Europol conferma la chiusura dei market sul Dark Web Alphabay e Hansa


Operazione congiunta con le autorità statunitensi. I due market ospitavano migliaia di venditori e offrivano merci illegali, da armi a droghe.

Dopo indiscrezioni e rumors, arriva la conferma: le forze di polizia hanno messo i sigilli a due dei più grandi market sul Dark Web dedicati alla vendita di merci illegali tra cui droga e armi.

Il primo a cadere è stato Hansa Market, che la polizia olandese era riuscita a infiltrare sin dal 20 giugno prendendo, di fatto, il controllo dei server. Gli agenti, però, hanno aspettato un mese per chiudere il sito attendendo le mosse dei loro colleghi d’oltreoceano.

FBI e DEA, infatti, stavano stringendo il cerchio sull’obiettivo più ambito: Alphabay. Un market sul Dark Web che secondo gli investigatori aveva raggiunto dimensioni dieci volte superiori a quelle di Silk Road, lo storico market smantellato nel 2013.

Stando a quanto dichiarato dal portavoce dell’FBI McCabe, Alphabay ospitava 350.000 “prodotti” offerti da 40.000 venditori e vantava più di 420.000 utenti.

Le indagini, durate anni, hanno permesso agli investigatori di individuare la persona a capo dell’organizzazione nel dicembre del 2016. Si tratterebbe di Alexandre Cazes, un 25enne di nazionalità canadese ma residente in Tailandia.

Dalle parti dell’FBI sono riusciti a individuarlo grazie a una serie di errori compiuti dallo stesso Cazes e, in particolare, seguendo le tracce legate a un indirizzo di posta elettronica ([email protected]) che per un breve periodo del 2014 era visibile nelle email di benvenuto inviate ai nuovi iscritti al sito.

Alphabay Hansa

L’annuncio della chiusura di Alphabay è stata data in pompa magna da tutti i vertici del Federal Bureau of Investigation. Effettivamente, potrebbe essere l’operazione più importante dopo l’arresto di Al Capone.

Partendo da lì, gli investigatori hanno ricostruito la mappa di account email e PayPal controllati da Cazes, riuscendo a collegarlo ad Alpha02, il nickname usato dal venticinquenne per gestire Alphabay.

A gestire Alphabay insieme a lui, stando agli atti del tribunale, una decina di persone con ruoli diversi che variavano dalla moderazione dei forum alla gestione dei rapporti con i clienti insoddisfatti. Il ruolo di “Admin”, però, lo mette al vertice della piramide.

L’arresto in Tailandia, avvenuto lo scorso 5 luglio, ha portato all’ultima conferma. Come riporta l’FBI, al momento dell’arresto da parte della polizia tailandese Cazes era al suo computer, collegato all’account di amministrazione di Alphabay.

Lo stesso giorno, le autorità canadesi e statunitensi hanno sequestrato i server del market, mettendo fine a qualsiasi attività sul sito. La reazione di clienti e venditori non si è fatta aspettare e, secondo quanto riporta l’Europol, buona parte degli “orfani” di Alphabay si sono immediatamente spostati su Hansa, ignorando il fatto che i server fossero sotto il controllo della polizia olandese. Nella giornata di ieri, infine, è scattato il sequestro anche per i server di Hansa Market.

Ora partiranno i processi, anche se quello nei confronti di Alexander Cazes non si terrà. Il giovane canadese è stato infatti trovato morto nella sua cella a Bangkok lo scorso 12 luglio, a una settimana dal suo arresto. Apparentemente si tratterebbe di suicidio, ma sono in corso indagini per verificare la causa della morte.



Articoli correlati

Altro in questa categoria


Aggiornamento per iOS “tappa” la falla nel chip Broadcom


Gli sviluppatori Apple hanno rilasciato l’update del sistema operativo che corregge la vulnerabilità legata al chip Wi-Fi.

Mancano pochi giorni all’avvio del BlackHat 2017 di Las Vegas, in cui tra le altre cose verranno diffusi i dettagli relativi alla vulnerabilità battezzata Broadpwn che affligge tutti i dispositivi equipaggiati con il chip Wi-Fi di Broadcom.

Come abbiamo riportato in questo articolo, la falla di sicurezza permetterebbe a un pirata informatico di avviare l’esecuzione di codice in remoto attraverso il collegamento wireless e non richiederebbe alcuna interazione da parte dell’utente.

Mentre Google ha già rilasciato gli aggiornamenti di sicurezza per Android dopo pochi giorni dalla pubblicazione del primo avviso relativo al bug, Apple se l’è presa più comoda.

iOS Broadcom

Apple non ha fatto annunci roboanti, ma l’aggiornamento è comunque arrivato in tempo per evitare guai agli utilizzatori di iPhone e iPad.

