Sicurezza Informatica
Ransomware e malware di Gennaio 2024: attività in aumento e nuove Gang
Nel gennaio 2024, il mondo del ransomware ha visto un aumento nell’attività e l’emergere di nuove gang. Secondo Marcelo Rivero, specialista di ransomware di Malwarebytes, sono stati monitorati i siti Dark Web utilizzati dalle gang di ransomware per pubblicare informazioni sulle loro vittime. In questo mese, la scena del ransomware ha registrato 334 attacchi, con l’attenzione concentrata sulla saga del shutdown di ALPHV.
Intervento dell’FBI contro ALPHV
L’FBI ha avuto un ruolo cruciale nella perturbazione delle operazioni di ALPHV, intervenendo con l’arresto dei loro URL e la recuperazione delle chiavi di decrittazione per molte vittime.
Questa azione ha portato a un calo di fiducia tra gli affiliati di ALPHV, con alcuni che si sono spostati verso gruppi rivali come LockBit.
Possibile Cartello tra LockBit e ALPHV
Si parla di un potenziale “cartello” tra LockBit e ALPHV, segnalando un’era nuova nelle operazioni di ransomware, dove i gruppi rivali potrebbero unire risorse ed esperienze per rispondere alla crescente pressione delle forze dell’ordine.
Attività di LockBit
LockBit ha continuato le sue azioni aggressive, nonostante le promesse precedenti e le politiche operative contro il targeting delle istituzioni sanitarie. L’attacco recente a Capital Health è un esempio di questo comportamento.
Nuove Gang di Ransomware: DragonForce e WereWolves
DragonForce: Una nuova gang che ha pubblicato 21 vittime sul suo sito di leak, compreso un attacco significativo alla Ohio Lottery.
WereWolves: Un nuovo gruppo che ha postato 15 vittime e si distingue per il targeting di entità russe, impiegando una variante di LockBit3 nel loro attacco.
Prevenzione del Ransomware
Combattere le gang di ransomware richiede una strategia di sicurezza multistrato, che include la protezione degli endpoint, la gestione delle vulnerabilità e degli aggiornamenti, e la rilevazione e risposta degli endpoint.
Considerazioni Finali
Questo mese ha visto una continuazione della tendenza preoccupante di attacchi al settore sanitario, con impatti potenzialmente letali. La natura fondamentale delle operazioni di ransomware rimane immutata: sono guidate dalla perturbazione, dal furto di dati e dal guadagno finanziario a spese di obiettivi vulnerabili.
Medusa Ransomware in Ascesa: Da Fughe di Dati a Estorsioni Multiple
Gli attori di minaccia associati al ransomware Medusa hanno intensificato le loro attività dopo il debutto di un sito dedicato alle fughe di dati sul dark web a febbraio 2023 per pubblicare dati sensibili delle vittime che non acconsentono alle loro richieste. Questo gruppo, come parte della loro strategia di estorsione multipla, offre alle vittime diverse opzioni quando i loro dati vengono pubblicati sul loro sito di leak, come l’estensione del tempo, la cancellazione dei dati o il download di tutti i dati, ognuna con un prezzo variabile a seconda dell’organizzazione colpita.
Profilo e Azioni del Ransomware Medusa
Targeting Opportunistico: Medusa, che non va confuso con Medusa Locker, è una famiglia di ransomware apparsa alla fine del 2022 e divenuta prominente nel 2023, nota per aver preso di mira un’ampia gamma di settori come alta tecnologia, educazione, produzione, sanità e vendita al dettaglio.
Impatto su Organizzazioni: Si stima che circa 74 organizzazioni, principalmente negli Stati Uniti, nel Regno Unito, in Francia, Italia, Spagna e India, siano state colpite dal ransomware nel 2023 secondo Palo Alto Unit 42.
