CyberSecurity

Il Rapporto Clusit 2024, edizione di fine anno, presentato il 7 novembre durante il Security Summit Streaming Edition, evidenzia un aumento significativo degli attacchi cyber a livello globale. Nei primi sei mesi del 2024, sono stati registrati 1.637 attacchi, segnando un incremento del 23% rispetto al semestre precedente. La media giornaliera di attacchi è di 9 a livello globale, con l’Italia che ha subito il 7,6% di questi incidenti.

Crescita della Frequenza e Gravità degli Attacchi

Nel primo semestre del 2024, gli attacchi hanno continuato a crescere, con una media mensile di 273 attacchi, rispetto ai 230 del 2023 e ai 139 del 2019. Oltre alla crescita costante della frequenza degli incidenti, anche la valutazione dell’indice di gravità degli attacchi è andata aumentando anno dopo anno. L’81% degli attacchi globali ha avuto un impatto grave, con oltre un terzo degli incidenti classificati come “critici”.

Trend negli ultimi cinque anni

L’analisi dei ricercatori di Clusit ha preso in particolare considerazione gli ultimi cinque anni, evidenziando un incremento degli attacchi nel mondo del 110% dal 2019 al 2024. Nel primo semestre del 2024 si è verificato il 13% degli attacchi portati a termine nei cinque anni. Questo periodo ha segnato il picco assoluto di attacchi, ben oltre le previsioni basate sull’andamento degli anni precedenti. Se nel 2019 venivano registrati 4,5 attacchi al giorno, oggi la media è 9.

La situazione in Italia

Nel primo semestre del 2024, l’Italia ha registrato un lieve calo nel numero degli attacchi rispetto allo stesso periodo del 2023, con 124 eventi (pari al 7,6% del totale globale). Sebbene sia diminuito il numero di attacchi “critici” (8% rispetto al 13,5% del 2023), gli attacchi di gravità elevata sono aumentati, raggiungendo il 50% del totale. Gli attacchi in Italia sono generalmente meno gravi rispetto al resto del mondo, con l’8% degli incidenti con impatto grave rispetto al 31% globale.

Gli attacchi rilevati nel nostro Paese sembrano tuttavia danneggiare in maniera meno critica rispetto al resto del mondo: gli incidenti con impatto grave sono infatti notevolmente più bassi (8% contro 31%). Risultano molto più numerosi gli incidenti con impatto medio, ma i loro danni sono più circoscritti (41% contro 19%).

Finalità degli attacchi nel mondo e in Italia

A livello globale, il cybercrime è stato la causa principale degli attacchi, con l’88% degli incidenti mirati al guadagno economico, in crescita di 5 punti percentuali rispetto al 2023. A completare lo scenario, si sono verificati nel periodo attacchi riconducibili ad azioni di hacktivism (6%), a espionage/sabotage (4%) e information warfare (2%), tutti in lieve decrescita percentuale rispetto al 2023.

In Italia, il 71% degli attacchi è stato attribuito al cybercrime, seguito da hacktivism, fenomeno che continua a mantenersi su percentuali più elevate rispetto al resto del mondo (29%). I ricercatori hanno però evidenziato che, rispetto al secondo semestre del 2023, da gennaio a giugno del 2024 si è registrata una diminuzione del cybercrime (-17% degli attacchi) e dell’hacktivism (-50% degli attacchi).

Settori più colpiti nel mondo e in Italia

Nel primo semestre del 2024, il settore sanitario è stato il più colpito a livello mondiale, con il 18% degli attacchi (rispetto al 14% del 2023), registrando 296 incidenti in sei mesi, un dato simile all’intero 2022. I “multiple targets”, che colpiscono diversi settori contemporaneamente, sono stati il secondo obiettivo più attaccato con il 16% degli attacchi. Segue il settore governativo, militare e delle forze dell’ordine (13%) e il settore finanziario e assicurativo (8%), che ha visto una diminuzione rispetto al 2023. Il settore news/multimedia ha mostrato il maggior aumento, superando il numero di incidenti dell’intero anno precedente.

In Italia, invece, il settore manifatturiero è stato il più colpito, con il 19% degli attacchi, un aumento rispetto al 13% del 2023. Notevole è il fatto che oltre un quarto degli attacchi globali al settore manifatturiero ha riguardato realtà italiane. Seguono i “multiple targets” (13%) e il settore governativo/militare (11%). Il settore sanitario in Italia ha registrato un incremento dell’83% degli attacchi rispetto allo stesso periodo del 2023, con numeri simili a quelli dell’intero anno precedente, evidenziando una crescente preoccupazione per questo comparto critico.

