Negli ultimi giorni, un’ondata di attacchi informatici ha colpito settori strategici, mettendo a rischio dati sensibili e evidenziando le vulnerabilità di aziende e infrastrutture critiche. Hewlett Packard Enterprise (HPE) è stata vittima di un attacco condotto dal gruppo di hacker russi Cozy Bear, mentre le infrastrutture sanitarie statunitensi hanno subito una violazione che ha esposto le informazioni personali di 882.000 pazienti. In parallelo, i server Microsoft IIS sono stati compromessi sfruttando una grave vulnerabilità nel software Cityworks. Questi attacchi rivelano l’evoluzione delle minacce informatiche, con un aumento delle tattiche di infiltrazione e delle tecniche di persistenza avanzata.
HPE sotto attacco: Cozy Bear sfrutta Office 365 per un’intrusione mirata
L’attacco subito da HPE è stato attribuito al gruppo APT29 (Cozy Bear), noto per essere legato ai servizi segreti russi. La compromissione, avvenuta nel maggio 2023, è stata resa nota solo a dicembre, quando l’azienda ha presentato una segnalazione alla Securities and Exchange Commission (SEC).
Gli attaccanti hanno utilizzato password spraying, una tecnica che tenta combinazioni di credenziali comuni per ottenere accesso a un sistema cloud senza attivare misure di sicurezza avanzate. In questo caso, la vulnerabilità ha permesso l’accesso a un tenant Office 365 non sufficientemente protetto, consentendo a Cozy Bear di monitorare le email e sottrarre informazioni strategiche dai team di sicurezza di HPE.
Gli esperti sottolineano che attacchi di questo tipo sono sempre più diffusi nelle infrastrutture cloud, dove le aziende faticano a implementare controlli adeguati per proteggere gli account privilegiati. L’intrusione dimostra anche come le minacce persistenti avanzate (APT) preferiscano tecniche stealth rispetto ai ransomware tradizionali, puntando su spionaggio e raccolta di dati sensibili.
CISA lancia un’allerta: attacchi attivi contro i server Microsoft IIS
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso urgente riguardante l’exploit di una vulnerabilità nel software Cityworks di Trimble, utilizzato per la gestione delle infrastrutture municipali. La falla consente l’esecuzione di codice remoto (RCE) su server Microsoft IIS, permettendo agli attaccanti di installare strumenti come Cobalt Strike e VShell, utilizzati per il movimento laterale nelle reti compromesse.
Questa vulnerabilità è particolarmente critica per le amministrazioni pubbliche, poiché molti enti locali utilizzano Cityworks per il monitoraggio delle infrastrutture e la gestione operativa. Gli hacker stanno sfruttando il bug per ottenere accesso persistente ai sistemi, aggirando i controlli di autenticazione e installando backdoor per future operazioni malevole.
Microsoft ha confermato l’attività sospetta su diversi server e ha rilasciato patch di emergenza per mitigare il rischio, mentre CISA ha raccomandato agli amministratori IT di controllare eventuali accessi anomali e implementare misure di segmentazione della rete per limitare i danni in caso di compromissione.
Sanità sotto attacco: violati i dati di 882.000 pazienti negli USA
Anche il settore sanitario continua a essere nel mirino dei cybercriminali. L’ospedale Sisters Health System (HSHS), che gestisce strutture in Illinois e Wisconsin, ha notificato ai pazienti una massiccia violazione di dati. L’attacco, avvenuto nell’agosto 2023, ha paralizzato i sistemi di comunicazione dell’ospedale per diversi giorni, compromettendo cartelle cliniche e informazioni sensibili.
Le indagini forensi hanno confermato che gli hacker hanno avuto accesso a numeri di previdenza sociale, dati assicurativi e referti medici, aumentando il rischio di furto d’identità e frodi sanitarie. Sebbene non siano ancora emerse prove di un utilizzo fraudolento dei dati, le autorità hanno invitato i pazienti coinvolti a monitorare attentamente le loro attività finanziarie.
Gli attacchi al settore sanitario sono in crescita, con gli ospedali che spesso non dispongono di adeguati sistemi di difesa contro il ransomware e le intrusioni persistenti. Gli esperti di sicurezza evidenziano la necessità di migliorare la protezione dei sistemi critici, con particolare attenzione alla crittografia dei dati e all’adozione di sistemi di autenticazione a più fattori.
Un panorama di minacce in continua evoluzione
L’ondata di attacchi informatici contro aziende, infrastrutture sanitarie e pubbliche dimostra come gli hacker stiano affinando le loro tecniche per colpire obiettivi di alto valore.
Le strategie utilizzate in questi attacchi rivelano tre tendenze chiave:
- L’uso crescente di vulnerabilità nelle piattaforme cloud, come dimostrato dall’attacco a HPE.
- L’exploit di falle critiche nei software aziendali e pubblici, con il caso di Cityworks che evidenzia la necessità di patch tempestive.
- Il targeting del settore sanitario, sempre più esposto a furti di dati sensibili e ransomware.
Le aziende e le istituzioni colpite stanno cercando di rafforzare le loro difese, ma l’accelerazione delle minacce informatiche richiede una risposta più efficace, con strategie di prevenzione proattiva, monitoraggio continuo e formazione avanzata per il personale IT. Senza un’evoluzione rapida delle contromisure di sicurezza, il rischio di nuove compromissioni su larga scala continuerà a crescere ogni qualvolta uscirà fuori una nuova vulnerabilità.
