Le minacce alla sicurezza informatica continuano a rappresentare una sfida globale, con nuove vulnerabilità che emergono e attacchi mirati sempre più sofisticati e le potenziali vittime sono state avvisate di criticità che coinvolgono Veeam Backup & Replication, GitLab, e delle minacce legate a ransomware come Akira e Fog. Allo stesso tempo, OpenAI ha intensificato gli sforzi per bloccare attività malevole, mentre CISA ha pubblicato avvisi cruciali per la protezione dei sistemi di controllo industriale.

Ransomware Akira e Fog sfruttano vulnerabilità Veeam

I gruppi ransomware Akira e Fog hanno iniziato a sfruttare una vulnerabilità critica in Veeam Backup & Replication, identificata come CVE-2024-40711. Questa vulnerabilità, causata da una deserializzazione di dati non sicuri, consente agli aggressori di eseguire codice remoto sui server Veeam vulnerabili. La falla è stata scoperta da Florian Hauser di Code White e ha un impatto significativo, data la diffusione di Veeam come soluzione per il backup e il ripristino di dati aziendali. La vulnerabilità è stata resa pubblica il 15 settembre 2024, dopo che Veeam aveva rilasciato un aggiornamento di sicurezza il 4 settembre per consentire agli amministratori di proteggere i propri sistemi.

• Attacchi recenti: Gli incidenti segnalati coinvolgono il rilascio di ransomware come Akira e Fog, che sfruttano la vulnerabilità per creare account locali con privilegi di amministratore. In un caso, il ransomware Fog è stato distribuito su un server Hyper-V non protetto, utilizzando strumenti come rclone per esfiltrare dati. Altri attacchi hanno visto l’uso di Akira, con tecniche di accesso tramite VPN compromesse e prive di autenticazione multifattore.

La vulnerabilità in Veeam sottolinea la necessità per le aziende di applicare patch di sicurezza tempestivamente e di rafforzare la protezione dei sistemi di backup, che sono spesso il primo bersaglio dei cybercriminali a caccia di dati sensibili.

Vulnerabilità critica in GitLab e i rischi per la CI/CD

GitLab ha avvisato gli utenti di una vulnerabilità critica nella sua piattaforma, identificata come CVE-2024-9164, che permette l’esecuzione arbitraria di pipeline CI/CD su qualsiasi branch di un repository. Questa vulnerabilità, che ha ricevuto un punteggio di gravità CVSS di 9.6, potrebbe consentire agli aggressori di eseguire codice e accedere a informazioni sensibili senza autorizzazione.

• Impatto sulla sicurezza: La falla riguarda tutte le versioni di GitLab Enterprise Edition (EE) a partire dalla 12.5 fino alla 17.4.1. Le patch sono state rilasciate nelle versioni 17.4.2, 17.3.5 e 17.2.9, e GitLab ha sollecitato gli utenti a procedere all’aggiornamento il prima possibile per evitare rischi di compromissione. Le installazioni su GitLab Dedicated sono già state aggiornate automaticamente, offrendo una protezione immediata per i clienti in cloud.

Questa vulnerabilità mette in evidenza l’importanza di un monitoraggio continuo delle pipeline di integrazione e distribuzione continua (CI/CD), una componente essenziale per i flussi di lavoro di sviluppo moderno, che necessita di protezioni adeguate per evitare abusi e attacchi.

OpenAI blocca minacce globali: protezione contro il cybercrime

OpenAI ha adottato nuove misure per proteggere i propri strumenti e tecnologie dall’uso malevolo. Recentemente, l’azienda ha annunciato il blocco di oltre 20 minacce globali, tra cui attività di phishing, malware e altre forme di abuso dei modelli di intelligenza artificiale. Questa decisione è parte di un impegno più ampio per garantire che i progressi tecnologici vengano utilizzati in modo etico e sicuro.