La geografia degli attacchi

A livello geografico, gli Stati Uniti continuano a essere il paese più colpito, con il 41% degli attacchi, anche se questo dato è in leggera diminuzione rispetto al 2023. L’Europa ha registrato un significativo incremento, con il 29% degli attacchi (rispetto al 23% del 2023). In Europa, nel primo semestre del 2024, si è verificato il 75% degli attacchi registrati nell’intero 2023, dimostrando una crescente vulnerabilità del continente.

In Asia è stato registrato l’8% degli attacchi mondiali. Il 17% degli attacchi è avvenuto parallelamente verso località multiple, mentre rimane marginale la componente, sul totale, degli incidenti riferibili a Oceania (4%), comunque in crescita, e Africa (1%).

Tecniche di attacco

Le tecniche di attacco più comuni nel primo semestre del 2024 sono state i malware (34%), con il ransomware che rimane la principale minaccia per gli attacchi cyber, grazie alla sua alta resa economica. Gli attacchi basati sullo sfruttamento di vulnerabilità si sono confermati come la seconda tecnica più comune (14%), mentre il phishing è rimasto stabile (8%). In Italia, i malware sono stati responsabili del 51% degli attacchi, in netto aumento rispetto al 33% nel 2023. Gli attacchi DDoS sono scesi al 27%, ma sono rimasti significativi, anche per la loro connessione con fenomeni di hacktivism.

Settore governativo, militare e forze dell’ordine

Nel periodo 2019-2024, il settore governativo ha subito 1.359 attacchi di particolare gravità, con un incremento del 63% nel primo semestre 2024 rispetto all’anno precedente. I principali responsabili sono stati il cybercrime (72%), seguito da hacktivism (15%). L’Europa è stata la regione più colpita nel settore governativo, con il 43% degli attacchi.

Il Rapporto Clusit 2024 – edizione di fine anno

Il Rapporto Clusit 2024 include inoltre approfondimenti su tematiche emergenti, come la cybersecurity nel settore manifatturiero e nelle piccole e medie imprese. Inoltre, vengono presentati articoli su temi specifici come la cyber resilience nell’era del quantum e l’uso dell’AI per migliorare la rilevazione e la risposta agli attacchi. Il rapporto comprende anche rilevazioni e segnalazioni delle attività svolte dalla Polizia Postale e dalla Sicurezza Cibernetica, evidenziando la crescente necessità di protezione e sensibilizzazione contro le minacce cibernetiche in tutti i settori.

Scarica il Rapporto Clusit 2024 – Edizione di metà anno, ottobre 2024 sul sito ufficiale di Clusit al seguente link

https://clusit.it/rapporto-clusit/

L'articolo Rapporto Clusit 2024 – Edizione di metà anno, ottobre 2024 proviene da Rivista Cybersecurity Trends.

Si è svolta a Roma la sesta edizione di BlueOLEx, l’esercitazione europea sulla gestione delle crisi cibernetiche, organizzata dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) e ospitata, per la prima volta, dall’Agenzia per la Cybersicurezza Nazionale (ACN). L’evento ha riunito le autorità responsabili della sicurezza informatica dei paesi membri dell’UE, insieme a rappresentanti della Commissione Europea e di ENISA, con l’obiettivo di testare la capacità di risposta comune contro minacce cyber su larga scala. Alla luce dell’era NIS2, l’edizione di quest’anno si è basata sullo scenario di Cyber ​​Europe 2024 e ha testato il livello esecutivo della cooperazione nell’ecosistema dell’UE.

Focus su cooperazione e resilienza

L’esercitazione ha rappresentato un’opportunità importante per valutare e potenziare la cooperazione tra gli Stati membri e la rete EU-CyCLONe. Creata nel 2020 su impulso italiano e francese e formalizzata dalla Direttiva NIS2 in vigore dal gennaio 2023, EU-CyCLONe rappresenta il pilastro della collaborazione europea in risposta a emergenze cibernetiche. Coinvolgendo i responsabili della gestione delle crisi cyber a livello europeo, l’evento ha permesso di valutare le modalità di interazione e di rafforzare la fiducia reciproca, essenziali per una risposta rapida e coordinata alle crisi cibernetiche. Questa esercitazione prosegue l’impegno intrapreso con Cyber Europe 2024, tenutasi a luglio, che simulava attacchi contro infrastrutture energetiche europee.

Il coordinatore per l’Italia, lammiraglio Gianluca Galasso, ha evidenziato il valore della cooperazione: “È essenziale, per gli Stati membri, confrontarsi periodicamente sulle crisi cyber, per costruire prassi comuni che permettano una risposta coerente e proattiva alle emergenze future. L’esercitazione è stata un’opportunità preziosa per scambiare idee e consolidare la fiducia tra i membri della rete. Lo scenario simulato ha confermato l’importanza della resilienza cibernetica di ogni Stato membro, soprattutto in settori interconnessi come quello energetico.”

Un progresso significativo per la sicurezza cyber europea

BlueOLEx 2024 rappresenta un passo avanti cruciale verso una gestione integrata della sicurezza informatica in Europa, contribuendo a migliorare il coordinamento tra le infrastrutture critiche e rafforzando la capacità di risposta a incidenti cyber su larga scala. Quest’anno, per la prima volta, gli esperti tecnici hanno partecipato in veste di osservatori, apportando competenze che saranno utili nella revisione del Blueprint sulla risposta coordinata alle crisi cibernetiche.

Con il contributo di ENISA e della Presidenza del Consiglio dell’UE, l’edizione di quest’anno ha dato prova dell’efficacia della collaborazione europea nel fronteggiare le sfide della cybersicurezza, ponendo le basi per strategie sempre più avanzate di difesa collettiva.

https://www.acn.gov.it/portale/en/w/acn-ospita-blueolex-2024-esercitazione-europea-di-gestione-delle-crisi-cyber

https://www.enisa.europa.eu/news/blueolex-2024-exercise-eu-cyclone-test-its-cyber-crisis-response-preparedness
 

L'articolo BlueOLEx 2024: ACN ospita l’esercitazione europea gestione crisi cyber proviene da Rivista Cybersecurity Trends.

Nella settimana dal 2 all’8 novembre, il CERT-AGID ha identificato 41 campagne malevole in Italia, 26 delle quali mirate a obiettivi italiani e 15 di natura generica che hanno comunque coinvolto il territorio nazionale. Parallelamente, il CSIRT Italia ha pubblicato il report relativo ai dati rilevati durante la sua settimana cibernetica, tra cui la diffusione di un nuovo trojan bancario e una campagna malevola che sfrutta il tema dell’Agenzia per la Cybersicurezza Nazionale (ACN) per colpire gli utenti.

Temi principali delle campagne malevole in Italia

I temi sfruttati per veicolare le campagne malevole sul territorio italiano sono stati 20. Tra i principali:

1. Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
2. Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che distribuiscono i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
3. Avvisi di sicurezza – Argomento utilizzato in una campagna generica di phishing ai danni di AVG e in due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
4. Documenti – Tema sfruttato per una campagna di phishing generica ai danni di utenti Microsoft, per una italiana che simula una comunicazione di una Webmail e per una campagna italiana di phishing ai danni di utenti Telegram.

Gli altri temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi significativi:

• Malspam PEC: nuova ondata italiana di email PEC malevole per distribuire il malware Vidar tramite link al download di file VBS. CERT-AGID, insieme ai gestori PEC, ha attivato misure di contrasto.
• Phishing contro l’Università di Pisa: identificata una campagna di phishing che utilizza una falsa pagina con il logo dell’ateneo per sottrarre le credenziali di accesso degli utenti. La pagina fraudolenta è ospitata su un dominio Weebly. CERT-AGID ha condiviso gli indicatori di compromissione (IoC) e richiesto il takedown del sito fraudolento.
• Phishing su Telegram: scoperta una campagna di phishing italiana veicolata tramite chat Telegram che tenta di impossessarsi delle sessioni degli utenti. Le vittime ricevono messaggi che invitano a cliccare su un link. Dettagli sono stati diffusi sul canale Telegram ufficiale del CERT-AGID.

 Malware della settimana

Le famiglie di malware che hanno colpito il Paese sono state otto. Tra le campagne malware più rilevanti:

1. AgentTesla – Diffuso tramite email a tema “Ordine” e “Preventivo” con allegati ZIP e TAR.
2. FormBook – Rilevato in una campagna italiana a tema “Contratti”, diffuso tramite email con allegati IMG.
3. Vidar – Distribuito via PEC a tema “Pagamenti” con link al download di VBS.
4. Irata –Scoperta una campagna italiana a tema “Bankin” che veicola l’APK malevolo tramite SMS.
5. Remcos – diffuso tramite una campagna generica a tema “Ordine”, via email con allegato RAR.
6. VIPKeylogger – Diffuso tramite campagna italiana a tema “Ordine”, via email con allegato DOC.
7. BingoMod – Sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
8. Snake Keylogger – Distribuito tramite email a tema “Ordine” con allegato Z.

I brand sfruttati nelle campagne di phishing sono stati 17, con prevalenza per Aruba, Zimbra, Microsoft e Webmail generica.

Aggiornamenti dal CSIRT Italia

Il CSIRT Italia ha pubblicato il report delle notizie relative alla diffusione in Italia del nuovo trojan bancario denominato “ToxicPanda” e della campagna malevola che sfrutta il nome dell’Agenzia per la Cybersicurezza Nazionale (ACN), nonché di tutti gli aggiornamenti di sicurezza segnalati per diversi prodotti, tra cui Palo Alto Networks, Google, Synology, Veeam, Netgear, Cisco, Android, e QNAP. In particolare, è stato segnalato l’aumento di rischio per vulnerabilità (CVE) nei seguenti prodotti:

• Ivanti CSA: CVE-2024-8963
• IBM Operational Decision Manager: CVE-2024-22319
• Plugin WordPress “Paid Memberships Pro”: CVE-2023-23488 (PoC disponibile)

Raccomandazioni

CERT-AGID ha condiviso con gli enti accreditati 255 indicatori di compromissione per aiutare nella prevenzione e nel contrasto delle minacce. Il CSIRT Italia raccomanda di aggiornare i prodotti coinvolti per ridurre il rischio di attacchi.

Per maggiori dettagli, si rimanda ai seguenti link:

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-novembre/

https://www.csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-novembre-2024

L'articolo CERT-AGID e CSIRT Italia: minacce cibernetiche a novembre proviene da Rivista Cybersecurity Trends.

La terza edizione dell’OpenText Global Ransomware Survey fornisce un’analisi approfondita delle attuali minacce ransomware, evidenziando l’impatto degli attacchi alla supply chain, l’aumento dei pagamenti di riscatto e l’influenza crescente dell’intelligenza artificiale generativa. Secondo l’analisi, il 62% degli intervistati ha subito un attacco ransomware proveniente da un partner della supply chain software nell’ultimo anno, a dimostrazione della crescente minaccia di queste vulnerabilità.

Gli attacchi alle supply chain continuano ad essere una delle principali preoccupazioni, con i criminali informatici che si avvalgono di risorse sempre più sofisticate, come l’intelligenza artificiale generativa, per perfezionare le loro tecniche di phishing. I dati del Data Breach Investigations Report 2024 di Verizon mostrano che il costo medio delle violazioni estorsive, che includono ransomware, è di circa 46.000 dollari, con punte che vanno da 3.000 a oltre 1 milione di dollari.

 I principali risultati dell’indagine includono:

• Gli intervistati sono in gran parte preoccupati per gli attacchi alla supply chain. Coloro che hanno segnalato un attacco ransomware quest’anno ritiene sono che provenisse dalla loro supply chain.
• Il 40% degli intervistati dichiara di aver subito o di non sapere di essere stato colpito da un attacco ransomware proveniente da un partner della supply chain.
• Tra gli intervistati che hanno subito un attacco ransomware nell’ultimo anno, il 62% è stato colpito da un attacco ransomware proveniente da un partner della supply chain e il 90% prevede di aumentare la collaborazione con i fornitori di software per migliorare le pratiche di sicurezza nel prossimo anno.
• La maggioranza degli intervistati (91%) è preoccupata per gli attacchi ransomware alla supply chain a valle di un’azienda, a terze parti e ai partner collegati.
• Alla domanda se le recenti violazioni da parte di fornitori chiave del settore come Change Healthcare, Ascension e CDK Global, che hanno causato interruzioni e perdite specifiche del settore, li abbiano resi più preoccupati di essere colpiti da un attacco alla supply chain, quasi la metà (49%) si è dichiarata più preoccupata, abbastanza da prendere in considerazione l’idea di apportare modifiche al fornitore.
• Quasi tre quarti degli intervistati (74%), compresi coloro che hanno subito un attacco ransomware nell’ultimo anno, hanno un processo formale per valutare le pratiche di sicurezza informatica dei propri fornitori di software. Un sorprendente 26% non lo possiede o non lo sa.
• Quasi tre quarti delle aziende hanno subito un attacco ransomware quest’anno; le PMI sono state colpite più delle grandi aziende.
• Del 48% degli intervistati che hanno subito un attacco ransomware, il 73% ha subito un attacco ransomware nell’ultimo anno, solo un quarto non ne ha subito uno (25%) e il 2% ne è a conoscenza.
• Più PMI rispetto alle grandi aziende hanno subito un attacco ransomware. Oltre tre quarti (76%) delle PMI hanno segnalato di aver subito un attacco ransomware nell’ultimo anno, mentre il 70% delle grandi aziende ha segnalato di aver subito un attacco ransomware nell’ultimo anno.
• Di coloro che hanno subito un attacco ransomware nell’ultimo anno, poco meno della metà (46%) ha pagato il riscatto. Il 31% dei loro pagamenti di riscatto è stato compreso tra 1 milione e 5 milioni di dollari. Allo stesso tempo, quasi tutti (97%) hanno ripristinato con successo i dati della propria organizzazione. Solo il 3% non ci è riuscito.
• Gli intervistati hanno subito un numero maggiore di attacchi di phishing a causa del crescente utilizzo dell’intelligenza artificiale, soprattutto tra coloro che hanno subito un attacco ransomware.
• Oltre la metà (55%) degli intervistati ha affermato che la propria azienda è maggiormente esposta al rischio di subire un attacco ransomware a causa del crescente utilizzo dell’intelligenza artificiale tra gli autori delle minacce.
• Quasi la metà (45%) degli intervistati ha osservato un aumento degli attacchi di phishing dovuto al maggiore utilizzo dell’IA. Tra coloro che hanno subito un attacco ransomware, il 69% ha osservato un aumento degli attacchi di phishing dovuto al maggiore utilizzo dell’IA.
• Le organizzazioni, comprese le PMI, continuano a investire di più nella sicurezza del cloud e nella formazione sulla sicurezza e sul phishing.
• La sicurezza nel cloud è l’area della sicurezza informatica in cui, secondo gli intervistati, le loro aziende investono di più (66%).
• Nel 2024, il 62% degli intervistati SMB sta investendo di più nella sicurezza del cloud. Al contrario, nel 2023, il 56% stava investendo di più nella sicurezza del cloud. Nel 2022, solo il 39% degli intervistati SMB stava utilizzando soluzioni di sicurezza del cloud.
• La maggioranza (91%) degli intervistati ha affermato che le proprie aziende richiedono ai dipendenti di partecipare a corsi di formazione sulla sicurezza o sul phishing. Solo il 9% non lo fa. Nel 2024, il 66% ha condotto almeno una formazione trimestrale.
• Rispetto al 2023 e al 2022, le organizzazioni richiedono ai dipendenti di partecipare più frequentemente alla formazione awareness. Nel 2023, solo il 39% ha condotto la formazione una volta al trimestre. Nel 2022, solo il 24% delle PMI ha condotto la formazione una volta al trimestre.

“Le PMI e le aziende stanno intensificando i loro sforzi contro il ransomware, dalla valutazione dei fornitori di software all’implementazione di soluzioni cloud e all’aumento della formazione dei dipendenti. Tuttavia, l’aumento delle organizzazioni che pagano il riscatto non fa che incoraggiare i criminali informatici, alimentando attacchi più implacabili”, ha affermato Muhi Majzoub, vicepresidente esecutivo e responsabile dei prodotti di OpenText. “Le aziende devono difendersi in modo proattivo da minacce sofisticate come le vulnerabilità della supply chain e gli attacchi basati sull’intelligenza artificiale, garantendo al contempo la resilienza tramite backup dei dati e piani di risposta, per evitare di dare potere agli stessi criminali che cercano di sfruttarli”.

Per saperne di più sui risultati, guarda l’infografica o visita il blog di OpenText.

https://investors.opentext.com/press-releases/press-releases-details/2024/OpenText-Cybersecuritys-2024-Ransomware-Survey-Supply-Chain-Attacks-Surge-Ransom-Payments-Persist/default.aspx – :~:text=Over three-quarters (76%25),46%25) paid the ransom.

L'articolo OpenText Cybersecurity 2024 Global Ransomware Survey proviene da Rivista Cybersecurity Trends.

L’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) ha rilasciato una bozza delle sue linee guida tecniche che sta sviluppando per aiutare gli Stati membri e le entità dell’UE nell’applicazione dei requisiti di sicurezza informatica della direttiva NIS2, come stabilito dal regolamento (UE) 2024/2690 della Commissione Europea.

Questa guida tecnica fornisce:

• Consigli dettagliati su come implementare un requisito e ulteriori spiegazioni sui concetti e sui termini utilizzati nel testo giuridico;
• Esempi pratici per valutare se un requisito è stato soddisfatto;
• Tabelle comparative tra i requisiti di sicurezza previsti dal regolamento di esecuzione con gli standard europei e internazionali, nonché con i quadri normativi nazionali.

ENISA invita tutte le parti interessate a fornire commenti sulle linee guida tecniche per la legge attuativa NIS2 sulle misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali entro il 9 dicembre 2024, ore 18:00 CET, tramite il link alla bozza delle linee guida e seguendo le istruzioni fornite.

Contesto

La direttiva NIS2 è la nuova legislazione UE per rafforzare la sicurezza informatica e la resilienza nei settori critici europei. Gli Stati membri erano tenuti a recepirla entro il 17 ottobre 2024. ENISA ha anche pubblicato materiale informativo, come video e infografiche, per spiegare i concetti principali della direttiva.

La guida tecnica è stata sviluppata in collaborazione con la Commissione Europea e i rappresentanti degli Stati membri all’interno del NIS Cooperation group (NIS CG).

https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

L'articolo Richiesta feedback: linee guida tecniche ENISA per attuazione NIS2 proviene da Rivista Cybersecurity Trends.

Amazon ha confermato una violazione dei dati che ha esposto informazioni di contatto dei suoi dipendenti a causa dell’attacco informatico MOVEit del maggio2023. L’azienda ha dichiarato che i dati sono stati rubati a un fornitore esterno di gestione immobiliare.

In una dichiarazione a TechCrunch, il portavoce di Amazon, Adam Montgomery, ha spiegato che i sistemi di Amazon e AWS non sono stati compromessi, ma sono stati informati di un “evento di sicurezza” che ha coinvolto uno dei loro fornitori. Le informazioni esposte includono indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli uffici dei dipendenti.

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli edifici”, ha affermato Montgomery.

Amazon non ha specificato quanti dipendenti siano stati colpiti dalla violazione, ma ha chiarito che il fornitore non aveva accesso a dati sensibili come numeri di previdenza sociale o informazioni finanziarie. La vulnerabilità che ha permesso la violazione è stata risolta dal fornitore.

La conferma arriva dopo che un autore di minacce, noto come “Nam3L3ss”, ha dichiarato di aver pubblicato i dati su BreachForums, un forum di hacking. Questo individuo sostiene di avere oltre 2,8 milioni di record di dati rubati, non solo da Amazon ma anche da altre 25 importanti organizzazioni.

La violazione è collegata agli attacchi del maggio 2023 al sistema di trasferimento file MOVEit di Progress Software, uno degli incidenti di cybersecurity più gravi dell’anno.

https://securityaffairs.com/170804/data-breach/amazon-employee-data-breach-may-2023-moveit-attacks.html

L'articolo Amazon conferma violazione dati dei dipendenti proviene da Rivista Cybersecurity Trends.

Gli esperti di sicurezza di Securonix hanno scoperto una campagna di attacco, chiamata CRON#TRAP, che rappresenta una nuova minaccia per la sicurezza dei sistemi informatici. Questa campagna si basa su una tecnica sofisticata che prevede l’utilizzo di un ambiente Linux emulato per consentire agli attaccanti di mantenere la persistenza all’interno dei dispositivi infetti.

L’attacco si avvia con un file di collegamento (.lnk) malevolo che, una volta eseguito, estrapola un ambiente Linux, emulato tramite QEMU, un software di virtualizzazione open-source comunemente utilizzato per scopi legittimi. Questo ambiente Linux emulato è preconfigurato con una backdoor, che stabilisce una connessione automatica a un server di comando e controllo (C2) gestito dagli attaccanti. Questa tecnica consente loro di operare in modo nascosto, rendendo particolarmente difficile il rilevamento da parte dei software antivirus tradizionali.

Il vettore di attacco iniziale non è stato ancora confermato, ma i ricercatori ritengono che possa trattarsi di un’email di phishing contenente un link per scaricare un file zip dannoso. Il tema sembra essere correlato a un sondaggio, poiché il nome del file ZIP e il file di collegamento erano denominati “OneAmerica Survey.zip” e “OneAmerica Survey.lnk”. Questo file zip, contiene il file .lnk che avvia l’ambiente emulato. Mentre l’utente vede un messaggio di errore, l’ambiente Linux emulato, chiamato “PivotBox”, continua a funzionare in background. Questo ambiente permette agli attaccanti di eseguire comandi, installare strumenti e persino stabilire un canale di esfiltrazione dei dati, ottenendo così il controllo completo del sistema infetto.

