Sicurezza Informatica
Armis pubblica rapporto sulla guerra cibernetica e le difese del Regno Unito
Introduzione: Armis, una delle principali aziende nel campo della visibilità e sicurezza degli asset, ha annunciato i risultati preliminari del rapporto sullo stato della guerra cibernetica e le tendenze 2022-2023. Il rapporto misura le percezioni globali dei professionisti IT e della sicurezza riguardo alla guerra cibernetica, evidenziando come il Regno Unito sia al di sotto della media globale in termini di conformità alle migliori pratiche.
Cosa dice il rapporto
Il rapporto di Armis ha rivelato che, sebbene l’84% delle organizzazioni nel Regno Unito affermasse di avere programmi e pratiche per rispondere alle minacce della guerra cibernetica, solo un terzo (32%) ha dichiarato che i loro piani sono validati da migliori pratiche, valore inferiore alla media globale del 40%. Inoltre, il 57% delle organizzazioni nel Regno Unito ha interrotto o bloccato progetti di trasformazione digitale a causa della minaccia della guerra cibernetica, leggermente superiore alla media globale del 55%.
La crescente minaccia della guerra cibernetica
L’invasione russa dell’Ucraina ha causato non solo sconvolgimenti tragici nella vita di innumerevoli persone, ma anche onde d’urto geopolitiche che si ripercuoteranno per il futuro prevedibile. Le vittime di oggi non sono più solo gli alti livelli dei governi avversari, ma qualsiasi organizzazione, con infrastrutture critiche e entità ad alto valore in cima alla lista. Lo studio ha raccolto le risposte di oltre 6.000 intervistati in tutto il mondo e in vari settori, tra cui sanità, infrastrutture critiche, vendita al dettaglio, catena di approvvigionamento e logistica.
Nonostante il 59% delle organizzazioni concordasse sul fatto che la minaccia della guerra cibernetica sia aumentata dall’inizio del conflitto ucraino e il 62% si dichiarasse preoccupato per le ripercussioni sulle proprie organizzazioni, la guerra cibernetica è stata una delle priorità più basse per le organizzazioni nel Regno Unito.
Riflessioni sulle normative NIS (Network and Information Systems)
La maggior parte delle organizzazioni nel Regno Unito supporta in qualche modo (46%) o fortemente (25%) l’estensione delle normative NIS a tutte le imprese, mentre il 27% rimane indifferente. Storicamente, le normative NIS si applicavano agli operatori di servizi essenziali e ai fornitori di servizi digitali pertinenti, ma la versione NIS2 ha esteso la copertura anche ai servizi “importanti”. Lo studio ha rilevato che solo un terzo (33%) degli intervistati nel Regno Unito concorda fortemente sul fatto di aver adeguato i propri programmi di sicurezza informatica alle norme NIS.
Andy Norton, European Cyber Risk Officer di Armis, ha affermato: “Per dimostrare che la spesa per la sicurezza informatica non è semplicemente un castello di carte, sarà fondamentale per le organizzazioni dimostrare che la loro analisi dei rischi è adeguata e appropriata e in linea con la legge NIS2”. Il rapporto indica che le organizzazioni del Regno Unito stanno adottando alcune misure per conformarsi alle nuove normative e validare i programmi di sicurezza informatica secondo i migliori framework, ma evidenzia anche che c’è ancora ampio margine di miglioramento.
Conclusioni:
Le crescenti minacce della guerra cibernetica richiedono che le organizzazioni siano sempre più preparate e proattive nel proteggere i propri asset digitali e le infrastrutture critiche. Il rapporto di Armis sullo stato della guerra cibernetica e le tendenze mette in evidenza la necessità per le organizzazioni di aumentare la consapevolezza dei rischi, di investire in misure di sicurezza informatica adeguate e di adeguarsi alle normative vigenti. Solo attraverso la collaborazione tra imprese, governi e professionisti della sicurezza informatica sarà possibile affrontare efficacemente le sfide poste dalla guerra cibernetica e proteggere i propri asset e infrastrutture.
Sicurezza Informatica
Salt Thypoon e APT29: a rischio Signal e RDP
Tempo di lettura: 4 minuti. Da smishing a malware come Raccoon Stealer e attacchi MITM di APT29, scopri le minacce attuali e le raccomandazioni per proteggerti.
Recentemente, diverse campagne di cybercriminalità hanno messo in evidenza la necessità di rafforzare le difese informatiche. Tra le minacce, si segnalano campagne di smishing mirate agli utenti di Poste Italiane, malware Raccoon Stealer, attacchi MITM tramite RDP orchestrati da APT29 e la raccomandazione di CISA di adottare app di messaggistica cifrata come Signal.
