Nell’ultima settimana di maggio, il panorama della sicurezza informatica è stato scosso da attacchi e violazioni su larga scala. Dall’esposizione di milioni di dati pazienti, all’attività di nuovi ransomware, fino alla scoperta di vulnerabilità critiche: è stato un periodo difficile per la cyber security.
Attacchi e violazioni rilevanti
PharMerica, un fornitore di servizi farmaceutici negli Stati Uniti, ha subito una violazione di dati che ha interessato circa 5,8 milioni di pazienti. Il gruppo ransomware Money Message ha rivendicato l’attacco avvenuto ad aprile, minacciando di diffondere 4,7 TB di dati rubati.
È emersa una nuova variante di ransomware, chiamata MalasLocker, che sta mirando attivamente ai server Zimbra, cifrando i file, rubando e-mail e chiedendo un riscatto. Invece di richiedere un riscatto tradizionale, il gruppo MalasLocker richiede una donazione benefica come forma di pagamento.
FIN7, il gruppo con motivazioni finanziarie noto anche come Sangria Tempest, è recentemente riemerso con legami con attacchi che miravano a diffondere il ransomware Clop nelle reti delle vittime. Questa è la prima campagna di ransomware del gruppo dal tardo 2021, che mira principalmente a organizzazioni nei settori del retail, dell’ospitalità e della sanità.
Nuove vulnerabilità e patch di sicurezza
Gli attori delle minacce stanno attivamente mirando a siti web vulnerabili utilizzando il plugin WordPress Elementor, a seguito del rilascio di un exploit proof-of-concept. Il plugin, che conta milioni di installazioni, presenta una vulnerabilità critica (CVE-2023-32243) che permette agli aggressori di eseguire codice arbitrario e di prendere il controllo dei siti web interessati.
Cisco ha rilasciato un avviso riguardo a vulnerabilità critiche che affliggono i suoi switch. Le vulnerabilità (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, e CVE-2023-20189) hanno presumibilmente del codice di exploit pubblico disponibile.
Apple ha rilasciato patch che risolvono tre vulnerabilità zero-day sfruttate (CVE-2023-28204, CVE-2023-32373 e CVE-2023-32409) nel motore WebKit utilizzato da Safari e altri prodotti Apple.
Rapporto di intelligence sulle minacce
Check Point Research ha scoperto un firmware personalizzato per i router TP-Link, collegato a un gruppo APT sponsorizzato dallo stato cinese noto come Camaro Dragon, che presenta somiglianze con Mustang Panda. Il firmware è stato utilizzato in attacchi mirati contro entità di affari estere europee e presenta vari componenti dannosi, inclusa una backdoor personalizzata chiamata “Horse Shell”.