Ieri, però, la casa di Cupertino ha rilasciato la nuova versione di iOS 10.3.3, che tra le novità ha appunto il fix che va a “tappare” Broadpwn.

Il suggerimento per tutti gli utenti Apple è, naturalmente, di procedere all’aggiornamento il prima possibile. A partire dal 26 luglio, infatti, i dettagli su Broadpwn saranno di dominio pubblico ed è probabile che qualche pirata informatico possa usarli per creare un exploit in grado di portare l’attacco nei confronti dei dispositivi vulnerabili.



Articoli correlati

Altro in questa categoria


Il gruppo DarkHotel usa un nuovo trojan per le sue azioni di spionaggio


Gli hacker di solito usano le reti Wi-Fi degli alberghi per colpire obiettivi di alto livello e rubare segreti industriali. Ora hanno cambiato strategia.

Il gruppo DarkHotel fa parte di quella “elite” tra i pirati informatici che viene associata al concetto di APT (Advanced Persistent Threat) che di solito indica le campagne di spionaggio collegate all’attività di servizi segreti od organizzazioni di alto livello.

Come spiegano i ricercatori di BitDefender, i DarkHotel sono una vecchia conoscenza degli esperti di sicurezza e sarebbero attivi nel settore del cyber-spionaggio da quasi 10 anni.

Di solito i pirati prediligono colpire sfruttando reti Wi-Fi negli alberghi, utilizzando exploit zero-day per compromettere i dispositivi delle loro vittime e garantirsi l’accesso a tutte le informazioni che possono ritenere utili.

Secondo quanto riportato dai ricercatori BitDefender, però, il gruppo avrebbe adesso cambiato strategia e ora starebbe sfruttando semplici tecniche di ingegneria sociale, usando però un trojan decisamente complesso che gli analisti descrivono nel dettaglio in questo report.

Il loro obiettivo sarebbe quello di agire in maniera più prudente, evitando che i loro attacchi possano essere individuati e analizzati dalle società di sicurezza.

Il vettore di attacco adottato in questa nuova campagna è una semplice email con allegato un file (winword.exe) che è in realtà un archivio auto-estraente RAR SFX il cui contenuto è crittografato con un algoritmo XOR.

Nulla di particolarmente complesso, almeno fino a quando non viene eseguito. All’avvio, infatti, il malware visualizza un documento di Word per non suscitare sospetti nella potenziale vittima. Si tratta di un file di testo con i contatti di alcune organizzazioni internazionali con sede in Corea del Nord.

Mentre sullo schermo compare il documento, però, il malware esegue un primo controllo per verificare se viene eseguito da una cartella specifica (WinStartupDir) e, solo nel caso in cui l’esito del controllo è positivo, procede con la sua attività contattando per prima cosa il server Command and Control.

Ed è qui che le cose si fanno davvero complicate. Prima di contattare il server, il trojan crea un file che contiene le informazioni sul computer infetto. Procede poi a decrittare l’indirizzo Internet del server e utilizza una serie di accorgimenti per camuffare le comunicazioni in modo che sembrino innocue trasmissioni http.

DarkHotel

Lo schema riassume i controlli e le comunicazioni tra il vettore inziale di attacco e il server Command and Control prima che venga dato l’avvio all’installazione del trojan.

A questo punto le informazioni sul computer infetto vengono trasmesse al server C&C e il malware rimane in attesa di una risposta. Secondo i ricercatori di Bitdefender, questo passaggio sarebbe una sorta di verifica per capire se il dispositivo colpito sia quello giusto.

Se il PC compromesso è di qualche interesse, l’attacco procede. In caso contrario il trojan si cancella automaticamente e l’attacco viene terminato in modo che il malware non sia individuato.

Nel caso in cui l’attacco procede, il passo successivo prevede il download e la decodifica di un secondo modulo del malware, che viene camuffato in modo da apparire come un componente della libreria OpenSSL.

Dopo una serie di ulteriori controlli sull’ambiente in cui è in esecuzione, il trojan avvia il download di un ulteriore modulo che contiene il payload vero e proprio, che secondo gli analisti è estremamente simile a quelli già usati in passato dal gruppo DarkHotel.



Articoli correlati

Altro in questa categoria


Falla in un client Ethereum: rubati 30 milioni di dollari


L’attacco ha preso di mira alcuni portafogli “collettivi” gestiti con Parity. Un gruppo di White Hat interviene e salva altri 70 milioni a rischio furto.

L’ennesimo furto di cripto-valuta prende di mira gli utenti che utilizzano Ethereum, una delle monete digitali in maggiore crescita nelle ultime settimane.

