CyberSecurity

Milano ospita oggi, 26 febbraio 2025, il Datacenter Experience 2025, evento di riferimento per il settore delle infrastrutture IT, organizzato da Soiel International. L’appuntamento rappresenta un’importante occasione di confronto per professionisti e aziende, offrendo una piattaforma per discutere delle ultime innovazioni e tendenze nel campo dei data center.

La giornata si è aperta con una sessione plenaria, dove esperti di aziende, ricerca e consulenza hanno approfondito temi chiave come efficienza energetica, strategia Multicloud, Edge Computing, Intelligenza Artificiale, sicurezza e sostenibilità. Tra gli interventi di spicco, Daniele Tordin di Panduit ha illustrato il ruolo dell’IA nei data center, mentre Lanfranco Pedrotti di Piller ha presentato l’UPS modulare M+500, progettato per garantire scalabilità ed efficienza.

L’evento offre anche un’area espositiva dedicata al networking, pensata per favorire il networking e lo scambio di idee tra visitatori e aziende del settore.

Il Datacenter Experience 2025 proseguirà con altre due tappe: a Roma il 7 maggio e a Torino il 22 ottobre.

https://www.soiel.it/eventi/datacenter-experience-2025-milano/

L'articolo Datacenter Experience 2025 proviene da Rivista Cybersecurity Trends.

Un nuovo attacco informatico ha colpito diversi siti istituzionali italiani. Nel mirino degli hacker del gruppo filorusso NoName057(16) i portali delle Regioni Lombardia, Umbria e Friuli-Venezia Giulia, oltre ai siti delle città di Brescia, Parma, Reggio Emilia, Perugia, Ravenna e Rimini. Anche il sito dell’Ordine dei Giornalisti è stato attaccato e risulta al momento irraggiungibile.

Gli attacchi, di tipo DDoS (Distributed Denial of Service), hanno causato l’inaccessibilità temporanea dei siti coinvolti, sovraccaricando i server con un volume di traffico anomalo. Nel caso del Comune di Reggio Emilia, l’attacco è stato registrato intorno alle 7 del mattino di ieri. Le difese informatiche hanno retto, impedendo accessi non autorizzati o furti di dati; tuttavia, il sito è rimasto inaccessibile per alcune ore. Il personale dei Sistemi Informativi ha individuato l’origine del problema e ha bloccato gli indirizzi IP responsabili, impedendo loro di contattare i server del Comune e ripristinando la piena funzionalità del portale intorno alle 11:30.

L’Agenzia per la Cybersicurezza Nazionale (ACN) è stata allertata e ha informato le autorità competenti riguardo agli attacchi in corso. Nonostante i disagi causati, non sono stati segnalati accessi impropri o compromissioni di dati sensibili nei sistemi colpiti.

Questa serie di attacchi si inserisce in una campagna più ampia condotta dal gruppo NoName057(16), che ha intensificato le sue attività contro siti italiani nelle ultime settimane. Le autorità continuano a monitorare la situazione e a implementare misure di sicurezza per proteggere le infrastrutture digitali del Paese.

https://www.rainews.it/tgr/fvg/articoli/2025/02/ancora-attacchi-hacker-ai-siti-istituzionali-colpito-il-web-della-regione-fvg-41dfac58-dfd7-452b-8a8d-87a90f871154.html

https://www.ansa.it/emiliaromagna/notizie/2025/02/26/attacco-hacker-filorussi-a-sito-comune-reggio-emilia_35aa4b35-1970-42f2-b2d7-c6191db0cdb1.html

L'articolo NoName057(16) attacca ancora siti italiani: Ordine dei Giornalisti offline proviene da Rivista Cybersecurity Trends.

Cisco Talos, leader tecnologico mondiale, ha diffuso il suo report trimestrale, evidenziando un aumento degli attacchi informatici alle applicazioni web. Nel terzo trimestre del 2023, il 35% delle attività di sicurezza di Cisco Talos si è focalizzato sulla mitigazione di queste minacce, registrando un incremento superiore al 10% rispetto ai tre mesi precedenti. I settori più colpiti sono stati l’Istruzione, il Settore Finanziario e la Sanità.

Attacchi alle applicazioni web

 Gli attacchi alle applicazioni web e alle attività successive di compromissione hanno visto i criminali informatici sfruttare diverse tecniche dopo aver ottenuto un accesso iniziale attraverso vulnerabilità note e la mancata applicazione di patch. Tra queste tecniche si trovano le web shell, che offrono un accesso remoto a un server web, e gli attacchi brute force, che tentano di scoprire le password provando tutte le combinazioni possibili di lettere, numeri e caratteri speciali per penetrare nei sistemi informativi e accedere ai dati sensibili delle vittime.