L’intervento di OpenAI si è concentrato soprattutto su quei paesi e regioni in cui le sue tecnologie venivano utilizzate per condurre campagne di disinformazione, frodi finanziarie e tentativi di attacchi informatici. In molti casi, i modelli linguistici sono stati sfruttati per creare contenuti falsi o automatizzare attività dannose, come la generazione di email di phishing e l’ingegneria sociale. OpenAI ha collaborato con le principali piattaforme di sicurezza e agenzie governative per identificare e bloccare gli accessi ai propri servizi da parte di attori malevoli, migliorando al contempo le proprie tecnologie di rilevamento degli abusi.

Questa azione di OpenAI sottolinea la necessità di un approccio preventivo nella protezione delle tecnologie emergenti e delle infrastrutture digitali. Proteggere i modelli linguistici dall’uso malevolo non solo tutela l’integrità delle informazioni online, ma contribuisce anche a preservare la fiducia degli utenti nelle tecnologie basate sull’intelligenza artificiale. Le misure adottate rappresentano un passo significativo verso una maggiore sicurezza informatica, in un contesto dove le minacce evolvono rapidamente e i rischi diventano sempre più complessi.

CISA: 20 avvisi per i sistemi di controllo industriale

La CISA (Cybersecurity and Infrastructure Security Agency) ha rilasciato ventuno nuovi avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS). Questi avvisi mirano a informare le aziende su potenziali vulnerabilità che potrebbero essere sfruttate per compromettere la sicurezza dei processi industriali, e comprendono istruzioni dettagliate per mitigare i rischi.

• ICSA-24-284-01 Siemens SIMATIC S7-1500 and S7-1200 CPUs
• ICSA-24-284-02 Siemens Simcenter Nastran
• ICSA-24-284-03 Siemens Teamcenter Visualization and JT2Go
• ICSA-24-284-04 Siemens SENTRON PAC3200 Devices
• ICSA-24-284-05 Siemens Questa and ModelSim
• ICSA-24-284-06 Siemens SINEC Security Monitor
• ICSA-24-284-07 Siemens JT2Go
• ICSA-24-284-08 Siemens HiMed Cockpit
• ICSA-24-284-09 Siemens PSS SINCAL
• ICSA-24-284-10 Siemens SIMATIC S7-1500 CPUs
• ICSA-24-284-11 Siemens RUGGEDCOM APE1808
• ICSA-24-284-12 Siemens Sentron Powercenter 1000
• ICSA-24-284-13 Siemens Tecnomatix Plant Simulation
• ICSA-24-284-14 Schneider Electric Zelio Soft 2
• ICSA-24-284-15 Rockwell Automation DataMosaix Private Cloud
• ICSA-24-284-16 Rockwell Automation DataMosaix Private Cloud
• ICSA-24-284-17 Rockwell Automation Verve Asset Manager
• ICSA-24-284-18 Rockwell Automation Logix Controllers
• ICSA-24-284-19 Rockwell Automation PowerFlex 6000T
• ICSA-24-284-20 Rockwell Automation ControlLogix
• ICSA-24-284-21 Delta Electronics CNCSoft-G2

Gli avvisi di CISA riflettono la continua necessità di proteggere le infrastrutture critiche dagli attacchi informatici, soprattutto in settori come l’energia, la produzione e i trasporti, dove le compromissioni potrebbero avere conseguenze devastanti.

La sicurezza informatica e la guerra cibernetica tra Russia e Ucraina sono al centro dell’attenzione internazionale con due eventi significativi: le attività di hacking condotte dal gruppo APT29, affiliato al servizio di intelligence russo SVR, che prendono di mira i server Zimbra e TeamCity, e l’arresto in Ucraina di un operatore VPN che consentiva l’accesso non autorizzato al Runet. Questi casi evidenziano la complessità della lotta contro le minacce informatiche, in un contesto di crescente tensione geopolitica e cybercriminalità.

