Cybersecurity sotto attacco: Palo Alto Networks, Fortinet e la minaccia del ransomware BianLian

Le recenti vulnerabilità sfruttate nei sistemi di sicurezza di Palo Alto Networks e Fortinet, unite all’evoluzione delle tattiche del ransomware BianLian, sottolineano l’urgenza di adottare strategie di sicurezza più robuste. I criminali informatici si stanno adattando rapidamente, utilizzando exploit sofisticati e modificando le loro metodologie per ottenere accessi non autorizzati e monetizzare i dati rubati.

Palo Alto Networks: migliaia di firewall compromessi

Le vulnerabilità CVE-2024-0012 e CVE-2024-9474, scoperte nei firewall PAN-OS di Palo Alto Networks, rappresentano un pericolo critico. Questi exploit permettono agli attaccanti di bypassare l’autenticazione e ottenere privilegi amministrativi, consentendo il controllo totale dei dispositivi. Più di 2.000 firewall sono stati già compromessi, con conseguenze devastanti per le reti aziendali.

Gli attaccanti, una volta penetrati, installano malware e eseguono comandi con accesso root, sfruttando proxy VPN per mascherare la loro attività. Secondo Shadowserver, gli attacchi sono stati osservati globalmente, con un’ampia distribuzione geografica. Palo Alto Networks ha rilasciato patch correttive, ma molte aziende non hanno ancora aggiornato i loro sistemi, esponendosi a rischi continui.

Fortinet VPN: attacchi brute-force nascosti

Un’altra grave vulnerabilità è stata scoperta nei sistemi VPN di Fortinet, dove una falla nei log consente di nascondere l’esito positivo di attacchi brute-force. Questo difetto di progettazione permette agli attaccanti di validare credenziali compromesse senza che l’amministratore del sistema venga avvisato.

L’assenza di notifiche relative agli accessi brute-force riusciti espone le reti a un rischio costante, soprattutto in ambienti con autenticazioni multiple. Strumenti come Burp Suite vengono utilizzati per simulare login, interrompendo la sessione dopo l’autenticazione ma prima del completamento dell’accesso. Sebbene Fortinet abbia preso nota della segnalazione, la mancanza di una patch risolutiva lascia molte reti vulnerabili.

BianLian ransomware: un’evoluzione verso l’estorsione pura

Il gruppo ransomware BianLian, attivo dal 2022, ha cambiato strategia abbandonando la crittografia dei file a favore di un modello basato esclusivamente sull’estorsione di dati. Questa nuova metodologia elimina il processo di cifratura, rendendo l’attacco più rapido e meno evidente, focalizzandosi invece sulla minaccia di divulgare informazioni sensibili rubate.

I bersagli principali includono settori critici come sanità, finanza, trasporti e istruzione. Il gruppo utilizza strumenti avanzati come PowerShell e tecniche di offuscamento per eludere i sistemi di sicurezza e accedere alle reti. Una volta dentro, esfiltra grandi quantità di dati, che vengono poi utilizzati come leva per richiedere riscatti multimilionari.

Recentemente, il gruppo ha rivendicato attacchi contro importanti organizzazioni come Air Canada e il network sanitario Boston Children’s Health Physicians. Le autorità di sicurezza, tra cui CISA, FBI e ACSC, hanno rilasciato linee guida aggiornate per contrastare questa minaccia, raccomandando misure come la segmentazione delle reti, il monitoraggio degli accessi remoti e la limitazione di strumenti ad alto rischio come RDP.

Gli attacchi contro Palo Alto Networks e Fortinet, insieme alla crescente minaccia del ransomware BianLian, mettono in evidenza la sofisticazione crescente delle minacce informatiche. Le vulnerabilità critiche nei firewall e nei sistemi VPN, unite all’evoluzione del ransomware, richiedono un approccio più proattivo alla sicurezza informatica. Le aziende devono investire in aggiornamenti tempestivi, monitoraggio continuo e formazione del personale per prevenire accessi non autorizzati. L’adozione di misure preventive, come l’applicazione delle patch più recenti e la segmentazione delle reti, può fare la differenza nel ridurre il rischio di compromissione.