Tecniche e Metodologie di Attacco
Gli attacchi del ransomware iniziano con lo sfruttamento di risorse o applicazioni esposte a Internet con vulnerabilità non patchate e l’uso di conti legittimi dirottati, spesso impiegando broker di accesso iniziale per ottenere un punto d’appoggio nelle reti target. In un caso osservato da una società di cybersecurity, un server Microsoft Exchange è stato sfruttato per caricare una web shell, che è stata poi utilizzata come condotto per installare ed eseguire il software di monitoraggio e gestione remota ConnectWise.
Tattiche di Evasione e Strumenti
Un aspetto notevole delle infezioni è il ricorso a tecniche di living-off-the-land (LotL) per mimetizzarsi con attività legittime ed eludere il rilevamento. Sono stati osservati anche l’uso di un paio di driver del kernel per terminare una lista codificata di prodotti di sicurezza.
Fase di Accesso Iniziale e Propagazione
Dopo la fase di accesso iniziale, segue la scoperta e il riconoscimento della rete compromessa, con gli attori che alla fine lanciano il ransomware per elencare e criptare tutti i file tranne quelli con le estensioni .dll, .exe, .lnk e .medusa (l’estensione data ai file criptati).
Le Attività sul Sito di Leak di Medusa
Per ogni vittima compromessa, il sito di leak di Medusa mostra informazioni sulle organizzazioni, il riscatto richiesto, il tempo rimanente prima che i dati rubati vengano rilasciati pubblicamente e il numero di visualizzazioni, in un tentativo di esercitare pressione sull’azienda.
Il ransomware Medusa non solo ha un team di comunicazione per gestire probabilmente i loro sforzi di branding, ma utilizza anche un canale pubblico di Telegram di “supporto informazioni”, dove i file di organizzazioni compromesse vengono condivisi e possono essere accessibili su internet. Questo sviluppo evidenzia l’aumento della professionalizzazione e della sofisticazione delle gang del ransomware.
Aumento delle Campagne Malevole e Cyberattacchi in Italia: Panoramica dal CERT-AGID
Nella prima settimana di gennaio 2024, il CERT-AGID ha rilevato un aumento significativo di attività malevole mirate a obiettivi italiani, con un totale di 21 campagne identificate. Questa attività sottolinea l’evoluzione costante della minaccia cyber e la necessità di una vigilanza continua.
Situazione delle Minacce Cyber in Italia
Il CERT-AGID ha osservato una varietà di temi utilizzati dai cybercriminali per veicolare le loro campagne, inclusi argomenti legati al settore bancario, ai pagamenti e alle scadenze. Questi temi sono stati utilizzati principalmente per condurre attacchi di phishing e smishing, oltre a distribuire vari tipi di malware.
Attenzione su Specifici Malware
Le analisi hanno evidenziato la presenza di diverse famiglie di malware, tra cui AgentTesla, Astaroth, RedLine e Irata. AgentTesla è emerso in diverse campagne, sfruttando temi come ordini, consegne e rimborsi per ingannare le vittime attraverso email contenenti allegati dannosi. Astaroth e RedLine sono stati utilizzati in attacchi a tema pagamenti, mentre Irata è stato impiegato in una campagna di banking, diffondendo un APK malevolo tramite SMS.
Phishing e Smishing nel Settore Bancario
Il settore bancario italiano è risultato particolarmente colpito, con diversi brand coinvolti in campagne di phishing e smishing. Questa tendenza sottolinea l’importanza per le organizzazioni di adottare misure di sicurezza robuste e di sensibilizzare i loro clienti sulle tattiche di phishing.
Questo report del CERT-AGID mette in evidenza l’importanza della cooperazione tra enti e aziende per contrastare le minacce cyber in Italia. La consapevolezza e la preparazione sono essenziali per proteggere le informazioni sensibili e la continuità operativa delle organizzazioni.