CISA: utilizzo di app cifrate dopo violazioni nelle telecomunicazioni
Dopo una serie di violazioni ai danni di otto operatori statunitensi, incluse T-Mobile e AT&T, la CISA ha raccomandato l’adozione di app di messaggistica cifrata, come Signal, per proteggere le comunicazioni da intercettazioni. Le violazioni, attribuite al gruppo Salt Typhoon, hanno consentito l’accesso prolungato ai sistemi di telecomunicazioni, esponendo dati sensibili.
Le raccomandazioni di CISA includono:
- Uso di autenticazione multi-fattore basata su hardware, come Yubico o Google Titan.
- Abbandono delle VPN commerciali con scarse politiche di sicurezza.
- Adozione di funzioni di sicurezza avanzate come Apple Lockdown Mode o il programma di protezione avanzata (APP) di Google.
Questi suggerimenti mirano a proteggere le comunicazioni personali e aziendali in un contesto di minacce crescenti.
Smishing contro utenti Poste Italiane: attenzione ai falsi avvisi di consegna
Il CERT-AGID ha identificato una nuova campagna di smishing che sfrutta falsi messaggi SMS inviati agli utenti di Poste Italiane. L’SMS invita le vittime a cliccare su un link fraudolento per risolvere problemi di consegna.
Il link reindirizza a un sito che imita quello ufficiale di Poste Italiane, richiedendo dati personali e delle carte di credito. Dopo aver inserito le informazioni, gli utenti possono subire furti finanziari e compromissioni di identità.
Si consiglia di:
- Verificare sempre i link prima di cliccarvi.
- Utilizzare i canali ufficiali delle organizzazioni per chiarire eventuali dubbi.
- Segnalare messaggi sospetti a malware@cert-agid.gov.it.
Raccoon Stealer: operatore condannato e implicazioni per la sicurezza
L’operatore dietro al noto malware Raccoon Stealer è stato condannato a cinque anni di prigione negli Stati Uniti dopo essersi dichiarato colpevole. Questo malware è stato responsabile di numerosi attacchi globali, con furti di credenziali, dati bancari e criptovalute, colpendo milioni di utenti dal 2019 al 2022.
Raccoon Stealer funzionava come Malware-as-a-Service (MaaS), con gli sviluppatori che vendevano abbonamenti agli attori malevoli. Una volta attivato, il malware raccoglieva informazioni sensibili dalle macchine infette, inviandole a server di comando e controllo.
La condanna dell’operatore rappresenta un passo importante nella lotta contro il cybercrimine. Tuttavia, gli esperti avvertono che varianti del malware potrebbero continuare a circolare, con la necessità di implementare difese più robuste, come software anti-malware aggiornati e una maggiore consapevolezza tra gli utenti.
APT29: attacchi MITM tramite RDP proxy
Il gruppo di cybercriminali APT29 (conosciuto anche come Midnight Blizzard o Earth Koshchei), associato alla Russia, sta utilizzando una rete di proxy RDP (Remote Desktop Protocol) per attacchi di tipo man-in-the-middle (MITM).
In questa campagna, gli aggressori inducono le vittime a connettersi a server RDP compromessi, consentendo loro di:
- Intercettare credenziali e sessioni di lavoro.
- Accedere a dati sensibili.
- Installare payload malevoli sui sistemi compromessi.
Il gruppo utilizza strumenti come PyRDP, una soluzione open-source originariamente pensata per scopi legittimi di simulazione red team, per sfruttare le connessioni RDP in modo illecito.
Gli attacchi sono stati mirati contro organizzazioni governative, militari e aziende tecnologiche in paesi come Stati Uniti, Francia, Germania e Australia. Per mitigare i rischi, si raccomanda di:
- Limitare l’uso dell’RDP solo a connessioni fidate.
- Applicare restrizioni di rete per impedire connessioni esterne non autorizzate.
- Monitorare le attività di rete per rilevare comportamenti anomali.
Le minacce descritte sottolineano la necessità di un approccio proattivo alla sicurezza informatica. Da campagne di smishing a malware avanzati come Raccoon Stealer, fino agli attacchi sofisticati di APT29, il panorama della sicurezza continua a evolversi. L’adozione di app cifrate, unita a pratiche di sicurezza solide, rappresenta una difesa fondamentale contro i rischi moderni.
