Negli ultimi anni, gli attacchi informatici ai sistemi industriali sono aumentati in maniera preoccupante, evidenziando gravi debolezze nella sicurezza delle infrastrutture critiche. Questo fenomeno, che coinvolge numerosi settori, pone in primo piano la vulnerabilità dei sistemi idrici, una componente fondamentale per la salute pubblica e il benessere delle comunità.

Le infrastrutture idriche sono essenziali per garantire la distribuzione di acqua potabile e la gestione delle acque reflue. Tuttavia, un recente rapporto dell'Agenzia per la Protezione Ambientale degli Stati Uniti (EPA) ha rivelato che

La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato nuove linee guida per soddisfare i requisiti di crittografia dei siti web e migliorare la sicurezza.

CISA afferma che le linee guida rilasciate giovedì aiuteranno a stabilire parametri di riferimento per il modello di sicurezza zero trust, una metodologia in cui gli utenti di una rete non sono mai intrinsecamente fidati e devono essere regolarmente verificati per consentire l'accesso a sistemi e pagine sensibili.

Il documento di orientamento si concentra sul DNS e sostiene che il protocollo  esistente non supporta metodi che crittografano o proteggono dagli spioni informatici che si attaccano al percorso di navigazione di un utente e sabotano la sua navigazione.

"In qualità di responsabile operativo per la cybersecurity federale, CISA ha sviluppato questa guida per assistere le agenzie federali nella comprensione e implementazione delle azioni e dei protocolli chiave per iniziare a crittografare il traffico DNS," ha dichiarato Eric Goldstein, direttore esecutivo assistente per la cybersecurity di CISA, in una dichiarazione scritta.

Nell'ottobre del 2023, un colossale attacco informatico ha scosso le fondamenta di Boeing, il gigante dell'aeronautica e della difesa, quando criminali informatici hanno utilizzato la piattaforma ransomware LockBit per prendere di mira l'azienda. La richiesta di riscatto? Niente meno che 200 milioni di dollari, una cifra tra le più alte mai richieste in attacchi simili, come riportato da CyberScoop.

Dettagli dell'Attacco

La notizia è stata confermata mercoledì da Boeing a CyberScoop, identificando l'azienda come la multinazionale anonima citata in un'incriminazione resa pubblica il giorno precedente dal Dipartimento di Giustizia degli Stati Uniti. L'indagine ha messo in luce Dmitry Yuryevich Khoroshev come il principale amministratore e sviluppatore dietro l'operazione ransomware LockBit, una figura chiave in una serie di azioni legali e sanzioni che hanno coinvolto gli Stati Uniti, il Regno Unito e l'Australia.

Il "dwell time" è un termine chiave che si riferisce al periodo di tempo che intercorre tra il momento in cui un attaccante riesce a infiltrarsi in un sistema e il momento in cui viene rilevato. Questo indicatore è di cruciale importanza perché, quanto più lungo è il dwell time, tanto maggiore è il danno potenziale che un attaccante può infliggere all'infrastruttura compromessa. Questo può includere il furto di dati sensibili, l'installazione di malware, e la preparazione di attacchi successivi, tra gli altri.

La riduzione del dwell time è quindi un obiettivo fondamentale per le aziende che cercano di rafforzare le loro difese contro le minacce. Un tempo di permanenza ridotto significa che le intrusioni vengono scoperte e mitigate più rapidamente, limitando così il danno potenziale e aumentando la sicurezza complessiva.

Le Scoperte del Rapporto "M-Trends 2024" di Mandiant

Il rapporto "M-Trends 2024" di Mandiant ha fornito alcune rivelazioni significative e numeri dettagliati riguardo alla situazione attuale del dwell time e di altre metriche di sicurezza. Ecco i punti salienti:

• Riduzione del Dwell Time: Nel 2023, il tempo medio globale di permanenza degli attaccanti è stato il più basso registrato dal 2011, quando Mandiant ha iniziato a tracciare questa metrica. Il dwell time è diminuito di quasi una settimana, passando dai 16 giorni del 2022 ai 10 giorni del 2023. Questa diminuzione rappresenta un miglioramento significativo nelle capacità di rilevazione e risposta delle organizzazioni.

