Hacker nordcoreani rubano 1,5 miliardi di dollari da Bybit nel più grande furto di criptovalute della storia

Bybit, un importante exchange di criptovalute, ha confermato il furto di 1,5 miliardi di dollari in Ethereum a seguito di un attacco avvenuto il 21 febbraio. L'FBI ha attribuito la violazione al gruppo Lazarus della Corea del Nord, rendendolo il più grande furto di criptovalute registrato fino ad oggi.

Gli hacker hanno sfruttato una vulnerabilità nel portafoglio cold di Ethereum di Bybit, manipolando la piattaforma Safe{Wallet} per autorizzare una transazione fraudolenta. Oltre 400.000 ETH e stETH sono stati trasferiti a un indirizzo sconosciuto.

Da allora, esperti di blockchain, tra cui ZachXBT, Elliptic e TRM Labs, hanno trovato collegamenti tra i fondi rubati di Bybit e precedenti attacchi a Phemex, BingX e Poloniex, tutti legati al gruppo Lazarus.

Bybit ha rassicurato gli utenti che gli altri portafogli rimangono sicuri e che i prelievi vengono elaborati normalmente, sebbene con possibili ritardi. L'FBI ha emesso un avviso pubblico, esortando i servizi di criptovaluta a bloccare le transazioni da 51 indirizzi Ethereum collegati all'attacco, mentre i criminali tentano di riciclare i fondi rubati.

Have I Been Pwned aggiunge 284 milioni di account rubati da malware infostealer

Il servizio di notifica delle violazioni Have I Been Pwned (HIBP) ha aggiunto 284 milioni di account compromessi da malware infostealer, condivisi su un canale Telegram chiamato “ALIEN TXTBASE”.

Il fondatore di HIBP, Troy Hunt, ha scoperto i dati mentre analizzava 1,5 TB di registri rubati, contenenti 23 miliardi di record, inclusi 493 milioni di coppie uniche di siti web ed email. Inoltre, sono state aggiunte 244 milioni di nuove password al database Pwned Passwords.

Le credenziali rubate, probabilmente raccolte da violazioni multiple e attacchi di credential stuffing, sono state verificate prima di essere aggiunte. Nuove API consentono ora ai proprietari di domini e agli operatori di siti web di cercare account compromessi.

Gli utenti possono controllare se la loro email è stata inclusa tramite le notifiche di HIBP, ma i dettagli completi rimangono privati per motivi di sicurezza. Questa aggiunta segue l’integrazione di 12 milioni di account Zacks Investment all’inizio del mese e 441.000 account rubati dal malware RedLine nel 2021.

Il Regno Unito guida l'Europa negli attacchi malware

Un nuovo rapporto rivela che il Regno Unito ha il tasso più alto di attacchi malware in Europa, con oltre 669 milioni di incidenti bloccati lo scorso anno. Il rapporto evidenzia un aumento significativo delle minacce informatiche, in particolare attraverso email di phishing, link dannosi e vulnerabilità software.

I cybercriminali imitano marchi noti come Google, Facebook e Microsoft per rubare informazioni personali. Google è stato il marchio più imitato del 2024, con 85.000 URL falsi rilevati. Le truffe digitali aumentano durante il periodo delle vacanze natalizie, con 54 milioni di tentativi bloccati tra agosto e dicembre.

Le piattaforme di hosting video gratuito, come YouTube e Dailymotion, insieme ai siti di streaming anime, presentano gravi rischi di sicurezza. NordVPN ha bloccato 1,5 miliardi di tentativi di infezione da malware su questi siti nel 2024.

Gli esperti consigliano agli utenti di verificare i link, fare attenzione alle email di phishing e mantenere il software aggiornato per prevenire gli attacchi informatici.

EncryptHub prende di mira le aziende globali con attacchi di spear-phishing

L'attore di minacce informatiche EncryptHub (alias Larva-208) sta violando aziende in tutto il mondo tramite attacchi di spear-phishing e ingegneria sociale dal giugno 2024, secondo un rapporto Prodaft. Il gruppo ha compromesso almeno 618 organizzazioni, distribuendo software di monitoraggio remoto (RMM), infostealer come Stealc e Rhadamanthys, e ransomware.

EncryptHub è affiliato a RansomHub e BlackSuit, ma in alcuni attacchi utilizza anche un cifrario personalizzato basato su PowerShell. Il gruppo crea pagine di accesso false per VPN aziendali come Cisco AnyConnect, Fortinet e Microsoft 365, catturando credenziali e token MFA in tempo reale.

Gli hacker utilizzano hosting bulletproof e hanno registrato oltre 70 domini per rendere più credibili le pagine di phishing. Una volta ottenuto l'accesso, EncryptHub installa strumenti RMM come AnyDesk e TeamViewer per mantenere il controllo e rubare dati.

Prodaft avverte che le tecniche avanzate di ingegneria sociale e offuscamento di EncryptHub lo rendono una minaccia significativa per obiettivi di alto valore.

3,2 milioni di utenti compromessi da un attacco alle estensioni di Chrome

Una grave violazione della sicurezza ha colpito oltre 3,2 milioni di utenti Chrome, con 16 estensioni popolari, tra cui Adblock for Chrome e WAToolkit, compromesse per iniettare script dannosi destinati a frode e manipolazione del traffico affiliato.

I ricercatori di sicurezza hanno scoperto che gli attaccanti hanno compromesso account di sviluppatori, utilizzando attacchi alla supply chain per distribuire aggiornamenti dannosi senza che gli utenti se ne accorgessero. Le estensioni, originariamente progettate per bloccare annunci, catturare schermate e fornire tastiere emoji, sono state modificate per rubare dati, modificare richieste HTTP e iniettare annunci nelle pagine web.

L'attacco ha sfruttato permessi delle estensioni di Chrome, come accesso agli host e controllo degli script, rendendolo difficile da rilevare. I ricercatori hanno collegato questa infrastruttura a precedenti campagne di phishing mirate agli sviluppatori di software affidabili.

Google ha rimosso le estensioni dannose, ma gli utenti sono invitati a disinstallare quelle compromesse e controllare attentamente i permessi prima di installare nuove estensioni. Gli esperti avvertono che gli attacchi alla supply chain sulle estensioni affidabili rappresentano una minaccia crescente per la sicurezza informatica.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.