Sicurezza Informatica
LLMjacking: nuova minaccia AI con credenziali Cloud Rubate
Tempo di lettura: 2 minuti. Scopri LLMjacking, un attacco che usa credenziali cloud rubate per abusare di servizi AI e generare costi enormi per le vittime.
Il fenomeno noto come LLMjacking sta emergendo come una nuova e significativa minaccia nel panorama della sicurezza informatica. Utilizzando credenziali cloud rubate, gli attaccanti hanno mirato a servizi AI basati su grandi modelli linguistici (LLM), generando costi ingenti per le vittime.
Dettagli dell’attacco LLMjacking
Recentemente, il team di ricerca di Sysdig ha identificato un attacco di LLMjacking che sfrutta credenziali cloud compromesse per accedere e manipolare servizi LLM ospitati su cloud. L’attacco ha sfruttato una vulnerabilità nel sistema Laravel, specificamente la CVE-2021-3129, per rubare le credenziali.
Una volta ottenuto l’accesso, gli attaccanti hanno mirato a modelli LLM locali ospitati da fornitori di cloud, tra cui modelli di Claude da Anthropic. Hanno esfiltrato ulteriori credenziali cloud e tentato di accedere a diversi servizi di AI tra cui AWS Bedrock, Azure e GCP Vertex AI, senza effettuare legittime richieste LLM ma piuttosto per valutare le capacità delle credenziali rubate.
Impatto economico e Operativo
Se non scoperti, gli attacchi di questo tipo possono comportare costi di consumo LLM superiori a $46,000 al giorno per le vittime. Inoltre, l’abuso di tali servizi può bloccare l’uso legittimo dei modelli da parte delle organizzazioni colpite, interrompendo le operazioni aziendali.
Strategie di difesa e prevenzione
La prevenzione di tali attacchi richiede una gestione attenta delle vulnerabilità e delle credenziali. Strumenti come la monitorizzazione dei log cloud e l’analisi comportamentale possono rivelare attività sospette, permettendo alle organizzazioni di rispondere prontamente. La configurazione di log dettagliati e l’uso di politiche di sicurezza adeguate sono essenziali per proteggere l’ambiente cloud. L’analisi approfondita di LLMjacking sottolinea la crescente sofisticazione degli attacchi cyber e l’importanza di robuste misure di sicurezza e monitoraggio per proteggere le risorse cloud e i dati sensibili.
Sicurezza Informatica
Citrix “mitigate manualmente Bug del Client SSH PuTTY”
Tempo di lettura: < 1 minuto. Citrix avverte gli amministratori di mitigare manualmente un bug nel client SSH PuTTY che rischioso per la sicurezza delle chiavi SSH private
Citrix ha notificato ai suoi clienti la necessità di mitigare manualmente una vulnerabilità nel client SSH PuTTY che potrebbe permettere agli aggressori di rubare la chiave SSH privata di un amministratore di XenCenter. Questo problema, identificato come CVE-2024-31497, interessa diverse versioni di XenCenter per Citrix Hypervisor 8.2 CU1 LTSR che integrano PuTTY per stabilire connessioni SSH dai XenCenter ai VM guest.
Implicazioni del Bug
La vulnerabilità è stata scoperta da Fabian Bäumer e Marcus Brinkmann dell’Università di Ruhr Bochum. Essa è causata dal modo in cui le vecchie versioni del client SSH basato su Windows generano i nonce ECDSA (numeri crittografici unici temporanei) per la curva NIST P-521 utilizzata per l’autenticazione. Questo difetto può essere sfruttato se un attaccante controlla un VM guest e un amministratore di XenCenter utilizza quella chiave per autenticarsi al VM guest tramite una connessione SSH.
Consigli per la Mitigazione
Citrix ha rimosso il componente PuTTY a partire dalla versione XenCenter 8.2.6, e le versioni successive alla 8.2.7 non lo includono più. Tuttavia, gli amministratori che utilizzano versioni precedenti sono invitati a scaricare l’ultima versione di PuTTY e installarla al posto della versione inclusa nelle versioni più vecchie di XenCenter. Questo passaggio è essenziale per garantire la sicurezza delle connessioni SSH.