Questa volta, però, i pirati informatici non hanno “bucato” i sistemi informatici di una piattaforma o il database di un sito, ma sfruttato una vulnerabilità nel client Parity 1.5. Bilancio della rapina: 30 milioni di dollari in Ethereum, che i pirati informatici hanno dirottato su un loro wallet.

La notizia fa scalpore per due motivi. Il primo è che il client in questione è stato rilasciato solo lo scorso gennaio e non si tratta quindi di un software “vecchio” od obsoleto. Anzi: Parity è la società gestita dal creatore di Ethereum Gavin Wood.

Ethereum rubati

Parity ha immediatamente comunicato il problema ai suoi utenti, ma l’attacco dei pirati è stato decisamente fulmineo.

Il secondo motivo è che l’attacco ha preso di mira proprio i wallet che dovrebbero offrire un maggior livello di sicurezza. Si tratta dei cosiddetti Multi-sig wallet, cioè dei “portafogli” che sono gestiti da più account e che possono essere paragonati a un conto corrente che richiede le firme congiunte dei titolari per qualsiasi movimento.

Nel caso dei Multi-sig wallet, in realtà, è richiesta semplicemente che le operazioni siano autorizzate dalla maggioranza dei titolari, per esempio 3 su 4, un metodo che molti utenti utilizzano per avere un maggior controllo e limitare il rischio (sigh) che qualcuno metta le mani sul loro wallet usando una sorta di sistema di autenticazione multifattore.

Nella maggior parte dei casi, infatti, gli account titolari del Multi-sig wallet sono registrati dalla stessa persona, che li controlla però da dispositivi diversi, per esempio uno smartphone e un computer. In questo modo un eventuale pirata informatico, per accedere al wallet, dovrebbe riuscire a compromettere tutti e due i dispositivi.

Peccato che nel caso di Parity l’uso di client Multi-sig abbia portato esattamente al risultato opposto. E le cose sarebbero anche potute andare peggio. A mitigare il danno è stato infatti il provvidenziale intervento di un gruppo di ricercatori ed esperti di sicurezza che in un post su Reddit si sono presentati come The White Hat Group.

Il gruppo, una volta scoperta la falla, ha provveduto a sfruttarla per svuotare i conti degli account vulnerabili e trasferirli su un loro wallet prima che lo facessero i pirati. Risultato: ora sul wallet del White Hat Group ci sono 70 milioni di dollari in Ethereum che gli hacker intendono restituire ai legittimi proprietari.

Ethereum rubati

Certo che visualizzare un conto simile sul proprio wallet, anche sapendo che è solo una situazione temporanea, deve fare un certo effetto…

Parity ha annunciato che i suoi sviluppatori stanno lavorando a un aggiornamento che permetterà di correggere la vulnerabilità e The White Hat Group si occuperà di creare i Multi-sig account per restituire i soldi agli utenti che sono riusciti a “mettere in sicurezza”.



Articoli correlati

Altro in questa categoria


Anche dopo WannaCry gli attacchi con EternalBlue sono un problema


Secondo i ricercatori la falla viene usata per compromettere i server Linux. E ci sono almeno 50.000 PC Windows ancora vulnerabili…

Siamo in grado di imparare dai nostri errori? Guardando alla vicenda legata a WannaCry la risposta sembra proprio essere… “nì”. Stando ai dati riportati da numerosi ricercatori, infatti, ci sono ancora migliaia di computer che non hanno eseguito gli aggiornamenti per correggere la falla di sicurezza usata dai pirati informatici per portare l’attacco globale che ha fatto tremare il mondo lo scorso maggio.

Facciamo un passo indietro. WannaCry sfruttava un exploit sviluppato dalla National Security Agency (i servizi segreti USA – ndr) chiamato EternalBlue e che usa una vulnerabilità in una versione del Server Message Block (SMB v1) usato da Windows per la condivisione di file e stampanti.

Il ransomware, però, non è l’unico che può sfruttarlo. Nelle ultime settimane sono comparsi numerosi altri gruppi d pirati informatici che hanno cominciato a utilizzarlo per diffondere i loro malware.

La pericolosità di EternalBlue è legata al fatto che la falla di sicurezza che sfrutta non richiede alcuna interazione da parte dall’utente. Semplificando: usando EternalBlue qualsiasi malware si diffonde automaticamente via Internet, proprio come un virus biologico farebbe attraverso l’aria che respiriamo.

Non solo: visto che Server Message Block non viene usato solo da Windows, ma anche da altri software come la piattaforma Samba usata sui server Linux, EternalBlue e le sue varianti rappresentano una minaccia per qualsiasi rete.

Per fortuna esiste un “vaccino” per EternalBlue. Si tratta di quegli aggiornamenti che correggono la vulnerabilità in SMB v1 nei vari sistemi e che, una volta installati, garantiscono l’immunità dagli attacchi.

