Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 20 Febbraio 2024 09:09
Come abbiamo visto poche ore fa, una operazione internazionale chiamata “Operazione Cronos”, ha smantellato una parte del data leak site di LockBit. Al momento, come abbiamo riportato nel precedente articolo, risulta ancora in piedi una parte dell’infrastruttura come ad esempio la sezione di download dei dati.
Risultano invece offline i mirror che permettono di visualizzare le sezione di pubblicazione dei dati da parte della cyber-gang criminale.
Da quanto circola in rete, sembrerebbe che il DLS di LockBit sia stato compromesso dalle forze dell’ordine utilizzando il CVE-2023-3824.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Si tratta di una vulnerabilità di Remote Code Execution (RCE) che affligge una serie di versioni di PHP. Sul NIST si legge: “Nella versione PHP 8.0.* prima della 8.0.30, 8.1.* prima della 8.1.22 e 8.2.* prima della 8.2.8, durante il caricamento del file phar, durante la lettura delle voci della directory PHAR, un controllo della lunghezza insufficiente può portare a un overflow del buffer dello stack, portando potenzialmente alla corruzione della memoria o all’RCE“.
Il tutto sembrerebbe partito dal pannello delle affiliazioni, pertanto è molto probabile che le forze dell’ordine fossero infiltrate all’interno della gang e abbiano sfruttato tale falla per poter effettuare l’accesso in modo non autorizzato all’infrastruttura.
Lockbit – a quanto pare – ha inviato un avviso urgente ai propri affiliati riguardante il recente incidente di sicurezza che potrebbe aver compromesso le loro informazioni personali. Da quanto viene riportato la cyber gang sempre aver immediatamente avviato un’indagine e ha implementato misure aggiuntive per proteggere la propria rete.
Le informazioni personali coinvolte sembrano includere nomi, indirizzi email e password crittografate, anche se non ci sono prove di accesso a informazioni finanziarie o di previdenza sociale. Lockbit sta collaborando con altri “esperti di sicurezza informatica e criminali informatici” per indagare sulla violazione e ha offerto servizi gratuiti di monitoraggio del credito per 12 mesi alle persone colpite.
Per proteggere ulteriormente le proprie informazioni, Lockbit consiglia agli affiliati di reimpostare le password, abilitare l’autenticazione a più fattori e monitorare attentamente i propri conti per attività sospette. Per ulteriori domande o assistenza, è possibile contattare il team di supporto clienti di Lockbit.
Lockbit si scusa per eventuali inconvenienti e si impegna a migliorare costantemente le misure di sicurezza per garantire l’integrità e la riservatezza dei dati dei propri affiliati. Ma il tutto potrebbe essere una farsa.
Di seguito l’avviso di sicurezza tradotto in italiano.
Oggetto: Avviso di sicurezza importante da parte di Lockbit Azione richiesta
Caro stimato affiliato,
Ti contattiamo per informarti di un recente incidente di sicurezza che potrebbe aver avuto ripercussioni sulla tua vita personale informazione. Lockbit prende sul serio la sicurezza dei tuoi dati e ci impegniamo a mantenerli più alti standard di protezione dei dati.
Quello che è successo?
Il nostro team ha recentemente rilevato un accesso non autorizzato ai nostri sistemi, che riteniamo sia stato effettuato da a gruppo noto come NCA. Dopo aver scoperto la violazione, abbiamo immediatamente avviato un'indagine con
l’assistenza di esperti di sicurezza informatica e abbiamo adottato misure per proteggere la nostra rete.
Quali informazioni erano coinvolte?
La violazione potrebbe aver comportato l'accesso a informazioni personali, inclusi nomi, indirizzi e-mail e password crittografate. Al momento non ci sono prove che dispongano di informazioni finanziarie o di previdenza sociale è stato effettuato l'accesso ai numeri.
Cosa stiamo facendo
In risposta a questo incidente, abbiamo:
- Implementato misure di sicurezza aggiuntive per prevenire future violazioni.
- Ci siamo impegnati con altri operatori e criminali informatici per indagare sulla violazione.
- Fornito servizi gratuiti di monitoraggio del credito per 12 mesi alle persone colpite, per aiutare a proteggersi da eventuali rischi furto d'identità. Riceverai un'e-mail separata con le istruzioni su come attivare questo servizio.