Azioni Alternative
Per gli utenti che non desiderano utilizzare la funzionalità “Open SSH Console”, Citrix suggerisce di rimuovere completamente il componente PuTTY. Coloro che vogliono mantenere l’uso attuale di PuTTY dovrebbero sostituire la versione installata nel loro sistema XenCenter con una versione aggiornata (almeno la versione 0.81).
Questo avviso di Citrix evidenzia l’importanza di mantenere aggiornati i componenti software e di adottare rapidamente le correzioni di sicurezza per proteggere le infrastrutture critiche. Gli amministratori devono essere vigili e proattivi nel gestire le minacce alla sicurezza per evitare potenziali breccie.
Sicurezza Informatica
Polizia: tecnologie e infrastrutture per il contrasto alla criminalità
Tempo di lettura: 2 minuti. La Polizia di Stato italiana migliora la lotta contro la criminalità con tecnologie avanzate, finanziamenti ISF e formazione specialistica.
Nella Sala Palatucci del Polo Tuscolano di Roma, alla presenza del capo della Polizia Vittorio Pisani, sono stati presentati nove progetti innovativi finanziati dal Fondo Sicurezza Interna (ISF) 2014-2020 che mirano a potenziare le capacità di contrasto alla criminalità organizzata e all’immigrazione clandestina attraverso l’adozione di tecnologie avanzate.
Tecnologie di avanguardia nella Lotta alla Criminalità
Tra le iniziative spiccano l’implementazione del pedinamento elettronico e sistemi avanzati per l’acquisizione di dati dai dispositivi mobili. Queste tecnologie sono destinate a rafforzare l’efficienza degli uffici investigativi della Polizia di Stato, permettendo una gestione più efficace e rapida delle informazioni in scenari critici.
Accesso a Banche Dati Internazionali e Supporto Linguistico
Un altro obiettivo significativo è migliorare l’accesso a banche dati internazionali, cruciali per la consultazione di informazioni su persone fisiche e giuridiche. Ciò è essenziale per ricostruire le reti di traffico di migranti illegali e identificare i responsabili. L’integrazione di interpreti di lingua araba facilita ulteriormente le operazioni in contesti internazionali.
Modernizzazione dei Laboratori Forensi
Il progetto prevede anche l’ammodernamento dei laboratori di chimica forense, di balistica e l’AFIS (Automated Fingerprint Identification System), essenziali per l’identificazione delle impronte digitali con strumentazioni di ultima generazione. Questo approccio interdisciplinare potenzia la Polizia scientifica, aumentando la precisione e l’affidabilità delle indagini.
Formazione specialistica e Controllo del Territorio
Sono stati erogati corsi di alta formazione per migliorare le conoscenze e le competenze degli operatori e degli esperti forensi. Inoltre, oltre 1.000 autovetture delle Squadre volanti sono state equipaggiate con il sistema Mercurio, che consente un monitoraggio più efficace delle operazioni tramite postazioni di gestione centralizzata, migliorando così il controllo del territorio. Questi progetti avviati dalla Polizia rappresentano un salto qualitativo nelle operazioni di sicurezza pubblica, sfruttando la tecnologia per combattere la criminalità in modo più efficace. Con questi avanzamenti, la Polizia di Stato dimostra un impegno costante verso l’innovazione e la sicurezza nazionale.
- Economia2 settimane fa
Apple, Regno Unito vuole più sicurezza informatica e l’Europa indica iPadOS Gatekeeper
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste1 settimana fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia1 settimana fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali7 giorni fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla7 giorni fa
Jack Dorsey getta la spugna e lascia Bluesky
- Economia7 giorni fa
Culture di lavoro a confronto: Meta vs Google
- Smartphone7 giorni fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra