CyberSecurity

Un recente studio condotto da Vanson Bourne per Sophos ha analizzato l’impatto delle soluzioni di sicurezza informatica sulle richieste di risarcimento assicurativo derivanti da attacchi informatici. I risultati dimostrano in modo chiaro che le organizzazioni che adottano servizi di Managed Detection and Response (MDR) subiscono danni finanziari significativamente inferiori rispetto a quelle che si affidano esclusivamente alla protezione degli endpoint.

La riduzione del valore dei sinistri: un dato chiave

Secondo lo studio, le richieste di risarcimento da parte delle aziende che utilizzano servizi MDR sono, in media, inferiori del 97,5% rispetto a quelle delle organizzazioni che si basano esclusivamente sulla protezione degli endpoint. Più precisamente:

• Le organizzazioni con MDR hanno richieste di risarcimento medie di 75.000 dollari, rispetto ai 3 milioni di dollari delle aziende che usano solo protezione endpoint.
• Le organizzazioni con soluzioni EDR/XDR registrano richieste di risarcimento mediamente pari a 500.000 dollari, ovvero un sesto rispetto agli utenti di sola protezione endpoint.
• Gli utenti MDR mostrano una maggiore prevedibilità nelle richieste di risarcimento, mentre gli utenti EDR/XDR hanno una variabilità molto più alta.

Il ruolo della prevedibilità e della resilienza

Un aspetto fondamentale emerso dalla ricerca riguarda la prevedibilità dei sinistri. Le richieste di risarcimento degli utenti MDR risultano essere le più stabili e prevedibili, grazie alla capacità di questi servizi di rilevare e neutralizzare rapidamente le minacce. Al contrario, le richieste di risarcimento degli utenti EDR/XDR sono le meno prevedibili, a causa della dipendenza dalla capacità dell’azienda di rispondere autonomamente alle minacce informatiche.

Tempi di recupero: MDR accelera la ripresa

L’analisi ha inoltre evidenziato differenze significative nei tempi di recupero dalle conseguenze di un cyberattacco:

• 47% delle organizzazioni con MDR si riprende completamente entro una settimana.
• Solo 18% degli utenti di endpoint e 27% degli utenti EDR/XDR riescono a recuperare nello stesso arco di tempo.
• Il tempo di recupero previsto per gli utenti MDR è di 3 giorni, mentre per gli utenti endpoint è di 40 giorni e per gli utenti EDR/XDR arriva fino a 55 giorni.

Implicazioni per le organizzazioni e gli assicuratori

Lo studio fornisce dati concreti per aiutare le aziende a valutare il ROI delle soluzioni di sicurezza informatica. Le organizzazioni possono ottimizzare gli investimenti in cybersecurity scegliendo strumenti che riducono l’impatto finanziario degli attacchi, mentre gli assicuratori possono affinare le loro strategie di pricing e gestione del rischio.

Conclusione

I dati confermano che la protezione informatica adottata influisce significativamente sui sinistri nel settore. Investire in soluzioni MDR riduce i danni economici degli attacchi, aumentando la resilienza per le aziende e riducendo i sinistri per le assicurazioni. Questi dati sono utili per ottimizzare la sicurezza e il ritorno sugli investimenti, oltre a supportare gli assicuratori nella gestione del rischio e nell’offerta di polizze adeguate.

https://news.sophos.com/it-it/2025/03/04/come-quantificare-il-roi-limpatto-dei-prodotti-e-dei-servizi-di-cybersecurity-sulle-richieste-di-risarcimento-assicurativo-in-ambito-informatico/

L'articolo ROI: l’impatto delle soluzioni di cybersecurity sulle richieste di risarcimento assicurativo proviene da Rivista Cybersecurity Trends.

Oggi, 5 marzo, ha preso il via a Roma CyberSec2025, l’evento di riferimento per la sicurezza cibernetica e la resilienza digitale, che proseguirà fino al 6 marzo. Promossa e organizzata dal giornale Cybersecurity Italia, la conferenza riunisce esperti del settore, aziende e istituzioni per discutere delle minacce cyber più attuali e delle strategie avanzate di protezione dei dati.

Quest’anno, l’attenzione è rivolta all’intelligenza artificiale, alla crittografia post-quantum, allo spionaggio cibernetico e alle implicazioni geopolitiche della sicurezza digitale. Il titolo dell’edizione 2025, “AI, Crittografia Post-Quantum, Spionaggio e Geopolitica: il nuovo mondo della Cybersecurity”, riflette le sfide globali che influenzano la cybersicurezza.