Le principali tendenze del ransomware

Nel periodo tra ottobre e dicembre, circa il 30% degli interventi di sicurezza è stato dedicato alla gestione degli attacchi ransomware e pre-ransomware, una particolare tipologia di malware utilizzata per compromettere dispositivi e richiedere un riscatto in cambio del ripristino dell’accesso. Questo dato segnala una lieve diminuzione rispetto al trimestre precedente, quando gli interventi legati al ransomware avevano raggiunto il 40%.

Nel 75% dei casi, gli attaccanti sono riusciti a ottenere l’accesso iniziale sfruttando account validi compromessi. Inoltre, tutte le organizzazioni vittime di attacchi ransomware non avevano implementato correttamente l’autenticazione a più fattori (MFA) o avevano visto tale protezione aggirata durante l’attacco. Questo trend evidenzia il crescente rischio degli attacchi basati sull’identità e la necessità urgente di adottare sistemi di autenticazione più sicuri. Cisco Talos ha osservato anche un aumento nell’uso del ransomware BlackBasta per attacchi a doppia estorsione, una strategia che combina l’esfiltrazione di dati sensibili e la loro successiva crittografia per forzare il pagamento del riscatto.

Settori più colpiti

Il settore dell’Istruzione ha registrato quasi il 30% degli attacchi, posizionandosi al primo posto nella lista dei più colpiti, seguito dal settore Finanziario, dalla Sanità, sia pubblica che privata, e dalla Pubblica Amministrazione.

Accesso iniziale

Nel trimestre in esame, la maggior parte degli attacchi ai quali Talos IR ha risposto ha visto i criminali ottenere l’accesso iniziale sfruttando applicazioni destinate al pubblico. Questo rappresenta un cambio significativo rispetto ai trimestri precedenti, quando l’uso di account validi era tra le tecniche più comuni. L’aumento degli attacchi che sfruttano applicazioni con patch obsolete o non applicate può essere legato a questa nuova tendenza.
A partire da dicembre 2024, Cisco Talos ha registrato un’impennata degli attacchi di tipo password spraying, che hanno portato al blocco di account utente e alla negazione dell’accesso VPN. Questi attacchi si distinguono per l’elevato volume di traffico generato: ad esempio, una singola organizzazione ha segnalato quasi 13 milioni di tentativi in sole 24 ore contro account conosciuti, suggerendo che gli attacchi siano stati automatizzati.

Le raccomandazioni di Cisco Talos

Autenticazione a più fattori: è fondamentale che l’MFA venga applicata a tutti i servizi critici, inclusi quelli di accesso remoto e di gestione delle identità e degli accessi (IAM). Per proteggersi dal social engineering, Cisco Talos consiglia una formazione periodica sulla consapevolezza della sicurezza informatica.

Aggiornare regolarmente i software utilizzati: Cisco Talos consiglia le aziende e gli utenti a verificare e applicare regolarmente gli aggiornamenti software. I criminali informatici cercano costantemente vulnerabilità derivanti da patch mancanti: mantenere il software aggiornato è una delle azioni più efficaci per prevenire le compromissioni.

Le soluzioni EDR: è cruciale che le soluzioni EDR siano correttamente implementate e configurate. Oltre il 25% degli incidenti registrati nel trimestre ha visto il coinvolgimento di soluzioni EDR mal configurate o assenti. Per le organizzazioni che non hanno risorse interne per gestirle, è possibile rivolgersi ai fornitori di servizi Managed XDR, che offrono un monitoraggio attivo 24 ore su 24, 7 giorni su 7.

https://www.cisco.com/c/it_it/about/news/2025-archive/20250218.html

L'articolo Report trimestrale Cisco Talos proviene da Rivista Cybersecurity Trends.

DESCRIPTION

Garantire la sicurezza e il benessere dei nostri dipendenti sul luogo di lavoro è una priorità assoluta in Amazon. I nostri Safety Technician svolgono un ruolo fondamentale per renderlo possibile. Questo ruolo rappresenta un’opportunità per avviare la tua carriera nel settore della sicurezza sul lavoro e per crescere in un’azienda globale. Collaborerai a stretto contatto con i nostri esperti per monitorare l’ambiente di lavoro e in tal modo potrai verificare direttamente il tuo contributo al benessere delle persone.