• Miglioramento del Rilevamento Interno: Il rilevamento interno di intrusioni è migliorato nel 2023, con il tempo medio globale di rilevamento che è sceso a 9 giorni dai 13 giorni dell'anno precedente. Questo indica che le organizzazioni stanno diventando più efficaci nel rilevare gli attacchi internamente, senza dover dipendere esclusivamente da segnalazioni esterne.
• Aumento dei Ransomware: Nonostante la riduzione del dwell time, il rapporto ha notato un aumento dell'attività di ransomware. Le indagini che coinvolgono il ransomware sono cresciute fino al 23% nel 2023, rispetto al 18% del 2022. Questo ritorna ai livelli già osservati nel 2021, dimostrando una persistente minaccia di ransomware nonostante i tentativi di mitigazione.
• Focus sulle Tecniche di Evasione e sfruttamento dei Zero-Day: I criminali informatici stanno aumentando il loro focus su tecniche di evasione avanzate, incluso lo sfruttamento di vulnerabilità zero-day. Nel 2023, quando è stato identificato un vettore iniziale di intrusione, nel 38% dei casi era da attribuirsi ad un exploit zero day. Questo indica una crescente sofisticazione degli attaccanti che mirano a sfruttare vulnerabilità non ancora note o non patchate per portare avanti le loro operazioni.
• Tendenze e Precauzioni: Il rapporto ha anche evidenziato un aumento nell'uso di tattiche "living off the land", dove gli attaccanti utilizzano prodotti legittimi e strumenti esistenti all'interno dell'ambiente bersaglio per muoversi lateralmente e accedere a dati sensibili.

La cattiva notizia è che l'aumento dell'uso di exploit, specialmente quelli che sfruttano vulnerabilità zero-day, indica che gli attori delle minacce stanno diventando sempre più sofisticati e capaci di bypassare le misure di sicurezza tradizionali. Questo impone alle organizzazioni di rimanere sempre all'avanguardia nella difesa delle loro infrastrutture critiche e nel garantire che le patch e gli aggiornamenti di sicurezza siano applicati tempestivamente.

Ma la buona notizia è che l'industria della sicurezza informatica sta rispondendo con miglioramenti significativi nelle tecnologie di rilevamento e risposta. L'aumento delle capacità di rilevamento interno, come evidenziato dal calo del dwell time, dimostra che le organizzazioni non solo stanno diventando più veloci nel rilevare gli attacchi, ma stanno anche migliorando la loro capacità di intervenire efficacemente prima che gli attacchi possano causare danni gravi. Questi progressi sono essenziali per costruire una resilienza più forte contro le minacce future.

La sicurezza dei nostri smartphone è una preoccupazione di tutti, e minimizzare il numero di app installate sui propri dispositivi mobili è essenziale non solo per ottimizzare le prestazioni, ma anche per aumentare la sicurezza. Meno applicazioni significano meno porte d'ingresso per possibili attacchi malware e minori probabilità di incorrere in violazioni della privacy.

Scaricare applicazioni solo da fonti attendibili è vitale, in quanto gli store ufficiali come Google Play eseguono controlli di sicurezza per filtrare app dannose. Tuttavia, l'anno scorso, secondo un report di Bleeping Computer ,Google ha dovuto affrontare la sfida di bloccare la pubblicazione di 2,28 milioni di app Android che presentavano violazioni delle politiche, che potevano minacciare la sicurezza degli utenti. Questo dimostra che, nonostante gli sforzi, anche le piattaforme ufficiali possono essere soggette a tentativi di infiltrazioni dannose.

Il colosso di Mountain View ha anche identificato e bloccato 333.000 account che avevano caricato malware o app fraudolente, o che erano coinvolti in ripetute gravi violazioni delle politiche. Nel 2022, erano state bloccate 1,5 milioni di app nocive e sospesi 173.000 account di sviluppatori.

Queste azioni fanno parte degli sforzi continui di Google per mantenere sicuro l'ecosistema di Google Play, che è fondamentale dato che miliardi di persone dipendono da queste app per rendere i loro dispositivi più utili. Il gigante della ricerca basa questi sforzi sui principi 'SAFE', che comprendono la salvaguardia degli utenti (Safeguard Users), la protezione degli sviluppatori (Advocate fo Developer Protection), il sostegno all'innovazione responsabile (Foster Responsible Innovation) e l'evoluzione delle difese della piattaforma (Evolve Platform Defenses).