Cosa puoi fare
Per proteggere ulteriormente le tue informazioni, ti consigliamo le seguenti azioni:
- Reimposta la tua password: cambia la password per il tuo account Lockbit e qualsiasi altro account in cui utilizzi password identiche o simili.
- Abilita l'autenticazione a più fattori (MFA): se non l'hai già fatto, lo invitiamo vivamente
- Consiglia di abilitare MFA sul tuo account Lockbit e altri account online. Questo aggiunge un extra livello di sicurezza oltre la semplice password.
- Monitora i tuoi conti: tieni d'occhio gli estratti conto e i rapporti di credito per eventuali attività insolita.
Per maggiori informazioni
Se avete domande o avete bisogno di ulteriore assistenza, non esitate a contattare il nostro cliente team di supporto all'indirizzo ****************.com o chiamaci al numero 1-900-LOCKBIT.
Siamo profondamente dispiaciuti per qualsiasi inconveniente o preoccupazione che questo incidente possa causarti. Lockbit si impegna a farlo migliorare continuamente le nostre misure di sicurezza e garantire l'integrità e la riservatezza dei tuoi dati.
Cordiali saluti,
La squadra Lockbit
VX-Underground ha riportato in un tweet (poi subito cancellato) che il tutto dovrebbe essere una farsa, in quanto LockBit utilizza TOX e XMPP per comunicare con gli affiliati. Nel Tweet dicevano quanto segue:
Non possiamo dire se si tratti di satira o meno perché a molte persone sembrano prenderlo sul serio. Lockbit non lo ha inviato agli affiliati. Essi non usano la posta elettronica, usano Tox o XMPP. Essi ha tuttavia inviato una trasmissione di massa su Tox. Sarà nel tweet qui sotto.
VX-Underground ha riportato inoltre che accendendo al backend degli affiliati al momento si ritrovano il seguente messaggio che riporta che le forze dell’ordine hanno acceduto a diverse informazioni del gruppo. Tra queste informazioni a parte i dati degli affiliati anche il codice sorgente.
Ciao
Le forze dell'ordine hanno preso il controllo della piattaforma Lockbit e hanno ottenuto tutte le informazioni in esso contenute. Queste informazioni si riferiscono a il gruppo Lockbit e tu, il loro affiliato.
Abbiamo il codice sorgente, i dettagli di le vittime che hai attaccato, la quantità di denaro estorta, i dati rubati, chat e molto, molto altro ancora.
Puoi ringraziare Lockbitsupp e la loro infrastruttura difettosa per questa situazione... con cui potremmo essere in contatto a molto presto.
Se desideri contattarci direttamente, contattaci:**************
Nel frattempo, ti invitiamo a visitare il sito di perdita di Lockbit.
Buona giornata.
Saluti,
La National Crime Agency del Regno Unito, l'FBI, l'Europol e
Task Force delle forze dell'ordine dell'Operazione Cronos
Con un Post pubblicato alle 9:30 del 20/02/2024 la National Crime Agency del Regno Unito riporta un Countdown a 3 ore dove ci fa comprendere che a breve verranno pubblicate delle informazioni riguardo all’operazione Cronos. Questo post ci fa sorridere, in quanto il countdown è lo strumento che LockBit ha utilizzato per anni per incutere terrore all’interno delle vittime violate dal ransomware.
Va da se che l’Agenzia ha voluto utilizzare la stessa modalità di azione di LockBit per portarci all’attenzione che tra circa 2 ore (sono le 10:30 del 20/02/2024 mentre stiamo scrivendo), verranno pubblicate informazioni su questa vicenda.
Come ricorderanno i nostri lettori, anche il market Genesis, venne oscurato dalle forze dell’ordine con l’operazione “Cookie Monster”. Il market era stato colpito solo per la parte hostata nel clear web mentre il sito nella rete onion funzionava appieno.
Con il passar del tempo, all’interno della community underground il sito perse di interesse, probabilmente minato da tale compromissione che fece in qualche modo comprendere ai criminali informatici che le loro operazione all’interno di quel circuito erano a rischio.
Essere compromessi da una CVE su PHP non aggiornata, potrebbe essere un brutto colpo alla reputazione di una cybergang che nel corso del tempo non ha mai fatto gravi errori. Premesso che occorre ancora comprendere appieno l’entità del danno subito da LockBit, va da se che i criminali informatici non perdonano, e situazioni come queste possono minare dal profondo il business dell’operazione RaaS più longeva e più redditizia di sempre.
RedazioneNelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...
Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...
Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...
Negli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...
Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
