l'invio di notifiche, la protezione in tempo reale, l'invio di sample a Microsoft stessa, e le azioni predefinite quando viene rilevato un virus.

Negli ultimi tempi si è parlato molto di due gruppi molto attivi nella scena dei ransomware: REvil e DarkSide. Tra i loro bersagli si indicano l'assemblatore Quanta Computer e di riflesso Apple, il colosso della carne JBS, la società di supporto informatico Kaseya, il produttore di elettronica Toshiba, una rete di oleodotti statunitense e altri ancora. Da qualche giorno, entrambi i gruppi sono spariti dalla faccia del web: siti spariti, account chiusi, silenzio assoluto.

È possibile che i gruppi abbiano iniziato a sentire il peso della notorietà, o chissà che altro; fatto sta che negli ultimi giorni sui forum specializzati del Dark Web ci sono chiare tracce di movimenti di un nuovo gruppo, chiamato BlackMatter, che ha alcuni legami sia con REvil sia con DarkSide. Gli obiettivi sono sempre quelli: colpire per estorcere denaro. Niente attacchi a no-profit ed enti governativi.

Insomma, non è perfettamente chiaro se le persone coinvolte, almeno parzialmente, siano le stesse, ma è chiaro che almeno dal punto di vista filosofico una certa qual tipologia di eredità i due gruppi l'hanno lasciata.

I ricercatori dell'olandese ThreatFabric hanno individuato un nuovo trojan che punta diretto al bersaglio succoso dei dispositivi degli utenti: le app finanziarie, tra cui quelle di banche, wallet digitali e così via. L'implementazione è piuttosto interessante: in sostanza il malware lancia una sessione di condivisione schermo con il popolare software open-source VNC non appena si accorge che l'utente ha lanciato una delle oltre 100 app finanziarie che è in grado di riconoscere. Secondo la fonte, sono app prevalentemente italiane, australiane e spagnole.

La schermata viene condivisa con un server esterno controllato dall'hacker, che può così individuare con facilità i dati di login, come nome utente e password. Una volta che entra in possesso di queste informazioni, l'hacker può procedere a rubare denaro e altri asset dal "suo computer" (che è naturalmente un eufemismo per "sistema di computer, proxy e altre misure per evitare di farsi beccare").

Come spesso accade, un ruolo fondamentale nella riuscita dell'attacco lo ricopre l'abuso dei servizi di accessibilità intrinsechi al sistema operativo. Fortunatamente, finora non sono state scoperte molte app infettate con il dropper custom, chiamato Brunhilda, che si occupa di scaricare e installare il malware: in effetti sono solo due, con una conta di installazioni complessiva di appena 5.000 circa.

Jim Browning è uno YouTuber che pratica il cosiddetto scam-baiting: crea in sostanza delle esche per smascherare i truffatori online, in particolare quelli che si fingono il supporto tecnico di aziende famose e conosciute, per ispirare fiducia; solo che invece di aiutarti a risolvere il tuo problema o a cancellare un virus, il virus te lo installano. Ebbene, a ulteriore dimostrazione del fatto che nessuno è invulnerabile a questo tipo di truffe, e che basta un momento di disattenzione per causare dei guai seri, è capitato che Browning è rimasto vittima proprio di una delle truffe che di solito contribuisce a portare alla luce.

Browning pensava di parlare con il supporto ufficiale di YouTube, e invece si è ritrovato con il canale chiuso. Fortunatamente il truffatore non è riuscito a convincere Browning a cedere il controllo del canale. Nell'arco di qualche giorno, parlando con il vero supporto di YouTube, Browning è riuscito a ripristinare quasi completamente il proprio canale - manca giusto l'URL personalizzato, ma dovrebbe essere solo questione di tempo.

So to prove that anyone can be scammed, I was convinced to delete my @YouTube channel because I was convinced I was talking @YouTubeCreators support. I never lost control of the channel, but the sneaky s**t managed to get me to delete the channel. Hope to recover soon. pic.twitter.com/ygmt2CDlR1

— Jim Browning (@JimBrowning11) July 26, 2021