Sicurezza Informatica
Windows, rischi Visual Studio Code, file MSC e kernel
Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni malevole, file MSC e vulnerabilità critiche per colpire utenti globali.
Negli ultimi giorni, esperti di sicurezza hanno individuato nuove minacce che sfruttano estensioni malevole di Visual Studio Code, file MSC di Microsoft e una vulnerabilità critica nel kernel di Windows. Questi attacchi, sempre più sofisticati, rappresentano rischi significativi per sviluppatori, organizzazioni e utenti globali.
Visual Studio Code: estensioni malevole nel marketplace
Un’ampia campagna di attacchi è stata individuata su Visual Studio Code (VSCode), con oltre 18 estensioni malevole progettate per colpire sviluppatori e comunità legate alle criptovalute. Le estensioni, tra cui “Ethereum.SoliditySupport” e “ZoomWorkspace.Zoom,” mascherano funzioni dannose attraverso falsi numeri di installazioni e recensioni positive.
Le estensioni scaricano payload offuscati da domini fasulli come “microsoft-visualstudiocode[.]com”. Una volta installate, attivano comandi PowerShell che decriptano stringhe AES per eseguire codice dannoso. I rischi principali includono il furto di credenziali e movimenti laterali verso risorse cloud, specialmente su piattaforme come Microsoft Azure.
Gli esperti raccomandano di validare sempre le estensioni prima di installarle e di controllare i loro codici sorgente per evitare compromissioni della supply chain.
Attacchi tramite file MSC: una minaccia emergente
Un’altra campagna, denominata FLUX#CONSOLE, sfrutta file MSC (Microsoft Common Console Document) per distribuire backdoor mirate. Questi file, mascherati da documenti PDF (“Tax Reductions, Rebates and Credits 2024”), eseguono JavaScript integrato per caricare DLL dannose come “DismCore.dll.”
Gli attacchi sono stati osservati principalmente in Pakistan, dove gli aggressori utilizzano documenti a tema fiscale come esca. Questi file MSC rappresentano un’evoluzione dei tradizionali file LNK, offrendo agli attori malevoli un metodo stealth per infiltrarsi nei sistemi.
Le analisi suggeriscono che il malware installato tramite questi attacchi consente la raccolta di dati sensibili e l’esecuzione di comandi remoti, rendendo necessario un monitoraggio continuo e la segmentazione delle reti aziendali.
Kernel di Windows: vulnerabilità sfruttata per ottenere privilegi SYSTEM
Una vulnerabilità critica del kernel di Windows, identificata come CVE-2024-35250, è attivamente sfruttata per ottenere privilegi SYSTEM. Questa falla, presente nel componente Microsoft Kernel Streaming Service (MSKSSRV.SYS), permette a un attore locale di eseguire attacchi a bassa complessità senza richiedere l’interazione dell’utente.
Originariamente scoperta dal team di ricerca DEVCORE e dimostrata durante il Pwn2Own Vancouver 2024, la vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2024. Tuttavia, con la recente pubblicazione di exploit Proof-of-Concept (PoC) su GitHub, gli attacchi sono aumentati in frequenza, rendendo necessario un intervento urgente per mitigare i rischi.
Meccanismo dell’attacco e conseguenze
Gli aggressori sfruttano un untrusted pointer dereference, un tipo di debolezza che consente loro di manipolare la memoria del kernel e di ottenere un controllo completo sul sistema. Durante i test, questa tecnica è stata utilizzata per compromettere dispositivi con Windows 11 versione 23H2, eseguendo comandi con i massimi privilegi.
CISA ha classificato questa vulnerabilità come prioritaria, aggiungendola al suo catalogo Known Exploited Vulnerabilities (KEV) e imponendo alle agenzie federali di aggiornare i propri sistemi entro il 6 gennaio 2025. L’agenzia raccomanda anche alle organizzazioni private di applicare immediatamente le patch e di implementare controlli di accesso rigorosi.
Queste campagne, che spaziano dall’abuso di estensioni di Visual Studio Code alle vulnerabilità nel kernel di Windows, dimostrano la crescente sofisticazione degli attacchi informatici. Proteggersi richiede un approccio proattivo, che includa l’aggiornamento regolare dei software, il monitoraggio delle attività di rete e la segmentazione delle risorse sensibili.
Sicurezza Informatica
HubPhish, targeting politico e vulnerabilità critiche
Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di CISA per dispositivi mobili e reti.