Gli attacchi di APT29 contro server Zimbra e TeamCity

Le agenzie di sicurezza statunitensi e britanniche, tra cui la NSA, l’FBI e il NCSC del Regno Unito, hanno emesso un avviso congiunto riguardo a un’ondata di attacchi condotti dal gruppo di hacker APT29, noto anche come Cozy Bear o Midnight Blizzard. Questo gruppo, legato al servizio di intelligence russo SVR, è specializzato in operazioni di cyber-spionaggio e ha preso di mira numerosi server Zimbra e TeamCity non aggiornati, sfruttando vulnerabilità note come CVE-2022-27924 e CVE-2023-42793.

• Sfruttamento delle vulnerabilità: La vulnerabilità CVE-2022-27924 consente agli hacker di sottrarre credenziali di account email da istanze di Zimbra Collaboration non aggiornate, mentre CVE-2023-42793 è stata sfruttata per ottenere accesso iniziale ai sistemi TeamCity, facilitando attacchi alla supply chain. Queste falle sono state utilizzate anche da gruppi di ransomware e hacker nordcoreani, il che evidenzia la gravità delle minacce.
• Obiettivi globali: L’attività di APT29 si estende a livello globale, colpendo organizzazioni governative e private in diversi settori. Gli esperti di sicurezza hanno avvertito che gli attacchi potrebbero coinvolgere ulteriori vulnerabilità per ottenere l’esecuzione di codice remoto e l’escalation dei privilegi sui sistemi target. L’NSA ha sottolineato l’importanza di aggiornare i software e applicare le patch di sicurezza per prevenire intrusioni nei sistemi.

APT29 non è nuovo a operazioni di alto profilo. Già in passato, il gruppo è stato coinvolto nell’attacco alla supply chain di SolarWinds, che ha compromesso diverse agenzie federali degli Stati Uniti. Le recenti attività confermano l’interesse di APT29 nel condurre attacchi mirati contro infrastrutture critiche, sfruttando vulnerabilità e falle di sicurezza non risolte.

L’arresto in Ucraina di un operatore VPN illegale per accesso al Runet

Mentre le agenzie di sicurezza di Stati Uniti e Regno Unito affrontano le minacce di APT29, le autorità ucraine hanno arrestato un cittadino di 28 anni che gestiva un servizio VPN illegale. Questo servizio permetteva agli utenti di accedere al Runet, la parte dell’internet dominata dai domini russi, aggirando le restrizioni imposte dall’Ucraina a seguito della guerra con la Russia.

Il contesto del Runet e le restrizioni ucraine: Il Runet comprende piattaforme online russe come social media, motori di ricerca e siti governativi, accessibili solo all’interno del territorio russo. Per limitare l’influenza russa e rispettare le sanzioni del Consiglio di Sicurezza e Difesa Nazionale dell’Ucraina, il Paese ha bloccato l’accesso a questi siti. Tuttavia, il servizio VPN illegale consentiva a utenti russi nelle aree occupate e simpatizzanti in Ucraina di eludere i blocchi.

Operazione e conseguenze legali: L’operatore VPN, autodidatta e residente a Khmelnytskyi, aveva allestito un server autonomo nella propria abitazione e affittato ulteriori server in Germania, Francia, Paesi Bassi e Russia per gestire il traffico dati. Il servizio, pubblicizzato su Telegram, dava accesso a oltre 48 milioni di indirizzi IP russi e facilitava un traffico di oltre 100 gigabyte al giorno. Le autorità ucraine hanno sequestrato computer, telefoni e attrezzature, avviando indagini per identificare eventuali complici e collaboratori russi.

Questo caso ha sollevato preoccupazioni sul possibile coinvolgimento dell’intelligence russa, che potrebbe aver avuto accesso ai dati degli utenti del servizio VPN. Il gestore rischia una pena fino a 15 anni di reclusione per la violazione della legge ucraina sulla sicurezza informatica.