Tra le iniziative recentemente introdotte per rafforzare la sicurezza ci sono state:

• Un processo di registrazione e verifica dell'identità degli sviluppatori più rigoroso.
• L'introduzione di revisioni di sicurezza indipendenti e badge per le app VPN Android.
• L'aggiunta di scanning in tempo reale per bloccare l'esecuzione di malware.
• Il rinforzo del firmware per rendere più difficile sfruttare i difetti a livello di SoC.
• L'espansione dell'indice SDK, che ora copre 6 milioni di app, per aiutare gli sviluppatori a scegliere SDK sicuri per i loro progetti.

In aggiunta, Google ha rifiutato o corretto 200.000 richieste di app che chiedevano accesso a permessi rischiosi come il contenuto di SMS e la localizzazione in background senza motivazioni valide. Queste misure sottolineano l'importanza di una selezione cautelosa delle app, anche su piattaforme affidabili, e confermano il bisogno di vigilanza costante contro le minacce alla sicurezza digitale.

I recenti sforzi di Google per migliorare la sicurezza su Google Play illustrano un impegno critico e in crescita per proteggere gli utenti da app dannose e violazioni delle politiche. Nonostante gli store ufficiali offrano un livello significativo di sicurezza, gli utenti devono rimanere vigili e informati. È fondamentale continuare a educare gli utenti sulla sicurezza delle app, incoraggiando pratiche sicure come il download di software solo da fonti affidabili, la verifica dei permessi delle app e l'installazione di aggiornamenti regolari.

Minimizzare il numero di app installate non solo può aiutare a proteggere i dati personali, ma anche migliorare le prestazioni generali del dispositivo. Inoltre, la collaborazione tra sviluppatori, fornitori di piattaforme e gli stessi utenti è essenziale per costruire un ecosistema di app più sicuro.

Man mano che la tecnologia continua a evolversi, così deve evolvere la nostra comprensione e gestione della sicurezza informatica. L'impegno di Google nel rafforzare le sue difese e nel promuovere pratiche sicure rappresenta un passo importante verso un ambiente digitale più sicuro per tutti.

#GooglePlaySecurity #AppSafety #MalwarePrevention #DigitalSafety #TechSecurity #AndroidApps #SafeDownloading #UserProtection #CybersecurityAwareness #SecureTech #CybersecurityUP

Secondo quanto riportato da "The Register", una grave #vulnerabilità di #sicurezza colpisce le serrature intelligenti gestite dal software di #Chirp Systems, permettendo a estranei di sbloccarle da remoto. Questa criticità si manifesta a causa delle password e delle chiavi private incorporate staticamente nell'app Android di Chirp. Chiunque sia a conoscenza o scopra queste credenziali può utilizzarle per interfacciarsi con un'API del fornitore di serrature intelligenti #August, consentendo l'apertura remota delle serrature alimentate da Chirp.

La gravità della situazione è evidenziata dal fatto che il sistema di Chirp è attualmente utilizzato in oltre 50.000 abitazioni. Le implicazioni di questa #vulnerabilità sono particolarmente serie in quanto permettono l'accesso fisico illimitato agli ambienti protetti da queste serrature. Inoltre, la #vulnerabilità in questione è stata classificata con un punteggio di gravità CVSS di 9.1 su 10, un valore estremamente elevato che sottolinea il rischio significativo per la #sicurezza degli utenti.

La scoperta di questa falla risale a tre anni fa, ad opera di Matt Brown, un ingegnere senior di Amazon Web Services. Brown ha indagato l'app di Chirp dopo che il suo edificio residenziale ha adottato tali serrature nel marzo 2021. La sua analisi ha rivelato che l'app Android di Chirp conteneva credenziali di #sicurezza salvate in modo non protetto all'interno del codice sorgente, una pratica che espone a rischi elevati l'integrità del sistema.

Nonostante l'avvertimento dell'Agenzia per la #Sicurezza delle Infrastrutture e della #Cybersecurity degli Stati Uniti (CISA), che ha anche emesso un alert riguardo a questa situazione, Chirp non ha risposto alle richieste di intervento per mitigare la problematica. Tuttavia, a seguito dell'alert di CISA, Chirp ha aggiornato l'app Android introducendo "correzioni di bug e miglioramenti alla stabilità", il che potrebbe indicare che la #vulnerabilità è stata risolta, sebbene non vi sia conferma ufficiale.