Ed ecco il punto: nonostante la copertura mediatica e l’allarme generato dall’attacco, l’aggiornamento dei sistemi vulnerabili va a rilento.

A testimoniarlo, negli ultimi due giorni, sono alcune notizie tutt’altro che rassicuranti. La prima riguarda i sistemi Windows. Secondo i risultati di una scansione effettuata su Internet, infatti, ci sarebbero ancora ben 50.000 PC ancora vulnerabili agli attacchi portati con EternalBlue.

EternalBlue

EternalBlue è un exploit sviluppato dalla National Security Agency e “sfuggito al controllo” sopo che un gruppo di hacker ne ha pubblicato i dettagli su Internet.

La seconda riguarda invece i server con Linux, che proprio in queste ore sarebbero bersaglio di una campagna di diffusione di malware portata con il cosiddetto “EternalRed”, la versione per Linux di EternalBlue che sfrutta la vulnerabilità di SMB sulla piattaforma Samba.

Dopo che lo stesso exploit è stato usato per distribuire un malware in grado di usare i computer infettati per generare cripto-valuta sfruttandone la potenza di calcolo, secondo i ricercatori di Trend Micro ora la stessa tecnica verrebbe utilizzata per installare una backdoor sui server vulnerabili.

Il malware in questione si chiama Shellbind ed è in grado di aprire una Shell sulla porta 61422 che consentirebbe ai pirati di controllare in remoto la macchina infetta.

L’accesso al computer è protetto da una password (Q8pGZFS7N1MObJHf) che viene impostata dal malware stesso al momento dell’installazione e che, probabilmente, è pensata per impedire ad altri di accedere al PC compromesso.

Secondo i ricercatori Trend Micro, l’attacco starebbe prendendo di mira principalmente i NAS (Network Attached Storage) con sistema Linux fin dallo scorso 3 luglio. Il dato davvero preoccupante, però, è che i dispositivi vulnerabili a questo tipo di attacco rimangono ancora troppi.



Articoli correlati

Altro in questa categoria


Trojan capolavoro per Mac: ecco OSX/Dok


Un certificato digitale valido per superare i controlli di Mac OSX. Obiettivo: rubare le credenziali di accesso ai servizi di home banking.

Fate parte di quella fetta di utenti Mac che pensano ancora di non aver bisogno di un antivirus per proteggere il vostro computer? Dopo aver conosciuto OSX/Dok probabilmente cambierete (finalmente) idea.

Il trojan, come spiega Graham Cluley, in origine è stato sviluppato per Windows (con il nome di Retefe) e solo successivamente è stato “adattato” per colpire i Mac.

Gli autori, però, ci hanno messo un certo impegno. Prima di tutto perché si sono preoccupati di spendere la “folle” cifra di 99 dollari per procurarsi un certificato Apple che gli permettesse di aggirare i controlli del sistema Gatekeeper.

Trojan Mac OSX/Dok

Vuoi installare l’app? Certo, ha un certificato valido…

In secondo luogo perché hanno “istruito” il loro trojan per adottare una serie di accorgimenti che gli permettono di scardinare i sistemi di sicurezza dei computer Apple e agire indisturbato.

Una volta installato, OSX/Dok si preoccupa per prima cosa di eseguire una serie di comandi Shell che gli permettono di disabilitare gli aggiornamenti di sicurezza del Mac e modificare il Local Host in modo da bloccare, di fatto, tutte le comunicazioni con i siti Apple e Virus Total.

A questo punto OSX/Dok prepara il terreno per il suo attacco. A questo scopo installa una versione del Tor Browser e predispone un server Proxy che reindirizza il traffico della vittima sui domini controllati dai pirati.

L’obiettivo è quello di dirottare il collegamento a qualsiasi servizio di home banking in modo da poter rubare le credenziali di accesso della vittima visualizzando una copia del sito originale e inducendoli a inserire username e password. Tutto qui? No.

Quando lo sventurato utente Mac si collega a quello che pensa essere il suo sito di home banking, si vede visualizzare sullo schermo un messaggio che, adducendo non meglio precisati “motivi di sicurezza”, gli propone di installare Signal, un’app di messaggistica per dispositivi mobili.

Sul motivo per cui gli autori di OSX/Dok inducano le loro vittime a installare Signal restano dei dubbi. Secondo alcuni ricercatori, si tratterebbe di un sistema per avere un canale di comunicazione “sicuro” per raggiungerle. Una delle ipotesi è che l’app possa essere utilizzata per estorcere i dati utili per superare i sistemi di autenticazione a due fattori.



Articoli correlati

Altro in questa categoria