Le recenti analisi di esperti di sicurezza mettono in evidenza campagne sofisticate come HubPhish, che sfrutta strumenti di HubSpot per attacchi di phishing su larga scala, e azioni legali contro pratiche di targeting politico illecito in Europa. Parallelamente, CISA introduce linee guida per comunicazioni mobili sicure e aggiunge nuove vulnerabilità critiche al suo catalogo.
HubPhish: campagne di phishing sofisticate tramite HubSpot
Il gruppo responsabile della campagna HubPhish, individuato da Palo Alto Networks Unit 42, ha preso di mira oltre 20.000 utenti aziendali in Europa, utilizzando i servizi di HubSpot Free Form Builder per ingannare le vittime. I cybercriminali inviavano email di phishing a tema DocuSign che reindirizzavano a falsi login di Office 365, mirati a sottrarre credenziali.
La campagna sfrutta domini ospitati su TLD .buzz e infrastrutture come Bulletproof VPS per garantire persistenza nei sistemi compromessi. Gli attori aggiungono nuovi dispositivi sotto il loro controllo negli account compromessi, continuando con movimenti laterali verso infrastrutture Microsoft Azure per accedere a risorse cloud.
Questo esempio di phishing avanzato dimostra come i servizi legittimi possano essere abusati per campagne malevole, evidenziando la necessità di rigide misure di sicurezza, come il controllo di domini sconosciuti e l’uso di autenticazione a più fattori.
Targeting politico illecito e violazione del GDPR nell’UE
L’European Data Protection Supervisor (EDPS) ha dichiarato illegale il targeting politico dei cittadini basato sulle loro opinioni personali. La decisione segue una denuncia contro la Commissione Europea, accusata di utilizzare dati sensibili per una campagna a favore della regolamentazione CSAR (Child Sexual Abuse Regulation).
Le campagne di micro-targeting hanno sfruttato proxy data come parole chiave di interesse politico per segmentare il pubblico. La violazione del GDPR dimostra il rischio che pratiche simili possano influenzare la democrazia, spingendo i legislatori a considerare regolamenti più rigidi.
CISA: nuove linee guida per comunicazioni mobili sicure
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un nuovo documento di riferimento con linee guida per migliorare la sicurezza delle comunicazioni mobili. Questo strumento è pensato per aiutare le organizzazioni a proteggere i dispositivi mobili aziendali e le reti wireless da minacce crescenti.
Le raccomandazioni principali includono:
- Segmentazione delle reti mobili per separare dispositivi aziendali da quelli personali.
- Autenticazione multi-fattore (MFA) per ridurre il rischio di compromissione delle credenziali.
- Aggiornamenti regolari del firmware per mitigare vulnerabilità nei sistemi operativi mobili.
- Monitoraggio continuo per identificare comportamenti anomali e attività sospette.
Le linee guida sottolineano anche l’importanza di educare i dipendenti sui rischi associati all’uso di dispositivi mobili per attività aziendali, enfatizzando il ruolo della consapevolezza nella protezione delle infrastrutture digitali.
Nuove vulnerabilità aggiunte al catalogo CISA
CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog, aggiungendo quattro vulnerabilità critiche che sono già state sfruttate attivamente in attacchi mirati. Tra queste spiccano:
- CVE-2018-14933 NUUO NVRmini Devices OS Command Injection Vulnerability
- CVE-2022-23227 NUUO NVRmini 2 Devices Missing Authentication Vulnerability
- CVE-2019-11001 Reolink Multiple IP Cameras OS Command Injection Vulnerability
- CVE-2021-40407 Reolink RLC-410W IP Camera OS Command Injection Vulnerability
Queste vulnerabilità rappresentano rischi significativi per reti aziendali e infrastrutture governative. BOD 22-01, il Binding Operational Directive emesso da CISA, obbliga le agenzie federali a risolvere queste vulnerabilità entro scadenze specifiche. Tuttavia, CISA raccomanda a tutte le organizzazioni, pubbliche e private, di adottare lo stesso approccio per mitigare le minacce.
Le campagne di phishing come HubPhish, i rischi legati al targeting politico illecito e le vulnerabilità sfruttate attivamente evidenziano l’importanza di misure proattive di sicurezza. Con le nuove linee guida di CISA per le comunicazioni mobili e l’aggiornamento del catalogo di vulnerabilità, le organizzazioni possono rafforzare la propria difesa contro attacchi complessi e persistenti.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone1 settimana ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica22 ore ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Economia1 settimana ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Sicurezza Informatica5 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Sicurezza Informatica7 giorni ago
Vulnerabilità Cleo: attacchi zero-day e rischi di sicurezza