Cyber minacce globali e risposte nazionali

Le attività di hacking di APT29 e l’arresto del gestore VPN in Ucraina sottolineano la complessità delle minacce cibernetiche nel contesto geopolitico attuale. Da un lato, gruppi come APT29 sfruttano vulnerabilità per condurre operazioni di spionaggio su scala globale, mentre dall’altro, la diffusione di servizi VPN illegali evidenzia la difficoltà di mantenere il controllo sui flussi di informazioni tra nazioni in conflitto.

La cooperazione internazionale e il rafforzamento delle misure di sicurezza restano fondamentali per mitigare queste minacce. La capacità di monitorare e reagire rapidamente a nuove vulnerabilità e di neutralizzare reti clandestine come quella del gestore VPN dimostrano che la lotta contro il cybercrimine richiede uno sforzo costante e coordinato.

Bohemia e Cannabia, due dei mercati più grandi e longevi del dark web, sono stati recentemente smantellati in seguito a un’operazione congiunta che ha coinvolto le forze di polizia di Paesi Bassi, Irlanda, Regno Unito e Stati Uniti. Questi mercati, noti per la vendita di beni illeciti come droghe e servizi legati al cybercrimine, sono stati chiusi dopo che gli amministratori hanno tentato di sottrarre i fondi con una strategia di exit scam. L’intervento delle autorità dimostra l’efficacia della cooperazione internazionale nella lotta contro le attività illegali online.

Indagine e smantellamento di Bohemia e Cannabia

Le indagini su Bohemia e Cannabia sono iniziate nel 2022, quando la Politie olandese ha identificato i server legati a questi mercati nascosti nel dark web. Questi marketplace, descritti come i più grandi e longevi nel loro genere, facilitavano la vendita di beni illeciti, inclusi droghe, strumenti per attacchi DDoS e altre attività criminali. Ogni mese, i mercati registravano circa 67.000 transazioni, con un volume d’affari stimato a 12 milioni di euro solo nel settembre 2023.

Gli amministratori dei mercati, consapevoli dell’indagine in corso, hanno tentato di chiudere le operazioni e fuggire con i guadagni, stimati intorno ai 5 milioni di euro. Questo tentativo di exit scam non ha però fermato le autorità, che sono riuscite a identificare e arrestare due sospetti: uno nei Paesi Bassi, che è comparso davanti a un tribunale di Rotterdam, e un altro in Irlanda. L’operazione ha inoltre portato al sequestro di criptovalute per un valore di 8 milioni di euro e di due veicoli.

La Politie ha sottolineato come l’anonimato del dark web sia spesso sopravvalutato da chi lo utilizza per attività illecite. Grazie alla collaborazione tra le forze di polizia di diversi Paesi, l’indagine ha dimostrato che anche i più sofisticati marketplace online possono essere rintracciati e chiusi, infliggendo un duro colpo alla credibilità e alla fiducia in questi ambienti clandestini.

Le conseguenze del takedown sui mercati del dark web

La chiusura di Bohemia e Cannabia rappresenta un segnale forte per la comunità del dark web, dove spesso si crede che l’anonimato possa garantire l’impunità. La cooperazione tra le forze di polizia europee e statunitensi ha reso possibile il tracciamento dei flussi finanziari e l’identificazione dei responsabili, dimostrando che la tecnologia investigativa può superare le barriere imposte dalla rete oscura.

Il successo dell’operazione sottolinea anche l’importanza di una sorveglianza costante e della condivisione delle informazioni tra le agenzie di sicurezza. Questo approccio permette di destabilizzare le reti criminali che operano nel dark web, rendendo più difficile per i cybercriminali organizzarsi e trovare nuovi spazi sicuri per le loro attività. In un contesto in cui le piattaforme illegali proliferano, la chiusura di mercati come Bohemia e Cannabia invia un messaggio chiaro: le attività illecite online non sono al riparo dalle indagini internazionali.