CyberSecurity

Il malware Vidar ha ripreso a colpire le caselle di posta elettronica italiane, impiegando nuove tattiche e utilizzando come sorgente di attacco caselle PEC compromesse. L’obiettivo è sottrarre informazioni sensibili e credenziali.

In questa nuova campagna gli attaccanti hanno ripristinato l’uso di file VBS dai quali viene eseguito uno script PS1, e utilizzato oltre 100 domini distinti dai quali sono stati generati randomicamente un totale di quasi un migliaio di sottodomini per il download del file VBS.

Un aspetto significativo è che le URL per il download sono rimaste inattive durante la fase di attacco iniziale, attivandosi poi a partire dalla mattina del 18 novembre, suggerendo una pianificazione strategica degli aggressori che potrebbero aver scelto di attivare i link in un momento specifico per massimizzare l’impatto.

La strategia di lanciare una nuova campagna ogni domenica sembra essere ormai una tattica consolidata, probabilmente per colpire le vittime all’inizio della settimana lavorativa, quando sono più propensi a fidarsi delle nuove comunicazioni ricevute. Le PEC compromesse vengono utilizzate come veicolo per ingannare i destinatari, facendoli ritenere i messaggi legittimi e affidabili.

Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle comunicazioni ricevute via PEC, in particolare quando contengono link ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

https://cert-agid.gov.it/news/il-malware-vidar-evolve-con-nuove-strategie-di-diversificazione-dei-domini/

L'articolo Vidar attacca PEC italiane la domenica con nuove strategie proviene da Rivista Cybersecurity Trends.

La sicurezza informatica è uno dei campi in più rapida crescita a livello globale, ma la strada per costruire una forza lavoro adeguatamente qualificata resta tutt’altro che semplice. In un panorama in cui le minacce informatiche evolvono continuamente, i datori di lavoro faticano a trovare talenti adeguati, mentre i professionisti emergenti spesso incontrano ostacoli significativi per entrare nel settore.

Per affrontare questa sfida, il National Institute of Standards and Technology (NIST) sta promuovendo il modello di registered apprenticeship come una soluzione pratica ed efficace per formare nuovi talenti nella sicurezza informatica. Durante la Settimana nazionale dell’apprendistato, che si celebra dal 17 al 23 novembre 2024, il NIST invita datori di lavoro e aspiranti professionisti a considerare gli apprendistati come una via per costruire una forza lavoro resiliente e altamente qualificata.

Cos’è un apprendistato in cybersecurity?

Un apprendistato è un programma di formazione retribuito sul posto di lavoro che combina istruzione pratica e mentoring con l’apprendimento teorico. Gli aspiranti professionisti della sicurezza informatica acquisiscono competenze specifiche lavorando a stretto contatto con esperti del settore, riducendo il divario tra teoria e pratica.

Al termine del programma, i partecipanti non solo acquisiscono un’esperienza pratica ma ottengono anche certificazioni riconosciute a livello nazionale, che rappresentano un vantaggio competitivo nel mercato del lavoro.

Perché gli apprendistati sulla cybersecurity sono importanti

Secondo i dati del Dipartimento del Lavoro degli Stati Uniti (DOL), nel 2023 circa 61.000 persone hanno preso parte a programmi di apprendistato in sicurezza informatica, segnando una crescita del 254% negli ultimi cinque anni. Questo dato evidenzia l’efficacia degli apprendistati nel rispondere alla domanda del settore.

Come Iniziare

Che tu sia un datore di lavoro che cerca di attingere al crescente bacino di talenti o un candidato desideroso di lanciare una carriera nella sicurezza informatica, ci sono molte risorse che possono aiutarti. Ad esempio, puoi:

• Visita il sito Apprenticeship.gov del Dipartimento del Lavoro degli Stati Uniti.
• Esplora la NICE Apprenticeship Finder Map.
• Unisciti alla NICE Apprenticeships in Cybersecurity Community.
• Dai un’occhiata al documento NICE Cybersecurity Apprenticeships Community One-Pager .
• Esplora il NICE Workforce Framework for Cybersecurity per acquisire familiarità con i ruoli lavorativi e le relative conoscenze, competenze e attività coinvolte in questo settore in crescita.

Inoltre, intermediari come Safal Partners, in qualità di National Industry Intermediary for Cybersecurity Apprenticeship Expansion, offrono ai datori di lavoro consulenza gratuita e moduli pre-approvati per avviare o potenziare i loro programmi.

L’investimento negli apprendistati rappresenta un vantaggio reciproco: i datori di lavoro possono colmare rapidamente il gap di competenze, mentre gli aspiranti professionisti ottengono un percorso strutturato e retribuito verso una carriera gratificante.

Per ulteriori informazioni, visita il blog del NIST.

https://www.nist.gov/blogs/cybersecurity-insights/unlocking-cybersecurity-talent-power-apprenticeships

L'articolo Apprendistati e Cybersecurity: la soluzione NIST per sbloccare i talenti proviene da Rivista Cybersecurity Trends.

Viviamo in un’epoca in cui la comunicazione digitale è parte integrante della nostra quotidianità, ma questa connessione costante ci espone anche a rischi invisibili. Uno dei più comuni è il fenomeno dello spam, che spesso si presenta in forme subdole e difficili da riconoscere. In questo articolo, gli esperti di Cyberment ci guidano alla scoperta del sospetto spam, come identificarlo e, soprattutto, quali strategie adottare per proteggersi da queste minacce digitali. Un piccolo passo per salvaguardare la nostra sicurezza online e navigare con maggiore tranquillità.

«Il termine sospetto spam si riferisce a comunicazioni che, pur non essendo esplicitamente dannose per il dispositivo, mostrano caratteristiche che le rendono sospette. I sospetti di spam possono riguardare

• email
• SMS
• chiamate telefoniche

Tutti contenuti che mirano a ingannare l’utente per far sì che venga indotto a fornire informazioni personali, fare clic su link pericolosi o scaricare allegati potenzialmente infetti. È essenziale saper riconoscere e proteggersi da queste minacce per garantire la sicurezza dei propri dati e dispositivi.

Come riconoscere il sospetto spam via e-mail

Le email di sospetto spam sono messaggi che possono sembrare legittimi ma che contengono segnali di allarme.
Ecco alcune caratteristiche che spesso ritroviamo nei messaggi via posta elettronica che ci possono sembrare delle e-mail di spam:

1. Mittente sconosciuto o non riconosciuto

Se ricevi un’email da un mittente che non riconosci, trattala con cautela. Controlla sempre l’indirizzo email del mittente per verificare se corrisponde a quello di un’azienda o di una persona che conosci.

Molti cybercriminali usano indirizzi email che sembrano legittimi, ma che contengono lievi variazioni (es. anziché “bank.com”, “b4nk.com”).

1. Mittente sconosciuto o non riconosciuto
   Se ricevi un’email da un mittente che non riconosci, trattala con cautela. Controlla sempre l’indirizzo email del mittente per verificare se corrisponde a quello di un’azienda o di una persona che conosci. Molti cybercriminali usano indirizzi email che sembrano legittimi, ma che contengono lievi variazioni (es. anziché “bank.com”, “b4nk.com”).
2. Messaggi non sollecitati con offerte o premi
   Se l’email promette premi, regali o offerte troppo buone per essere vere, è probabile che si tratti di spam. Questi messaggi cercano di catturare la tua attenzione e farti cliccare su un link o scaricare un allegato dannoso.
3. Errori di grammatica o ortografia nel messaggio
   Le email di spam spesso contengono errori di grammatica, ortografia o formattazione. Questo può essere un segnale di allarme che il messaggio non proviene da una fonte affidabile.
4. Link sospetti o allegati inaspettati
   Non cliccare su link o scaricare allegati se non sei sicuro della loro provenienza. Passando il mouse sopra il link senza cliccare, puoi vedere l’URL effettivo; se sembra sospetto o non corrisponde al sito web legittimo, evita di cliccarlo.
5. Richieste di informazioni personali
   Le aziende legittime non ti chiederanno mai informazioni personali (come password o dettagli bancari) via email. Se un messaggio lo fa, è probabile che sia un tentativo di phishing.

Come identificare il sospetto di spam telefonico

Anche le chiamate spam rappresentano una crescente minaccia.

Le chiamate sospette possono provenire da numeri sconosciuti o utilizzando un’identità falsificata per apparire come un contatto locale o un ente affidabile.

Se il tuo interlocutore di chiamata ti invita a fornire dati personali, effettuare pagamenti immediati o accettare offerte troppo vantaggiose, potrebbe trattarsi di spam.

Spesso queste chiamate usano messaggi preregistrati per convincerti a seguire le istruzioni del truffatore.

Come riconoscere il sospetto spam via SMS

Anche gli SMS possono essere utilizzati come veicolo per il sospetto spam. Ecco cosa fare per identificarli:

1. Se ricevi un SMS da un numero sconosciuto o che non appare nei tuoi contatti, trattalo con sospetto, soprattutto se il messaggio contiene un link o un numero di telefono da chiamare.
2. Come per le email, non cliccare mai su link presenti in un SMS sospetto. Questi link possono indirizzarti a siti web dannosi che possono rubare le tue informazioni personali o installare malware sul tuo dispositivo.
3. Gli SMS di spam spesso contengono errori grammaticali o di ortografia, che possono indicare un tentativo di truffa.
4. Nessuna azienda legittima ti chiederà mai informazioni personali o finanziarie via SMS. Se ricevi un messaggio di questo tipo, non rispondere.
5. Se ricevi un SMS che afferma che hai vinto un premio o che offre una promozione non richiesta, è probabile che si tratti di un tentativo di phishing.

Come proteggerti dal sospetto spam

Proteggersi dal sospetto spam richiede una combinazione di strumenti tecnologici e buone pratiche di comportamento.
Innanzitutto, attiva i filtri anti-spam disponibili sul tuo client di posta elettronica e utilizza applicazioni specifiche per bloccare le chiamate indesiderate sul tuo smartphone, come TrueCaller o Hiya. Questi strumenti ti aiuteranno a identificare e bloccare molte delle comunicazioni sospette prima che possano raggiungerti.

Se ricevi un’email o un messaggio sospetto, evita di cliccare su link o scaricare allegati, a meno che tu non sia assolutamente certo della legittimità del mittente. Blocca immediatamente i mittenti sospetti e segnala eventuali email di phishing al tuo provider di posta elettronica per contribuire a migliorare la protezione contro lo spam.

Per ridurre le chiamate di spam telefonico, iscriviti al Registro Pubblico delle Opposizioni, che impedisce agli operatori di telemarketing di contattarti senza il tuo consenso. Inoltre, evita di fornire informazioni personali o finanziarie per telefono, email o SMS, a meno che tu non abbia verificato attentamente l’identità del destinatario. Se hai dubbi sulla legittimità di una richiesta, contatta direttamente l’organizzazione tramite i canali ufficiali indicati sul loro sito web.

È altrettanto importante mantenere aggiornati il sistema operativo, il browser e il software di sicurezza dei tuoi dispositivi. Gli aggiornamenti periodici aiutano a proteggerti dalle nuove vulnerabilità che i cybercriminali potrebbero sfruttare per attacchi di phishing e spam.

Infine, adotta un atteggiamento vigile e consapevole quando utilizzi strumenti digitali.

La tua capacità di riconoscere potenziali minacce, insieme all’uso di strumenti di protezione adeguati, rappresenta la migliore difesa contro il sospetto spam e le truffe online».

https://cyberment.it/phishing/sospetto-spam-cosa-significa-e-come-difendersi/

L'articolo Come difendersi dal sospetto spam proviene da Rivista Cybersecurity Trends.

È stata rilevata una nuova campagna di smishing che sfrutta indebitamente i nomi e i loghi riferibili ai servizi erogati dell’Istituto Nazionale della Previdenza Sociale (INPS), puntando a carpire dati sensibili degli utenti tramite SMS ingannevoli.

I malintenzionati inviano messaggi di testo che simulano comunicazioni ufficiali da parte di INPS, avvisando il destinatario della necessità di aggiornare il proprio profilo per evitare la sospensione dei benefici dell’Istituto.

Il testo diffuso è il seguente: “INPS INFORMA: Il tuo profilo INPS va aggiornato, rinnova i tuoi dati per evitare la sospensione da INPS, per continuare (link)”.

Qualora cliccato sul link, l’utente viene reindirizzato a una pagina web che replica l’aspetto dei portali ufficiali INPS, completa di loghi e riferimenti riconducibili ai servizi erogati da INPS. Qui, dopo aver inserito i parametri “nome” e “cognome” vengono presentate una serie di pagine malevole nelle quali si richiede di caricare documenti in formato digitale, quali carta di identità (fronte/retro) e persino un selfie con il documento visibile, per “confermare la corretta identità della vittima”.

Il CSIRT Italia raccomanda utenti e organizzazioni di verificare scrupolosamente le comunicazioni ricevute e attivare le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo.

Infine, raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)  forniti in allegato sito del CSIRT Italia al seguente link.

https://www.csirt.gov.it/contenuti/rilevata-nuova-campagna-di-smishing-a-tema-inps-al03-241120-csirt-ita

L'articolo Campagna di smishing: falsi SMS a nome INPS proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione Europea per la sicurezza informatica (ENISA) ha pubblicato il NIS Investments Report 2024, offrendo uno sguardo approfondito su come le organizzazioni europee stanno affrontando le sfide della sicurezza informatica in vista dell’implementazione della direttiva NIS 2.

Il report mira a fornire ai decisori politici dati per valutare l’efficacia del quadro di sicurezza informatica dell’UE, analizzando l’allocazione dei budget, lo sviluppo delle capacità e la maturità delle organizzazioni e mettendo in luce anche temi cruciali come l’impatto dell’intelligenza artificiale, le difficoltà di reclutamento nel settore e la preparazione per conformarsi alle nuove normative.

L’edizione 2024 del report si distingue per un campione ampliato, includendo nuovi settori ed entità previsti da NIS 2, e fornisce una panoramica pre-implementazione delle metriche rilevanti. Comprende un’analisi approfondita nei settori delle infrastrutture digitali e dello spazio, con dati raccolti da 1.350 organizzazioni in tutti i settori critici dell’UE, incluso il manifatturiero.

Risultati chiave

• La sicurezza informatica rappresenta ora il 9% degli investimenti IT dell’UE, con un aumento significativo di 1,9 punti percentuali rispetto al 2022, segnando il secondo anno consecutivo di crescita degli investimenti in sicurezza informatica dopo la pandemia.

• Nel 2023, la spesa IT media delle organizzazioni è salita a 15 milioni di euro, mentre la spesa per la sicurezza delle informazioni è raddoppiata, passando da 0,7 milioni di euro a 1,4 milioni di euro.

• Per il quarto anno consecutivo, la percentuale di IT Full Time Equivalent (FTE) dedicata alla sicurezza informatica è diminuita, dall’11,9% all’11,1%. Questa diminuzione potrebbe riflettere le sfide del reclutamento, con il 32% delle organizzazioni (e il 59% delle PMI) che hanno difficoltà a ricoprire ruoli di sicurezza informatica, in particolare quelli che richiedono competenze tecniche. Questa tendenza è particolarmente degna di nota dato che l’89% delle organizzazioni prevede di aver bisogno di personale aggiuntivo per la sicurezza informatica per conformarsi a NIS2.

• I nuovi settori NIS2 sono paragonabili in termini di spesa per la sicurezza informatica alle entità NIS Directive esistenti, con i loro investimenti ampiamente focalizzati sullo sviluppo e il mantenimento delle capacità di base per la sicurezza informatica. Le aree emergenti, come la crittografia post-quantistica, ricevono un’attenzione limitata, con solo il 4% delle entità intervistate che investono e il 14% che pianifica investimenti futuri.

• La maggior parte delle organizzazioni prevede un aumento una tantum o permanente dei budget per la sicurezza informatica per la conformità con NIS 2. In particolare, un numero considerevole di entità non sarà in grado di richiedere il budget aggiuntivo richiesto, una percentuale particolarmente elevata per le PMI (34%).

• Il 90% delle entità prevede un aumento degli attacchi informatici il prossimo anno, in termini di volume, costo o entrambi. Nonostante ciò, il 74% concentra i propri sforzi di preparazione alla sicurezza informatica internamente, con una partecipazione molto inferiore a iniziative a livello nazionale o UE. Questo divario sottolinea un’area critica di miglioramento, poiché un’efficace cooperazione transfrontaliera nella gestione di incidenti su larga scala può essere raggiunta solo a questi livelli più elevati.

• La consapevolezza complessiva tra le entità interessate è incoraggiante, con il 92% a conoscenza dell’ambito generale o delle disposizioni specifiche della direttiva NIS 2. Tuttavia, una percentuale notevole di entità in determinati nuovi settori NIS 2 non è a conoscenza della direttiva, il che suggerisce una potenziale necessità di campagne di sensibilizzazione più approfondite da parte delle autorità nazionali competenti.

• Le entità nei settori già coperti da NIS superano quelle appena incluse in NIS 2 in varie metriche di governance, rischio e conformità della sicurezza informatica. Analogamente, le entità nei nuovi settori NIS 2 mostrano un coinvolgimento inferiore e tassi di non partecipazione più elevati nelle attività di preparazione alla sicurezza informatica. Ciò evidenzia l’impatto positivo che la direttiva NIS ha avuto sui settori già inclusi e crea anticipazione per l’impatto che NIS 2 avrà sui nuovi settori.

Nel corso degli anni, i report sugli investimenti NIS hanno costruito un prezioso archivio di dati storici. Quest’anno, questi dati offrono una base solida per analizzare l’impatto di NIS 2 sulle nuove entità incluse nel suo ambito, fornendo preziose informazioni per valutazioni future.

Leggi il documento completo NIS Investments Report 2024

https://www.enisa.europa.eu/news/navigating-cybersecurity-investments-in-the-time-of-nis-2

L'articolo ENISA pubblica NIS Investments Report 2024 proviene da Rivista Cybersecurity Trends.

Inps Servizi S.P.A., società in house di INPS, ha subito un attacco ransomware che ha compromesso alcuni server, rendendo temporaneamente indisponibili alcuni applicativi gestionali e i dati forniti ai clienti. L’ente ha prontamente denunciato l’accaduto alle autorità competenti, secondo quanto riportato in una nota ufficiale.

Nonostante l’attacco, il Contact Center Multicanale, principale servizio di assistenza agli utenti, non è stato coinvolto e rimane operativo. Attualmente, sono in corso indagini per identificare i responsabili e ripristinare le infrastrutture compromesse in sicurezza.

Comunicazione di QuAS sull’Accaduto

Il sito di QuAS (Cassa Assistenza Sanitaria Quadri) che garantisce ai dipendenti “Quadro” assistenza sanitaria integrativa al Servizio sanitario nazionale, ha informato i propri utenti che Inps Servizi ha subito l’attacco ransomware il 18 novembre e precisato che i dati gestiti da Inps Servizi sono limitati al totale dei contributi aziendali, senza dettagli sui singoli dipendenti. Inoltre, ha dichiarato che l’attacco non ha avuto nessun effetto sui sistemi informatici di QuAS e che sono state avviate tutte le procedure necessarie, incluse le comunicazioni al Garante per la protezione dei dati personali.

Responsabilità dell’attacco

L’attacco sembrerebbe attribuibile al collettivo di criminal hacker Lynx. Al momento, il sito ufficiale di Inps Servizi (www.inpsservizi.it) risulta ancora inaccessibile.

Chi è Inps Servizi

Inps Servizi S.P.A., costituita l’11 giugno 2021, è una società per azioni in house providing interamente partecipata da INPS. La società fornisce servizi amministrativi, contabili e assistenziali a enti e casse previdenziali ed assistenziali pubblici e privati, oltre a gestire il Contact Center Multicanale per l’Istituto

https://www.rainews.it/articoli/2024/11/attacco-hacker-agli-archivi-di-inpsservizi-bloccati-alcuni-server-e-gli-applicativi-gestionali-e69705d8-3953-4967-adb6-833504956c5f.html

https://www.cybersecitalia.it/inps-servizi-s-p-a-sotto-scacco-da-un-ransomware/41204/

https://www.quas.it/Content/Index/POP UP

L'articolo Attacco ransomware a Inps Servizi proviene da Rivista Cybersecurity Trends.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le linee guida per rafforzare la resilienza in conformità alla legge n. 90 del 28 giugno 2024. Le linee guida, divise in due sezioni, definiscono le misure di sicurezza necessarie e le modalità consigliate per implementarle.

La prima parte individua le misure di sicurezza che i soggetti adottano per il rafforzamento della resilienza, la seconda supporta e indirizza i soggetti nell’implementazione delle misure, descrivendone le modalità di implementazione raccomandate.

Inoltre, tutti i soggetti previsti dalla legge sono tenuti a comunicare all’Agenzia la nomina del Referente per la cybersicurezza.

La comunicazione ad ACN deve avvenire tramite PEC all’indirizzo ufficiale dell’Agenzia (acn@pec.acn.gov.it). La comunicazione include la nomina firmata digitalmente e il modulo specifico compilato dal referente.

Il Referente per la Cybersicurezza avrà un ruolo cruciale nel coordinamento delle misure di sicurezza e nella gestione delle comunicazioni con l’ACN, contribuendo così al rafforzamento della protezione nazionale contro le minacce informatiche.

Scarica le linee guida – PDF

https://www.acn.gov.it/portale/en/linee-guida-rafforzamento-resilienza

L'articolo ACN: linee guida per resilienza e nomina del referente per la cybersicurezza proviene da Rivista Cybersecurity Trends.

L’INPS ha comunicato che l’attacco informatico subito da INPS Servizi SPA non ha avuto alcuna conseguenza sui sistemi e sulle funzionalità dell’Istituto, che sono pienamente operativi e non sono stati coinvolti nell’incidente. L’Istituto sta supportando INPS Servizi SPA per un rapido ripristino delle sue funzionalità.

“Non c’è stata nessuna conseguenza sui sistemi informatici di INPS a seguito dell’attacco hacker contro INPS Servizi SPA. Nella tarda giornata di ieri, INPS Servizi SPA ha correttamente comunicato, tramite una nota alle agenzie stampa, di essere stata oggetto di un violento attacco informatico.

L’Istituto precisa che INPS e INPS Servizi SPA sono due realtà distinte e rassicura cittadini e utenti che nessuna struttura informatica dell’INPS è stata interessata dall’attacco e che né le funzionalità né i sistemi dell’Istituto hanno subito compromissioni.

In queste ore INPS sta fornendo un attivo supporto tecnico e consulenziale per facilitare il rapido ripristino della piena operatività informatica di INPS Servizi SPA.”, si legge nel comunicato ufficiale di INPS.

https://www.inps.it/it/it/inps-comunica/notizie/dettaglio-news-page.news.2024.11.inps-nessuna-conseguenza-sui-nostri-sistemi-a-seguito-dell-attacco-hacker-contro-inps-servizi-spa.html

L'articolo INPS: nessuna conseguenza sui sistemi informatici proviene da Rivista Cybersecurity Trends.

Il 4 dicembre 2024 si terrà a Milano la XV Conferenza Nazionale sulla Cyber Warfare, un evento cruciale per il settore della sicurezza informatica. La conferenza, dal titolo “AI: L’Arma Definitiva per Rivoluzionare lo Scenario degli Attacchi e delle Difese Cyber”, si concentrerà sull’impatto trasformativo dell’intelligenza artificiale nel cyberspazio.

L’AI sta cambiando le strategie di difesa e attacco, rappresentando sia uno strumento di difesa che una potenziale minaccia caratterizzata da attacchi sempre più sofisticati che sfruttano algoritmi avanzati per eludere i sistemi di sicurezza tradizionali. Tuttavia, soluzioni basate sull’AI offrono nuovi metodi per l’individuazione proattiva delle minacce, l’analisi comportamentale e la possibilità di risposte automatizzate.

L’obiettivo della conferenza è fornire alle imprese una panoramica aggiornata su come sfruttare le potenzialità dell’AI per rafforzare le proprie difese e anticipare le mosse dei cyber-criminali, assicurando una protezione complessiva. Un’occasione unica per approfondire le sfide e le opportunità di un panorama in continua evoluzione.

L’evento si terrà presso il Palazzo dell’Aeronautica Militare e la partecipazione è gratuita previa registrazione.

Registrazione gratuita qui

https://www.eucacs.org/cwc-dicembre-2024/

L'articolo XV Conferenza Nazionale sulla Cyber Warfare proviene da Rivista Cybersecurity Trends.

Microsoft, con il supporto della Linux Foundation e delle autorità statunitensi, ha smantellato ONNX, una delle principali infrastrutture di Phishing-as-a-Service (PhaaS). Conosciuta anche come Caffeine o FUHRER, la piattaforma era un punto di riferimento per campagne globali di phishing. L’operazione, formalizzata attraverso un’ordinanza del tribunale distrettuale della Virginia, ha portato alla chiusura di 240 domini malevoli.

ONNX, attiva dal 2017, aveva guadagnato notorietà nella prima metà del 2024, offrendo strumenti sofisticati per attacchi di phishing a pagamento. I cybercriminali potevano abbonarsi a piani mensili che variavano tra 150 e 550 dollari, ricevendo kit preconfigurati, sistemi per bypassare l’autenticazione a due fattori (2FA) e hosting resistente ai blocchi. Si stima che dalla piattaforma partissero ogni mese decine di milioni di email fraudolente mirate a colpire aziende e utenti di servizi come Microsoft 365, Google e Dropbox.

Una delle tecniche più innovative adottate da ONNX era il “quashing”, un phishing che utilizza QR code malevoli inseriti in documenti PDF. Questo sistema ingannava le vittime, indirizzandole verso falsi portali di accesso simili a quelli autentici. L’approccio si dimostrava particolarmente insidioso nei contesti aziendali, sfruttando dispositivi personali integrati nei programmi BYOD (Bring Your Own Device), complicando il lavoro dei sistemi di sicurezza.

L’infrastruttura tecnica di ONNX includeva meccanismi per garantire l’efficacia e la persistenza degli attacchi. Tra questi, l’uso di JavaScript criptato per eludere i sistemi di rilevamento e hosting a prova di censura per rallentare la chiusura dei domini compromessi. Inoltre, integrava bot Telegram sia per il controllo delle campagne sia per gestire le interazioni in tempo reale con le vittime. Un elemento particolarmente pericoloso era la capacità di intercettare i codici 2FA, persino con account dotati di sistemi di autenticazione avanzati.

Il colpo di grazia a ONNX è arrivato grazie all’opera di un ricercatore di sicurezza, che ha identificato e reso pubblica l’identità del presunto responsabile della piattaforma. Questo ha permesso a Microsoft e alle autorità di intervenire tempestivamente, bloccando le operazioni della rete e sequestrando i domini utilizzati per le attività illecite.

https://blogs.microsoft.com/on-the-issues/2024/11/21/targeting-the-cybercrime-supply-chain/

https://www.securityopenlab.it/news/4315/microsoft-smantella-linfrastruttura-phaas-onnx.html

L'articolo Cybercrime: Microsoft smantella l’infrastruttura PhaaS ONNX proviene da Rivista Cybersecurity Trends.