CyberSec2025 si terrà nei prestigiosi Saloni di Rappresentanza della Caserma dei Carabinieri “Salvo D’Acquisto” davanti a un pubblico selezionato e sarà trasmesso in diretta streaming. Tra i relatori figurano Vittorio Rizzi, Direttore Generale del DIS, Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, Mario Beccia, Vice Direttore delle Informazioni per la Cybersecurity della NATO, il Generale Salvatore Luongo, Comandante Generale dell’Arma dei Carabinieri, e Diego Brasioli, inviato speciale per la Cybersicurezza della Farnesina, insieme ad altri esperti di rilievo.

L’evento mira a favorire il dialogo tra esperti e decisori, con l’obiettivo di sviluppare strategie efficaci per la protezione delle infrastrutture digitali e la gestione del rischio cibernetico, contribuendo a una maggiore sicurezza nel panorama digitale.

Per maggiori dettagli e per seguire l’evento in diretta, visita il sito ufficiale: CyberSec2025.

https://www.cybersecitalia.events/cybersec2025/

L'articolo CyberSec2025 proviene da Rivista Cybersecurity Trends.

Cosa accadrebbe se un singolo hash compromesso aprisse le porte dell’intera rete?
L’autenticazione è una delle misure fondamentali per garantire l’accesso sicuro ai nostri account e servizi online, permettendoci di confermare la nostra identità e impedire accessi non autorizzati ai nostri dati sensibili. Tuttavia, quando un attore malevolo riesce a sfruttare le vulnerabilità intrinseche ai sistemi di autenticazione, il rischio diventa concreto e potenzialmente devastante.

Il Pass-the-Hash è un attacco che mette in discussione l’efficacia dei tradizionali sistemi di autenticazione, sfruttando una vulnerabilità insidiosa degli ambienti Windows. Questo tipo di attacco permette a un utente malintenzionato di autenticarsi su più sistemi di una stessa rete, bypassando le credenziali dell’utente.

In questo articolo, gli esperti di Cyberment analizzano nel dettaglio questa tipologia di attacco e forniscono consigli pratici per evitare di cadere vittima di un attacco Pass the Hash.

Cos’è Pass the Hash?

«Quando si parla di Pass the Hash (PtH) ci si riferisce a una tecnica di attacco che permette a un attore malevolo di realizzare simultaneamente più autenticazioni su più sistemi presenti sulla stessa rete, senza essere in possesso delle credenziali degli utenti. Emersa per la prima volta nel 1997, a seguito delle analisi condotte da Paul Ashton su una versione modificata del client Samba SMB, la sua peculiarità risiede tutta nell’utilizzo degli hash.

Questi altro non sono che rappresentazioni crittografiche unidirezionali delle password. In linea teorica un attore malevolo non sarebbe in grado di risalire alla password originale partendo da un singolo hash. Tuttavia, una criticità presente in Windows riesce a rendere ciò una realtà.

Il principale bersaglio di Pass the Hash sono le imprese e le organizzazioni.

Questo perché al loro interno si fa ancora uso di un sistema centralizzato per la condivisione di file, cartelle e utenze. In tal modo è più semplice per i dipendenti accedere a determinate risorse in modo agevole. La cosa è ulteriormente semplificata dall’adozione di un’identificazione unica, che prende il nome di Single Sign-On.

Ciò significa che un dipendente si autentica una singola volta per accedere ai sistemi e alle risorse concessi dal suo livello di privilegi.

Da ciò emerge subito la criticità intrinseca a questa “comodità”: tra i cybercriminali e gli asset aziendali si frappone una singola autenticazione facilmente compromettibile.

È in questo contesto dove la tecnica trova il suo terreno fertile. Poiché per l’attaccante non è necessario impossessarsi della password dell’utente, il suo obiettivo è unicamente quello di garantirsi l’accesso iniziale alla macchina della vittima e ottenere il suo hash. Nel momento in cui se ne impossessa, la barriera crolla e l’attore malevolo può accedere ai sistemi critici della compagnia. Questo comporta non solo la sottrazione di asset considerati importanti, ma anche la possibilità da parte sua di garantirsi una certa persistenza nella rete aziendale.

Come funziona un attacco Pass the Hash?

Un attacco Pass the Hash inizia sempre con l’attore malevolo che cerca di accedere alla rete dell’azienda presa di mira.

Ciò avviene mediante una delle solite tecniche conosciute:

• e-mail di phishing;
• credenzialità compromesse;
• vulnerabilità software;
• criticità negli endpoint della rete aziendale;

Nel momento in cui viene stabilito il primo accesso, questi si muove al suo interno cautamente, spesso impiegando BloodHound, uno strumento per mappare i dispositivi connessi e identificare gli account con privilegi elevati.

Obiettivo: il servizio LSASS di Windows

Individuato il bersaglio, l’attaccante punta direttamente al processo di autenticazione di Windows: il Local Security Authority Subsystem Service (LSASS). Si tratta di un servizio essenziale di sicurezza che conserva temporaneamente le credenziali degli utenti, incluse le password cifrate e gli hash necessari per l’autenticazione su altre macchine.

Raccolta degli hash con Mimikatz

La scelta di puntare sul LSASS non è casuale, poiché l’obiettivo dell’attore malevolo è impossessarsi degli hash memorizzati. Questi sono solitamente di tipo NTLM (NT LAN Manager), o Kerberos. Per far ciò si ricorre ad un altro strumento specifico, ovvero Mimikatz, che permette di interrogare e leggere la memoria di LSASS, raccogliendo i dati di autenticazione degli utenti attivi sulla macchina. Così facendo si ovvia alla necessità di decriptare gli hash, o di conoscere la password utente in chiaro.

Sfruttamento dell’hash per autenticazione

Con in mano l’hash dell’utente o di un amministratore, l’attaccante può cominciare a sfruttare la vulnerabilità di autenticazione. Invece che effettuare un’autenticazione tramite password, questi “passa” l’hash al sistema come prova di identità. Questa operazione è possibile perché, in sistemi che utilizzano NTLM, l’hash viene accettato come credenziale valida senza la necessità di ulteriori verifiche.

Accesso remoto e movimenti laterali

L’attaccante può quindi inviare una richiesta SMB, o accedere a una sessione RDP su un dispositivo remoto, utilizzando l’hash dell’account compromesso per autenticarsi. Superata questa barriera, l’attaccante è libero di compiere una serie di movimenti laterali, passando così da una macchina all’altra senza dover compromettere ulteriori password.

Espansione e compromissione dell’infrastruttura

Questi attacchi sono molto efficaci se i sistemi aziendali condividono, o accettano hash degli utenti amministrativi e di dominio, che spesso non sono univoci per ogni macchina. L’attaccante può quindi propagarsi ulteriormente nella rete, raccogliendo nuovi hash a ogni autenticazione e ampliando l’accesso verso risorse più critiche.

Persistenza e controllo completo della rete

Tutto questo porta inevitabilmente all’ottenimento del controllo dell’intera infrastruttura Active Directory. In tal modo, l’attore malevolo è in grado di instaurare una persistenza nel sistema. Nulla può impedirgli di esfiltrare dati critici, disabilitare la protezione di rete, installare malware o utilizzare l’infrastruttura compromessa come punto di partenza per attacchi su altre reti collegate.

Come si può evitare di cadere vittima di un attacco Pass the Hash?

In base a quanto discusso nel paragrafo precedente, le conseguenze derivanti da un attacco del genere sono a dir poco devastanti. Se si vuole evitare una sua insorgenza, sono di seguito riportati alcuni consigli e misure cautelari, da implementare all’interno della propria organizzazione.

• Utilizzare autenticazione multifattoriale (MFA)

L’impiego dell’autenticazione a più fattori deve essere una misura imperativa, soprattutto per account con privilegi elevati.

In tal modo si aggiungono ulteriori livelli di oltre all’hash. Ricorrere alle impronte biometriche è un’aggiunta importante, poiché difficile da replicare.

• Limitare l’impiego di NTLM ai sistemi legacy

Poiché si tratta di una suite di protocolli piuttosto datati, si dovrebbero preferire delle soluzioni aggiornate e in possesso delle misure di sicurezza adeguate agli standard odierni. La soluzione ideale sarebbe l’impiego di Kerberos con configurazioni avanzate di sicurezza per i sistemi critici, mentre NTLM andrebbe limitato a quelli più datati.

• Abilitare la protezione avanzata di LSASS

Dato che in un attacco Pass the Hash questo è il primo bersaglio, il processo di Windows deve essere protetto adeguatamente. In tal modo si evita che processi non autorizzati accedano alla sua memoria, riducendo la possibilità di esfiltrazione degli hash.

• Segmentare la rete e implementare firewall interni

La rete aziendale deve essere divisa in segmenti, ciascuno dei quali deve essere ulteriormente protetto con un firewall interno. In tal modo, l’aggressore si vede drasticamente ridotte le possibilità di compiere movimenti laterali al suo interno.

• Implementare un piano di monitoraggio degli endpoint affidabile

Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.

L’attacco Pass the Hash mette in luce una criticità importante nella gestione delle credenziali e nella progettazione il sistema di autenticazione di Windows.

Il fatto che una vulnerabilità intrinseca come questa possa consentire movimenti laterali e scalate di privilegio in modo così efficace, evidenzia i limiti strutturali del sistema operativo e ci spinge a riflettere sulla responsabilità delle big tech nel migliorare le proprie misure di sicurezza.

Per chiunque operi nel settore della sicurezza informatica, restare aggiornati su minacce come il Pass the Hash è imprescindibile.

Solo conoscendo e implementando le migliori pratiche per la gestione delle credenziali è possibile arginare i rischi a cui ci espone l’adozione di soluzioni centralizzate e dominanti nel mercato. Tuttavia, è altrettanto cruciale continuare a richiedere che i giganti del settore non solo innalzino gli standard di sicurezza, ma garantiscano test di qualità più stringenti.»

https://cyberment.it/cyber-attacchi/pass-the-hash-lattacco-che-bypassa-le-password/

L'articolo Come evitare Pass-the-hash: l’attacco che elude le password proviene da Rivista Cybersecurity Trends.

Enel Spa, azienda leader globale nella generazione elettrica e nella distribuzione e vendita dell’energia, ricerca un Cyber Security Analyst per la sede di Torino.

Description and Requirements

Se vuoi cambiare il volto dell’energia, stiamo cercando un/un’Analyst da inserire nel nostro team di Cyber Security!

Con chi lavorerai

Farai parte del CERT (Cyber Emergency Readiness Team) di Enel, un team di esperti cyber che si occupa di proteggere le infrastrutture digitali dell’organizzazione e i cui obiettivi principali includono:

• Rilevare e rispondere rapidamente agli incidenti di sicurezza
• Mitigare le minacce informatiche emergenti
• Rafforzare continuamente le difese dell’organizzazione

Avrai l’opportunità di lavorare con un team internazionale che opera in tutte le geografie in cui Enel è presente e che si compone di 25 persone dislocate tra Italia, Spagna e continente americano.

Cosa farai

In questo ruolo, sarai progressivamente indirizzato verso le seguenti attività:

• monitoraggio continuativo e rilevazione delle minacce attraverso le tecnologie utilizzate per erogare i servizi (SIEM, SOAR, EDR, etc.), i sistemi infrastrutturali cyber e sistemi di ticketing aziendali;
• analisi, triage di incidenti ed eventi cyber;
• gestione di incidenti ed eventi cyber sia da un punto di vista tecnico con analisi approfondite che comunicativo verso aree aziendali interne ed entità esterne (CERT nazionali, entità istituzionali, etc.);
• redazione e/o verifica di report tecnici ed executive relativi ad eventi/incidenti cyber rilevanti;
• esame delle vulnerabilità software e hardware relative agli ambienti IT e OT;
• analisi, ricerca e attività di contenimento legate agli “Indicatori di Compromissione (IoC)” forniti dalle principali tecnologie/servizi di sicurezza;
• esecuzione di operazioni di threat hunting finalizzato a rilevare indicatori di attacco e kill chain;
• ottimizzazione delle configurazioni di controllo della sicurezza per migliorare le capacità di rilevamento delle minacce, attraverso il design e lo sviluppo di casi d’uso su SIEM, SOAR e su altre tecnologie

Cosa porterai

Requisisti minimi necessari per questo ruolo sono:

Competenze richieste:

• Networking: protocolli, architetture logiche, principali componenti, VPN, etc. Sistemi operativi, cloud services, etc. Sistemi SaaS, PaaS, IaaS.
• Sviluppo applicativo: architetture applicative, coding, customizzazione di servizi.
• Concetti relativi alle minacce e alle vulnerabilità dei sistemi informatici. OWASP TOP 10. Tipologie di IoC (Indicatori di Compromissione), IoA (Indicatori di Attacco) e loro utilizzo.
• Nozioni sui principali sistemi di sicurezza, sia standard che quelli di nuova generazione (WAF, Antispam/phishing, IDS/IPS, Firewall, Proxy, EDR, etc).
• Pratiche di sicurezza IT, tipi di attacco comuni (es. MITRE ATT&CK®) e metodi di rilevamento/prevenzione.
• Analisi dei log da una varietà di fonti (ad esempio, log di host individuali, log del traffico di rete, log del firewall e di sistemi IDS/IPS).
• Strumenti di analisi del malware e le piattaforme SIEM.
• Scripting/Coding (Python, PowerShell, RestAPIs, C++, PHP, JAVA, …).
• Normative e standard esistenti in materia d sicurezza di informatica (ISO27001, NIS, etc.).

Esperienza professionale richiesta: 1-2 anni di esperienza lavorativa in ambito cyber. Costituisce titolo preferenziale un’esperienza lavorativa come membro di un SOC/CERT.

Soft skills richieste:

• Ottime capacità di Problem Solving.
• Spiccata attitudine alla collaborazione e al lavoro in team.
• Proattività ed orientamento al risultato.
• Curiosità, flessibilità e disponibilità a investire su sé stessi per lo sviluppo di nuove competenze.

Istruzione, competenze linguistiche:

• Laurea in Informatica, Ingegneria Informatica, Cyber Security o corsi e certificazioni affini.
• Conoscenza della lingua inglese e/o spagnola (inglese mandatorio, spagnolo opzionale)

Perché unirsi a noi?

• Contratto di lavoro a tempo indeterminato
• Fondo Integrativo Sanitario e fondo pensione complementare
• Continuos Learning
• Percorsi di sviluppo ed empowerment
• Welfare aziendale per una migliore conciliazione vita-lavoro (supporto alla genitorialità, asilo nido, congedi parentali extra ecc…)
• Vantaggi con offerte e convenzioni dedicate (buoni pasto, viaggi, trasporti, sport, cultura, energia ecc…)

Sede: Torino

Data di scadenza: 16-mar-2025

Diversità, equità, inclusione e processo di selezione

Questa opportunità è aperta a tutti i candidati e le candidate: promuoviamo e garantiamo condizioni di parità di genere e creiamo un ambiente di lavoro inclusivo, equo e rispettoso, affinché ognuno ogni persona possa esprimere il proprio potenziale e partecipare alla creazione di valore tangibile.

Il nostro processo di selezione è personalizzato per ogni ruolo e include un colloquio con il nostro team di recruiting e un incontro con i nostri colleghi e colleghe della business line. Se sei in linea con la Job Description, il team di recruiting ti contatterà, fornendoti ulteriori informazioni sul processo di selezione.

Cerchiamo persone che incarnino i nostri valori: Fiducia, Rispetto, Innovazione, Proattività e Flessibilità.

Sei pronto/a a fare la differenza e crescere con noi? Candidati ora e unisciti a noi per guidare la transizione energetica all’interno del team di Cyber Security!

Per candidarti a questa posizione, visita la seguente pagina ufficiale:

https://jobs.enel.com/en_US/careers4/JobDetail/14664?team=ICT

L'articolo Enel ricerca un Cyber Security Analyst proviene da Rivista Cybersecurity Trends.

L’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) ha rilasciato una bozza delle sue linee guida tecniche che sta sviluppando per aiutare gli Stati membri e le entità dell’UE nell’applicazione dei requisiti di sicurezza informatica della direttiva NIS2, come stabilito dal regolamento (UE) 2024/2690 della Commissione Europea.

Questa guida tecnica fornisce:

• Consigli dettagliati su come implementare un requisito e ulteriori spiegazioni sui concetti e sui termini utilizzati nel testo giuridico;
• Esempi pratici per valutare se un requisito è stato soddisfatto;
• Tabelle comparative tra i requisiti di sicurezza previsti dal regolamento di esecuzione con gli standard europei e internazionali, nonché con i quadri normativi nazionali.

ENISA invita tutte le parti interessate a fornire commenti sulle linee guida tecniche per la legge attuativa NIS2 sulle misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali entro il 9 dicembre 2024, ore 18:00 CET, tramite il link alla bozza delle linee guida e seguendo le istruzioni fornite.

Contesto

La direttiva NIS2 è la nuova legislazione UE per rafforzare la sicurezza informatica e la resilienza nei settori critici europei. Gli Stati membri erano tenuti a recepirla entro il 17 ottobre 2024. ENISA ha anche pubblicato materiale informativo, come video e infografiche, per spiegare i concetti principali della direttiva.

La guida tecnica è stata sviluppata in collaborazione con la Commissione Europea e i rappresentanti degli Stati membri all’interno del NIS Cooperation group (NIS CG).

https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

L'articolo Richiesta feedback: linee guida tecniche ENISA per attuazione NIS2 proviene da Rivista Cybersecurity Trends.

Amazon ha confermato una violazione dei dati che ha esposto informazioni di contatto dei suoi dipendenti a causa dell’attacco informatico MOVEit del maggio2023. L’azienda ha dichiarato che i dati sono stati rubati a un fornitore esterno di gestione immobiliare.

In una dichiarazione a TechCrunch, il portavoce di Amazon, Adam Montgomery, ha spiegato che i sistemi di Amazon e AWS non sono stati compromessi, ma sono stati informati di un “evento di sicurezza” che ha coinvolto uno dei loro fornitori. Le informazioni esposte includono indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli uffici dei dipendenti.

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli edifici”, ha affermato Montgomery.

Amazon non ha specificato quanti dipendenti siano stati colpiti dalla violazione, ma ha chiarito che il fornitore non aveva accesso a dati sensibili come numeri di previdenza sociale o informazioni finanziarie. La vulnerabilità che ha permesso la violazione è stata risolta dal fornitore.

La conferma arriva dopo che un autore di minacce, noto come “Nam3L3ss”, ha dichiarato di aver pubblicato i dati su BreachForums, un forum di hacking. Questo individuo sostiene di avere oltre 2,8 milioni di record di dati rubati, non solo da Amazon ma anche da altre 25 importanti organizzazioni.

La violazione è collegata agli attacchi del maggio 2023 al sistema di trasferimento file MOVEit di Progress Software, uno degli incidenti di cybersecurity più gravi dell’anno.

https://securityaffairs.com/170804/data-breach/amazon-employee-data-breach-may-2023-moveit-attacks.html

L'articolo Amazon conferma violazione dati dei dipendenti proviene da Rivista Cybersecurity Trends.

Gli esperti di sicurezza di Securonix hanno scoperto una campagna di attacco, chiamata CRON#TRAP, che rappresenta una nuova minaccia per la sicurezza dei sistemi informatici. Questa campagna si basa su una tecnica sofisticata che prevede l’utilizzo di un ambiente Linux emulato per consentire agli attaccanti di mantenere la persistenza all’interno dei dispositivi infetti.

L’attacco si avvia con un file di collegamento (.lnk) malevolo che, una volta eseguito, estrapola un ambiente Linux, emulato tramite QEMU, un software di virtualizzazione open-source comunemente utilizzato per scopi legittimi. Questo ambiente Linux emulato è preconfigurato con una backdoor, che stabilisce una connessione automatica a un server di comando e controllo (C2) gestito dagli attaccanti. Questa tecnica consente loro di operare in modo nascosto, rendendo particolarmente difficile il rilevamento da parte dei software antivirus tradizionali.

Il vettore di attacco iniziale non è stato ancora confermato, ma i ricercatori ritengono che possa trattarsi di un’email di phishing contenente un link per scaricare un file zip dannoso. Il tema sembra essere correlato a un sondaggio, poiché il nome del file ZIP e il file di collegamento erano denominati “OneAmerica Survey.zip” e “OneAmerica Survey.lnk”. Questo file zip, contiene il file .lnk che avvia l’ambiente emulato. Mentre l’utente vede un messaggio di errore, l’ambiente Linux emulato, chiamato “PivotBox”, continua a funzionare in background. Questo ambiente permette agli attaccanti di eseguire comandi, installare strumenti e persino stabilire un canale di esfiltrazione dei dati, ottenendo così il controllo completo del sistema infetto.

Sebbene non sia stato possibile attribuire con certezza la campagna a un gruppo specifico né identificare con precisione le vittime, in base ai dati di telemetria raccolti, la maggior parte delle attività sembra provenire da fonti situate negli Stati Uniti e in Europa. Inoltre, il linguaggio utilizzato nella campagna e la posizione dei server di comando e controllo negli Stati Uniti suggeriscono che il Nord America potrebbe essere stato uno degli obiettivi principali.

La campagna CRON#TRAP rappresenta una minaccia significativa per la sua capacità di nascondersi e aggirare i controlli di sicurezza tradizionali, combinando tecniche di phishing con l’uso innovativo di ambienti virtuali.

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

https://www.securityinfo.it/2024/11/13/scoperto-crontrap-un-ambiente-linux-emulato-che-installa-una-backdoor/

L'articolo CRON#TRAP: nuova minaccia con ambienti Linux emulati proviene da Rivista Cybersecurity Trends.

Il CERT-AGID ha individuato una campagna di phishing che sfrutta DocuSign, nota piattaforma largamente utilizzata per la firma elettronica e la gestione dei documenti digitali. In questa ondata di attacchi, i malintenzionati inviano email contraffatte contenenti allegati HTML appositamente progettati per rubare le credenziali degli utenti, consentendo agli aggressori di accedere ai loro account e alle informazioni sensibili.

Come avviene l’attacco

L’attacco comincia con un’email apparentemente autentica che invita gli utenti ad aprire un allegato HTML. Una volta aperto, si viene indirizzati a una pagina web contenente un modulo di login che imita fedelmente l’interfaccia di quello di DocuSign. L’obiettivo, come dedotto dal codice JavaScript incluso nel file HTML, è quello di inviare le credenziali della vittima a un bot Telegram gestito dai cybercriminali.

Perché DocuSign è un obiettivo interessante per i criminali informatici?

DocuSign è utilizzato da professionisti e aziende per firmare digitalmente contratti e documenti riservati. Con l’accesso a un account DocuSign, i criminali possono ottenere documenti riservati, contratti e informazioni personali per commettere frodi o creare contratti falsi. Inoltre, le credenziali trafugate possono essere vendute nel dark web, aumentando le possibilità di ulteriori abusi da parte di altri malintenzionati, aumentando ulteriormente il rischio per le vittime.

Il CERT-AGID ha prontamente emesso l’avviso pubblico e comunicato, attraverso il Flusso IoC, l’unico indicatore utile: l’URL del bot Telegram utilizzato per la trasmissione delle credenziali. Tuttavia, gli hash del file HTML variano di volta in volta, poiché i truffatori personalizzano ogni file con l’indirizzo email del destinatario, rendendo più difficile il rilevamento automatico.

Per proteggersi da minacce come questa, il CERT-AGID raccomanda di rimanere vigili e informati sulle minacce di phishing per tutelare i propri dati, prestare attenzione a comunicazioni sospette e adottare semplici precauzioni che possono fare la differenza nella salvaguardia delle informazioni personali e professionali.

https://cert-agid.gov.it/news/false-notifica-docusign-credenziali-trasmesse-a-bot-telegram/

L'articolo Phishing: falsa notifica DocuSign ruba credenziali proviene da Rivista Cybersecurity Trends.

Il Disegno di Legge sull’Intelligenza Artificiale, in esame al Senato, ha ricevuto 409 emendamenti, mirati a regolamentare l’uso e lo sviluppo dell’IA in Italia con un approccio che bilancia innovazione e tutela dei diritti. Tra le proposte principali, si trova l’idea di un monitoraggio costante dei consumi energetici dei data center, per rendere più sostenibile l’infrastruttura digitale. Inoltre, si prevede una strategia per integrare l’IA nel sistema giudiziario, con l’obiettivo di ottimizzare i processi legali mantenendo al contempo la supervisione umana, per limitare i rischi e massimizzare i benefici dell’automazione.

Un aspetto rilevante è la proposta di istituire un’autorità indipendente che vigili sull’impatto dell’IA sui diritti fondamentali, sulla privacy e sull’ambiente, garantendo che l’uso di tali tecnologie non crei rischi sociali, economici o ambientali. Si pone anche l’accento sull’importanza di mantenere il controllo umano nelle decisioni cruciali, preservando autonomia e responsabilità nelle scelte determinanti.