Sebbene non sia stato possibile attribuire con certezza la campagna a un gruppo specifico né identificare con precisione le vittime, in base ai dati di telemetria raccolti, la maggior parte delle attività sembra provenire da fonti situate negli Stati Uniti e in Europa. Inoltre, il linguaggio utilizzato nella campagna e la posizione dei server di comando e controllo negli Stati Uniti suggeriscono che il Nord America potrebbe essere stato uno degli obiettivi principali.

La campagna CRON#TRAP rappresenta una minaccia significativa per la sua capacità di nascondersi e aggirare i controlli di sicurezza tradizionali, combinando tecniche di phishing con l’uso innovativo di ambienti virtuali.

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

https://www.securityinfo.it/2024/11/13/scoperto-crontrap-un-ambiente-linux-emulato-che-installa-una-backdoor/

L'articolo CRON#TRAP: nuova minaccia con ambienti Linux emulati proviene da Rivista Cybersecurity Trends.

Il CERT-AGID ha individuato una campagna di phishing che sfrutta DocuSign, nota piattaforma largamente utilizzata per la firma elettronica e la gestione dei documenti digitali. In questa ondata di attacchi, i malintenzionati inviano email contraffatte contenenti allegati HTML appositamente progettati per rubare le credenziali degli utenti, consentendo agli aggressori di accedere ai loro account e alle informazioni sensibili.

Come avviene l’attacco

L’attacco comincia con un’email apparentemente autentica che invita gli utenti ad aprire un allegato HTML. Una volta aperto, si viene indirizzati a una pagina web contenente un modulo di login che imita fedelmente l’interfaccia di quello di DocuSign. L’obiettivo, come dedotto dal codice JavaScript incluso nel file HTML, è quello di inviare le credenziali della vittima a un bot Telegram gestito dai cybercriminali.

Perché DocuSign è un obiettivo interessante per i criminali informatici?

DocuSign è utilizzato da professionisti e aziende per firmare digitalmente contratti e documenti riservati. Con l’accesso a un account DocuSign, i criminali possono ottenere documenti riservati, contratti e informazioni personali per commettere frodi o creare contratti falsi. Inoltre, le credenziali trafugate possono essere vendute nel dark web, aumentando le possibilità di ulteriori abusi da parte di altri malintenzionati, aumentando ulteriormente il rischio per le vittime.

Il CERT-AGID ha prontamente emesso l’avviso pubblico e comunicato, attraverso il Flusso IoC, l’unico indicatore utile: l’URL del bot Telegram utilizzato per la trasmissione delle credenziali. Tuttavia, gli hash del file HTML variano di volta in volta, poiché i truffatori personalizzano ogni file con l’indirizzo email del destinatario, rendendo più difficile il rilevamento automatico.

Per proteggersi da minacce come questa, il CERT-AGID raccomanda di rimanere vigili e informati sulle minacce di phishing per tutelare i propri dati, prestare attenzione a comunicazioni sospette e adottare semplici precauzioni che possono fare la differenza nella salvaguardia delle informazioni personali e professionali.

https://cert-agid.gov.it/news/false-notifica-docusign-credenziali-trasmesse-a-bot-telegram/

L'articolo Phishing: falsa notifica DocuSign ruba credenziali proviene da Rivista Cybersecurity Trends.

Il Disegno di Legge sull’Intelligenza Artificiale, in esame al Senato, ha ricevuto 409 emendamenti, mirati a regolamentare l’uso e lo sviluppo dell’IA in Italia con un approccio che bilancia innovazione e tutela dei diritti. Tra le proposte principali, si trova l’idea di un monitoraggio costante dei consumi energetici dei data center, per rendere più sostenibile l’infrastruttura digitale. Inoltre, si prevede una strategia per integrare l’IA nel sistema giudiziario, con l’obiettivo di ottimizzare i processi legali mantenendo al contempo la supervisione umana, per limitare i rischi e massimizzare i benefici dell’automazione.

Un aspetto rilevante è la proposta di istituire un’autorità indipendente che vigili sull’impatto dell’IA sui diritti fondamentali, sulla privacy e sull’ambiente, garantendo che l’uso di tali tecnologie non crei rischi sociali, economici o ambientali. Si pone anche l’accento sull’importanza di mantenere il controllo umano nelle decisioni cruciali, preservando autonomia e responsabilità nelle scelte determinanti.

