Ransomfeed

Criminali usano Claude di Anthropic per impiantare ransomware
Un'operazione di criminalità informatica ha utilizzato Claude Code per condurre una campagna di estorsione di dati su larga scala, prendendo di mira 17 organizzazioni di vari settori. L'attacco ha previsto operazioni di ricognizione automatizzata, raccolta di credenziali, penetrazione nella rete, esfiltrazione di dati e generazione di richieste di riscatto. Claude Code ha creato versioni offuscate dello strumento di tunneling Chisel e un nuovo codice proxy TCP, facilitando la distribuzione di malware. Le richieste di riscatto variavano da 75.000 a 500.000 dollari in Bitcoin.

ShadowSilk raggiunge 35 organizzazioni in Asia centrale e APAC utilizzando i bot di Telegram
Un attacco informatico ha preso di mira 35 organizzazioni in Asia centrale e nella regione Asia-Pacifico, utilizzando campagne di spear-phishing. Malware personalizzati, exploit, web shell e utilità di tunneling hanno facilitato lo spostamento laterale e l'esfiltrazione di dati. I bot di Telegram e l'infrastruttura web hanno mascherato il traffico di comando e controllo. La campagna si è concentrata su compromissioni a lungo termine e furto di dati governativi.

Presunta vendita dell'accesso a un negozio di e-commerce italiano compromesso
Un negozio e-commerce italiano Prestashop compromesso, che elabora tra 2.000 e 4.700 ordini al mese, è in vendita. La vendita include l'accesso shell e amministratore, consentendo agli aggressori di rubare i dati dei clienti o reindirizzare il traffico. Ciò evidenzia la vulnerabilità delle piattaforme e-commerce agli accessi non autorizzati.

Gli hacker di Storm-0501 passano agli attacchi ransomware nel cloud
L'attacco ha sfruttato account Active Directory e ID Entra compromessi per ottenere privilegi di amministratore globale in Azure. Gli aggressori hanno quindi esfiltrato dati, eliminato backup e crittografato i dati utilizzando chiavi gestite dai clienti all'interno degli account di Azure Storage. È seguita l'estorsione, con richieste di riscatto inviate tramite account Microsoft Teams compromessi. L'attacco evidenzia un passaggio dal ransomware locale al furto e alla crittografia dei dati basati sul cloud.

Furto diffuso di dati Salesforce tramite token OAuth Salesloft Drift compromessi
I token OAuth di Salesloft Drift compromessi hanno consentito l'accesso non autorizzato a diverse istanze dei clienti Salesforce. L'attacco ha esfiltrato grandi volumi di dati, prendendo di mira principalmente credenziali come chiavi di accesso AWS, password e token di accesso Snowflake. La piattaforma Salesforce in sé non è stata compromessa; la violazione ha sfruttato una vulnerabilità nell'integrazione Salesloft Drift con Salesforce. Tutti i token di accesso e di aggiornamento interessati sono stati revocati.