Key job responsibilities

Eseguire valutazioni del rischio e controlli

Monitorare il sito per assicurarsi che i processi siano conformi alle procedure di sicurezza di Amazon

Creare e aggiornare i report sulle metriche di sicurezza da sottoporre ai colleghi

Collaborare con i colleghi del reparto Operations e di tutta l’azienda su compiti relativi alla sicurezza e offrire indicazioni sulle procedure

Assistere nell’applicazione di nuove misure di sicurezza

A day in the life

Il tuo lavoro si svolgerà in uno dei nostri siti logistici. Potrai dunque seguire da vicino ciò che accade e sarai a disposizione dei colleghi per rispondere alle loro domande durante il turno. Questo ruolo consiste nell’individuare potenziali problemi prima che si verifichino. Dedicherai molto tempo a controllare il sito e a osservare il modo in cui le persone utilizzano le apparecchiature. Conoscendo bene lo svolgimento di ogni attività e il funzionamento di ogni macchinario, sarai in grado di elaborare le migliori strategie per assicurare la sicurezza dei processi.

Inoltre, sarai uno dei responsabili dell’attuazione dei cambiamenti in materia di sicurezza, per cui lavorerai a stretto contatto con molte persone. Oltre a svolgere le tue mansioni quotidiane e settimanali, offrirai supporto al nostro team Operations per compiti ad hoc relativi alla sicurezza.

La sicurezza è fondamentale per Amazon e nel tuo ruolo ci aiuterai a raccogliere i dati essenziali che ci permettono di tenere sotto controllo i nostri processi e di prevenire qualsiasi problema. Condividerai inoltre questi dati con altre persone all’interno dell’azienda e interagirai con gli altri team per assicurarti che lavorino nel rispetto degli standard di sicurezza.

BASIC QUALIFICATIONS

Essere in possesso di qualifica ASPP

Laurea nel settore Sicurezza, Ingegneria o altri campi specifici, oppure diploma di scuola superiore con esperienza ASPP/RSPP in ambito produttivo/produzione/magazzino

Dimostrare le norme/gli standard di sicurezza essenziali

Livello minimo di inglese A2

PREFERRED QUALIFICATIONS

Le qualifiche preferenziali non sono requisiti obbligatori per candidarsi a una posizione in Amazon. Se possiedi tutte le qualifiche richieste di cui sopra, non esitare a inviarci la tua candidatura: saremo felici di esaminarla!

Esperienza nella comunicazione efficace con un’ampia gamma di stakeholder, per iscritto o tramite presentazioni
Esperienza di lavoro sia in modo indipendente che all’interno di un team

Amazon is an equal opportunities employer. We believe passionately that employing a diverse workforce is central to our success. We make recruiting decisions based on your experience and skills. We value your passion to discover, invent, simplify and build. Protecting your privacy and the security of your data is a longstanding top priority for Amazon. Please consult our Privacy Notice (https://www.amazon.jobs/en/privacy_page) to know more about how we collect, use and transfer the personal data of our candidates.

Our inclusive culture empowers Amazonians to deliver the best results for our customers. If you have a disability and need a workplace accommodation or adjustment during the application and hiring process, including support for the interview or onboarding process, please visit https://amazon.jobs/content/en/how-we-hire/accommodations for more information. If the country/region you’re applying in isn’t listed, please contact your Recruiting Partner.

Per inviare la tua candidatura, visita la seguente pagina ufficiale:

https://www.amazon.jobs/en/jobs/2910780/safety-technician?cmpid=SPLICX0248M&ss=paid&utm_campaign=cxro&utm_content=job_posting&utm_medium=social_media&utm_source=linkedin.com

L'articolo Amazon ricerca un Safety Technician proviene da Rivista Cybersecurity Trends.

La crittografia dei dati finanziari è uno strumento efficace per prevenire problemi in ambito cybersecurity: approfondiamo cosa dicono le regole comunitarie europee al riguardo

L'articolo Crittografia dati, perché è importante nel settore finanziario proviene da Agenda Digitale.

Il Rapporto Clusit 2024, edizione di fine anno, presentato il 7 novembre durante il Security Summit Streaming Edition, evidenzia un aumento significativo degli attacchi cyber a livello globale. Nei primi sei mesi del 2024, sono stati registrati 1.637 attacchi, segnando un incremento del 23% rispetto al semestre precedente. La media giornaliera di attacchi è di 9 a livello globale, con l’Italia che ha subito il 7,6% di questi incidenti.