Oltre a questa falla, l'articolo di "The Register" mette in luce altre problematiche legate alla #sicurezza delle serrature intelligenti. Ad esempio, anche se Chirp offre una chiave basata su NFC come alternativa all'app, questa soluzione non è esente da rischi. Infatti, il chip NFC trasmette le credenziali in testo chiaro, rendendo altrettanto semplice compromettere la #sicurezza delle serrature.

La gestione della crisi da parte di Chirp e la sua capacità di rispondere in modo efficace alle sfide di #sicurezza vengono ulteriormente complicate dal fatto che l'azienda è ora parte di una società di private equity, Thoma Bravo, a seguito dell'acquisizione di RealPage nel 2020. Questa struttura proprietaria potrebbe influenzare la rapidità e l'efficacia delle risposte alle questioni di #sicurezza.

Il team di #BleepingComputer ha identificato un #malware specializzato nel furto di informazioni, il quale mira a sottrarre dati dai #browser delle vittime, incluse credenziali salvate, # cookie, informazioni su portafogli di #criptovalute, dati di autocompletamento e informazioni sulle carte di credito. Questi dati vengono poi venduti nei mercati del #darkweb o utilizzati per violare gli account online delle vittime, favorendo ulteriori truffe o frodi.

Il team ha rilevato che la portata di queste campagne è impressionante, specie in un periodo di forte interesse verso l'intelligenza artificiale, un campo in rapido sviluppo che rende difficile per il pubblico distinguere gli annunci legittimi da quelli falsi. 

In uno specifico caso monitorato, una pagina #Facebook che impersonava #Midjourney ha raccolto 1,2 milioni di follower e è rimasta attiva per quasi un anno prima della sua rimozione. Originariamente, i malintenzionati hanno dirottato un profilo esistente nel giugno 2023, trasformandolo in una falsa pagina Midjourney, la quale è stata successivamente chiusa da Facebook l'8 marzo 2024. 

Numerosi post hanno indotto gli utenti a scaricare gli #infostealer, promuovendo una versione desktop dello strumento che non esiste. Alcuni post annunciavano il rilascio della V6, che non è ancora disponibile ufficialmente, con l'ultima versione rilasciata essendo la V5. 

In altri casi, sono state promosse opportunità di creare arte NFT e monetizzare le proprie creazioni. Esaminando i parametri di targeting degli annunci di Facebook nella Meta Ad Library, il team ha scoperto che gli annunci miravano a un demografico di uomini tra i 25 e i 55 anni in diversi paesi europei, tra cui Germania, Polonia, Italia, Francia, Belgio, Spagna, Paesi Bassi, Romania e Svezia. 

Invece di utilizzare link di #Dropbox e #GoogleDrive per ospitare i #payload, i malintenzionati hanno configurato più siti che clonavano la pagina ufficiale di atterraggio di #Midjourney, ingannando gli utenti a scaricare quella che credevano fosse l'ultima versione dello strumento di generazione artistica tramite un link #GoFile. In realtà, scaricavano #Rilide v4, un'estensione che si spaccia per Google Translate per il browser web, nascondendo efficacemente il #malware che sottraeva cookie di Facebook e altri dati in background. 

Nonostante la rimozione di questa pagina, i criminali hanno lanciato una nuova pagina ancora attiva con oltre 600.000 membri, promuovendo un falso sito #Midjourney che distribuisce malware. 

Dopo la chiusura della pagina impostora con oltre 1,2 milioni di follower, il team di BleepingComputer ha osservato che i criminali informatici hanno rapidamente impostato una nuova pagina che impersonava Midjourney tra l'8 e il 9 marzo 2024. La pagina è stata impostata dopo aver preso il controllo dell'account Facebook di un altro utente, che ha anche avvertito gli altri utenti nella sezione recensioni che l'account era stato hackerato. Durante l'indagine, sono state rilevate altre quattro pagine Facebook che tentavano di impersonare #Midjourney, alcune delle quali sono state rimosse dalla piattaforma. 