Altre misure avanzate mirano a garantire parità di genere nei sistemi di IA, per evitare distorsioni o discriminazioni, e a promuovere la diversità linguistica, rendendo l’IA accessibile anche nelle lingue minoritarie del Paese. L’impatto dell’IA sul lavoro è un altro tema centrale, con l’invito a considerare le implicazioni occupazionali delle tecnologie digitali in conformità con l’articolo 35 della Costituzione, per salvaguardare il diritto al lavoro.

Sul fronte della protezione dei dati, il Ddl richiede trasparenza nell’utilizzo dei dati personali e piena conformità alle normative europee GDPR e AI Act. Le pubbliche amministrazioni, inoltre, dovranno coinvolgere la cittadinanza con consultazioni pubbliche prima di adottare sistemi di IA. È prevista anche la richiesta di un consenso esplicito per l’uso dei dati personali a fini di addestramento dell’IA.

Per tutelare ulteriormente la privacy, il testo vieta l’uso dell’IA per attività di scraping online non autorizzate e impone il principio di “privacy by design” per minimizzare la raccolta dei dati necessari. I fornitori di IA selezionati dalla pubblica amministrazione dovranno ottenere certificazione ISO, in modo da garantire elevati standard di sicurezza e conformità.

Nel settore infrastrutturale e ambientale, l’IA potrebbe essere impiegata per monitorare la qualità dell’aria e lo stato di strade, ponti e acquedotti, consentendo interventi tempestivi in caso di necessità. In linea con la sovranità digitale, si raccomanda di conservare ed elaborare i dati sensibili su server situati in Italia e di preferire modelli IA sviluppati in lingua italiana.

Sul fronte della sicurezza, il Ddl stabilisce che l’IA non possa essere utilizzata per scopi offensivi e che il suo impiego sia permesso solo per difesa, sotto il controllo umano. Per monitorare tali aspetti, è proposto un comitato etico nazionale che riferirà periodicamente al Parlamento.

In ambito sanitario, si prospetta una sperimentazione per valutare l’impiego dell’IA a supporto della salute pubblica, attraverso una gestione sicura e trasparente dei dati sanitari. La proposta prevede anche l’obbligo di segnalare chiaramente i contenuti creati o alterati dall’IA, assicurando che gli utenti possano distinguere tra contenuti autentici e generati artificialmente. In sintesi, il Ddl sull’Intelligenza Artificiale punta a introdurre un quadro normativo che consenta di sfruttare le potenzialità dell’IA nel rispetto dei diritti fondamentali, della sicurezza e dei valori sociali ed economici italiani.

In sintesi, il Ddl sull’Intelligenza Artificiale punta a introdurre un quadro normativo che consenta di sfruttare le potenzialità dell’IA nel rispetto dei diritti fondamentali, della sicurezza e dei valori sociali ed economici italiani.

https://www.key4biz.it/ddl-intelligenza-artificiale-dai-consumi-elettrici-allautorita-dedicata-pioggia-di-emendamenti-al-senato/511944/

L'articolo DDL Intelligenza Artificiale: 409 emendamenti per rafforzare la sicurezza in Italia proviene da Rivista Cybersecurity Trends.

Mozilla ha rilasciato una serie di aggiornamenti di sicurezza per il popolare client di posta elettronica Thunderbird, dopo aver individuato una vulnerabilità di gravità “alta” che potrebbe mettere a rischio la sicurezza degli utenti.

La vulnerabilità, identificata come CVE-2024-11159, è di tipo “Information Disclosure” e potrebbe permettere l’esposizione di informazioni sensibili se sfruttata da un malintenzionato.

Le versioni di Thunderbird interessate includono la 132.x, precedenti alla 132.0.1, e la 128.4.x, prima della 128.4.3. Gli utenti che utilizzano queste versioni sono quindi fortemente incoraggiati ad aggiornare tempestivamente il loro software per evitare potenziali rischi.

 Per mitigare il problema, Mozilla ha rilasciato gli aggiornamenti necessari e ha esortato tutti gli utenti di Thunderbird a seguire le istruzioni fornite nei bollettini di sicurezza. Il CSIRT Italia, in linea con le dichiarazioni del vendor, raccomanda di aggiornare i prodotti vulnerabili per evitare exploit.

https://www.csirt.gov.it/contenuti/mozilla-vulnerabilita-nel-software-thunderbird-al01-241114-csirt-ita

L'articolo Mozilla rilascia aggiornamenti per vulnerabilità in Thunderbird proviene da Rivista Cybersecurity Trends.