Altre misure avanzate mirano a garantire parità di genere nei sistemi di IA, per evitare distorsioni o discriminazioni, e a promuovere la diversità linguistica, rendendo l’IA accessibile anche nelle lingue minoritarie del Paese. L’impatto dell’IA sul lavoro è un altro tema centrale, con l’invito a considerare le implicazioni occupazionali delle tecnologie digitali in conformità con l’articolo 35 della Costituzione, per salvaguardare il diritto al lavoro.

Sul fronte della protezione dei dati, il Ddl richiede trasparenza nell’utilizzo dei dati personali e piena conformità alle normative europee GDPR e AI Act. Le pubbliche amministrazioni, inoltre, dovranno coinvolgere la cittadinanza con consultazioni pubbliche prima di adottare sistemi di IA. È prevista anche la richiesta di un consenso esplicito per l’uso dei dati personali a fini di addestramento dell’IA.

Per tutelare ulteriormente la privacy, il testo vieta l’uso dell’IA per attività di scraping online non autorizzate e impone il principio di “privacy by design” per minimizzare la raccolta dei dati necessari. I fornitori di IA selezionati dalla pubblica amministrazione dovranno ottenere certificazione ISO, in modo da garantire elevati standard di sicurezza e conformità.

Nel settore infrastrutturale e ambientale, l’IA potrebbe essere impiegata per monitorare la qualità dell’aria e lo stato di strade, ponti e acquedotti, consentendo interventi tempestivi in caso di necessità. In linea con la sovranità digitale, si raccomanda di conservare ed elaborare i dati sensibili su server situati in Italia e di preferire modelli IA sviluppati in lingua italiana.

Sul fronte della sicurezza, il Ddl stabilisce che l’IA non possa essere utilizzata per scopi offensivi e che il suo impiego sia permesso solo per difesa, sotto il controllo umano. Per monitorare tali aspetti, è proposto un comitato etico nazionale che riferirà periodicamente al Parlamento.

In ambito sanitario, si prospetta una sperimentazione per valutare l’impiego dell’IA a supporto della salute pubblica, attraverso una gestione sicura e trasparente dei dati sanitari. La proposta prevede anche l’obbligo di segnalare chiaramente i contenuti creati o alterati dall’IA, assicurando che gli utenti possano distinguere tra contenuti autentici e generati artificialmente. In sintesi, il Ddl sull’Intelligenza Artificiale punta a introdurre un quadro normativo che consenta di sfruttare le potenzialità dell’IA nel rispetto dei diritti fondamentali, della sicurezza e dei valori sociali ed economici italiani.

In sintesi, il Ddl sull’Intelligenza Artificiale punta a introdurre un quadro normativo che consenta di sfruttare le potenzialità dell’IA nel rispetto dei diritti fondamentali, della sicurezza e dei valori sociali ed economici italiani.

https://www.key4biz.it/ddl-intelligenza-artificiale-dai-consumi-elettrici-allautorita-dedicata-pioggia-di-emendamenti-al-senato/511944/

L'articolo DDL Intelligenza Artificiale: 409 emendamenti per rafforzare la sicurezza in Italia proviene da Rivista Cybersecurity Trends.

Mozilla ha rilasciato una serie di aggiornamenti di sicurezza per il popolare client di posta elettronica Thunderbird, dopo aver individuato una vulnerabilità di gravità “alta” che potrebbe mettere a rischio la sicurezza degli utenti.

La vulnerabilità, identificata come CVE-2024-11159, è di tipo “Information Disclosure” e potrebbe permettere l’esposizione di informazioni sensibili se sfruttata da un malintenzionato.

Le versioni di Thunderbird interessate includono la 132.x, precedenti alla 132.0.1, e la 128.4.x, prima della 128.4.3. Gli utenti che utilizzano queste versioni sono quindi fortemente incoraggiati ad aggiornare tempestivamente il loro software per evitare potenziali rischi.

 Per mitigare il problema, Mozilla ha rilasciato gli aggiornamenti necessari e ha esortato tutti gli utenti di Thunderbird a seguire le istruzioni fornite nei bollettini di sicurezza. Il CSIRT Italia, in linea con le dichiarazioni del vendor, raccomanda di aggiornare i prodotti vulnerabili per evitare exploit.

https://www.csirt.gov.it/contenuti/mozilla-vulnerabilita-nel-software-thunderbird-al01-241114-csirt-ita

L'articolo Mozilla rilascia aggiornamenti per vulnerabilità in Thunderbird proviene da Rivista Cybersecurity Trends.