L'ultima pagina maliziosa che impersonava Midjourney sembra sia stata presa dagli attaccanti il 18 marzo, quando i criminali informatici hanno cambiato il nome originale della pagina Facebook originale. Al 26 marzo, il profilo truffa contava 637.000 follower. 

Questo caso evidenzia la sofisticazione delle strategie di malvertising basate sui social media e sottolinea l'importanza della vigilanza nell'interazione con le pubblicità online. La vasta scala delle reti sociali come Facebook, unita a una moderazione insufficiente, permette a queste campagne di persistere per lunghi periodi, facilitando la diffusione incontrollata di malware che porta a danni estensivi derivanti dalle

Fata Informatica con la sua Business Unit CybersecurityUP emerge nel panorama italiano come uno dei principali player in ambito Cybersecurity.

Per consentire al proprio personale di continuare ad esercitarsi sulle nuove tecniche di Hacking, CybersecurityUP ha sviluppato HackMeUP un innovativo Cyberrange basato su scenari reali di attacco.

HackMeUP, si impone come piattaforma all'avanguardia nel campo della simulazione di attacchi informatici, proponendo scenari realistici a complessità crescente. Essa offre un percorso di formazione unico per chi aspira a diventare un Ethical Hacker di alto livello, grazie a un'ampia gamma di Hacking Game che sfidano sia tecnicamente che mentalmente i partecipanti.

La piattaforma è strutturata per guidare gli utenti attraverso livelli di difficoltà incrementali, permettendo loro di testare le proprie capacità su infrastrutture complesse e di affinare le tecniche di Vulnerability Assessment and Penetration Testing (VAPT). Un elemento distintivo di HackMeUP è la sua adesione alla classificazione MITRE ATT&CK per l'organizzazione delle sfide, assicurando che i partecipanti possano esercitarsi su tecniche specifiche di attacco in modo mirato.

Il tracciamento del miglioramento individuale è un altro pilastro della piattaforma, consentendo agli utenti di monitorare i loro progressi grazie a metriche dettagliate. La variabilità degli scenari in base alle competenze raggiunte garantisce una sfida adeguata a ogni livello di esperienza, dal principiante all'esperto.

HackMeUP incoraggia anche la competizione e la collaborazione tra utenti attraverso un scoreboard globale e vari elementi di gamification, creando un ambiente stimolante per il miglioramento personale e professionale. La conclusione di ciascuna sfida con una lezione specifica, tenuta dai docenti CybersecurityUP, enfatizza l'impegno della piattaforma nell'offrire una formazione completa, dalla teoria alla pratica.

Ciò che rende HackMeUP unica nel suo genere è l'attenzione alla complessità delle sfide, l'interfaccia in italiano e la stretta correlazione tra le competenze richieste per superare le prove e i contenuti formativi proposti dai corsi CybersecurityUP, offrendo un percorso chiaro e strutturato per lo sviluppo delle competenze in cybersecurity.

Fata Informatica parteciperà alla sfida CTF proposta alla Red Hot Cyber Conference del 19 e 20 aprile, ma non come partecipante. Infatti proporrà all’interno della CTF una serie di sfide prese direttamente da HackMeUP per aggiungere un po’ di pepe alla competizione.

Se sei curioso di capire come funziona questa piattaforma ed il livello delle sfide proposte, non perdere tempo ed iscriviti all’evento. Ti confronterai con Hacker provenienti da tutto il mondo, in una delle competizioni più affascinanti presenti sul panorama Italiano.

In un mondo sempre più interconnesso, la sicurezza cibernetica delle infrastrutture critiche assume un'importanza capitale. La recente scoperta da parte degli specialisti di sicurezza OT di Dragos mette in luce un'allarmante serie di attività di ricognizione e enumerazione da parte di un'entità nota come "Volt Typhoon", un gruppo di minaccia persistente avanzata (APT) con interessi specifici nelle reti di tecnologia operativa (OT) di infrastrutture critiche, focalizzandosi in particolare sul settore elettrico degli Stati Uniti e di alcuni paesi africani.

Questo gruppo, identificato con il soprannome "Voltzite" per la sua attenzione alle reti OT, ha dimostrato di essere alla soglia di compromettere sistemi di controllo industriale (ICS) fisici, sebbene finora le loro incursioni siano state limitate alle reti IT che si connettono all'impronta OT. Tale attività fa eco alle recenti dichiarazioni del governo degli Stati Uniti, che vede in "Volt Typhoon" una minaccia sponsorizzata dallo stato, potenzialmente in grado di seminare il caos e interrompere la rete elettrica in caso di conflitto militare.

La minaccia non è puramente teorica; in un caso esaminato da Dragos, "Voltzite" ha compromesso una utility elettrica statunitense di medie dimensioni, rimanendo nascosta per oltre 300 giorni. Durante questo periodo, il gruppo ha cercato attivamente di accedere alla rete OT, rubando dati specifici dell'OT e informazioni relative a SCADA e GIS, utili per attacchi distruttivi futuri.

Con il suo arsenale di tattiche stealth di intrusione cibernetica, che includono l'uso di strumenti legittimi e tecniche di "living off the land" per evitare il rilevamento tramite firma, "Voltzite" rappresenta una sfida significativa per la sicurezza delle infrastrutture critiche. L'indagine di Dragos ha inoltre rivelato l'espansione delle attività di "Volt Typhoon", compromettendo non solo le compagnie elettriche statunitensi ma anche prendendo di mira organizzazioni in Africa, oltre a incursioni in telecomunicazioni e servizi di emergenza di grandi città degli USA.

Nelle prime ore tra l'11 e il 12 febbraio 2024, un attacco ransomware senza precedenti ha colpito il cuore della rete ospedaliera rumena, forzando ben 18 strutture sanitarie a disconnettersi dai loro sistemi informatici. Il bersaglio dell'attacco è stato il Sistema Informativo Hipocrate, una pietra angolare per la gestione delle attività mediche e dei dati dei pazienti in Romania.

L'attacco ha avuto inizio nel cuore della notte, in un momento in cui la vigilanza informatica potrebbe non essere stata al massimo della sua efficienza. I cybercriminali hanno criptato file e database, rendendo inaccessibili dati cruciali per il funzionamento quotidiano degli ospedali. Le conseguenze sono state immediate: processi diagnostici interrotti, trattamenti ritardati e una gestione amministrativa gettata nel caos.

Tra le strutture colpite, si annoverano centri regionali di eccellenza e ospedali specializzati nel trattamento del cancro, evidenziando la gravità e l'audacia dell'attacco. Queste istituzioni sono fondamentali non solo per la salute dei cittadini rumeni ma anche come centri di riferimento per la ricerca e la cura di patologie complesse.

Le autorità sanitarie rumene, in collaborazione con esperti di cybersecurity, hanno immediatamente avviato un'indagine per identificare i responsabili dell'attacco e per tentare di recuperare i sistemi compromessi. Sebbene non siano stati rivelati dettagli specifici riguardanti il gruppo di cybercriminali responsabile o la natura esatta del ransomware utilizzato, è chiaro che l'evento rappresenta un campanello d'allarme per la sicurezza informatica in ambito sanitario.

Il Ministero della Salute rumeno ha comunicato di essere al lavoro per ripristinare le funzionalità dei sistemi colpiti, ma non ha fornito tempistiche precise per il completamento delle operazioni. La priorità è garantire la continuità delle cure e la sicurezza dei dati dei pazienti, molti dei quali ora rischiano di essere esposti o perduti a causa dell'attacco.

Questo evento solleva importanti questioni sulla sicurezza informatica in ambito sanitario, un settore sempre più dipendente dalla tecnologia digitale. L'attacco evidenzia la vulnerabilità delle infrastrutture critiche di fronte a minacce cyber sempre più sofisticate e la necessità di investire in sistemi di protezione avanzati, formazione del personale e protocolli di risposta agli incidenti.

La comunità internazionale osserva con preoccupazione l'accaduto, consapevole che quanto successo in Romania potrebbe facilmente ripetersi altrove. La lotta contro il cybercrimine richiede un approccio coordinato e proattivo, dove la condivisione di informazioni e la collaborazione tra stati e organizzazioni diventano strumenti fondamentali nella prevenzione di futuri attacchi.

In conclusione, l'attacco ransomware ai danni degli ospedali rumeni non è solo un dramma nazionale ma un monito globale. Richiama l'attenzione sull'importanza della sicurezza informatica in settori critici come quello sanitario, sottolineando l'urgenza di adottare misure concrete per proteggere i dati e le vite umane dalle minacce digitali.