Crescita della Frequenza e Gravità degli Attacchi

Nel primo semestre del 2024, gli attacchi hanno continuato a crescere, con una media mensile di 273 attacchi, rispetto ai 230 del 2023 e ai 139 del 2019. Oltre alla crescita costante della frequenza degli incidenti, anche la valutazione dell’indice di gravità degli attacchi è andata aumentando anno dopo anno. L’81% degli attacchi globali ha avuto un impatto grave, con oltre un terzo degli incidenti classificati come “critici”.

Trend negli ultimi cinque anni

L’analisi dei ricercatori di Clusit ha preso in particolare considerazione gli ultimi cinque anni, evidenziando un incremento degli attacchi nel mondo del 110% dal 2019 al 2024. Nel primo semestre del 2024 si è verificato il 13% degli attacchi portati a termine nei cinque anni. Questo periodo ha segnato il picco assoluto di attacchi, ben oltre le previsioni basate sull’andamento degli anni precedenti. Se nel 2019 venivano registrati 4,5 attacchi al giorno, oggi la media è 9.

La situazione in Italia

Nel primo semestre del 2024, l’Italia ha registrato un lieve calo nel numero degli attacchi rispetto allo stesso periodo del 2023, con 124 eventi (pari al 7,6% del totale globale). Sebbene sia diminuito il numero di attacchi “critici” (8% rispetto al 13,5% del 2023), gli attacchi di gravità elevata sono aumentati, raggiungendo il 50% del totale. Gli attacchi in Italia sono generalmente meno gravi rispetto al resto del mondo, con l’8% degli incidenti con impatto grave rispetto al 31% globale.

Gli attacchi rilevati nel nostro Paese sembrano tuttavia danneggiare in maniera meno critica rispetto al resto del mondo: gli incidenti con impatto grave sono infatti notevolmente più bassi (8% contro 31%). Risultano molto più numerosi gli incidenti con impatto medio, ma i loro danni sono più circoscritti (41% contro 19%).

Finalità degli attacchi nel mondo e in Italia

A livello globale, il cybercrime è stato la causa principale degli attacchi, con l’88% degli incidenti mirati al guadagno economico, in crescita di 5 punti percentuali rispetto al 2023. A completare lo scenario, si sono verificati nel periodo attacchi riconducibili ad azioni di hacktivism (6%), a espionage/sabotage (4%) e information warfare (2%), tutti in lieve decrescita percentuale rispetto al 2023.

In Italia, il 71% degli attacchi è stato attribuito al cybercrime, seguito da hacktivism, fenomeno che continua a mantenersi su percentuali più elevate rispetto al resto del mondo (29%). I ricercatori hanno però evidenziato che, rispetto al secondo semestre del 2023, da gennaio a giugno del 2024 si è registrata una diminuzione del cybercrime (-17% degli attacchi) e dell’hacktivism (-50% degli attacchi).

Settori più colpiti nel mondo e in Italia

Nel primo semestre del 2024, il settore sanitario è stato il più colpito a livello mondiale, con il 18% degli attacchi (rispetto al 14% del 2023), registrando 296 incidenti in sei mesi, un dato simile all’intero 2022. I “multiple targets”, che colpiscono diversi settori contemporaneamente, sono stati il secondo obiettivo più attaccato con il 16% degli attacchi. Segue il settore governativo, militare e delle forze dell’ordine (13%) e il settore finanziario e assicurativo (8%), che ha visto una diminuzione rispetto al 2023. Il settore news/multimedia ha mostrato il maggior aumento, superando il numero di incidenti dell’intero anno precedente.

In Italia, invece, il settore manifatturiero è stato il più colpito, con il 19% degli attacchi, un aumento rispetto al 13% del 2023. Notevole è il fatto che oltre un quarto degli attacchi globali al settore manifatturiero ha riguardato realtà italiane. Seguono i “multiple targets” (13%) e il settore governativo/militare (11%). Il settore sanitario in Italia ha registrato un incremento dell’83% degli attacchi rispetto allo stesso periodo del 2023, con numeri simili a quelli dell’intero anno precedente, evidenziando una crescente preoccupazione per questo comparto critico.

La geografia degli attacchi

A livello geografico, gli Stati Uniti continuano a essere il paese più colpito, con il 41% degli attacchi, anche se questo dato è in leggera diminuzione rispetto al 2023. L’Europa ha registrato un significativo incremento, con il 29% degli attacchi (rispetto al 23% del 2023). In Europa, nel primo semestre del 2024, si è verificato il 75% degli attacchi registrati nell’intero 2023, dimostrando una crescente vulnerabilità del continente.

In Asia è stato registrato l’8% degli attacchi mondiali. Il 17% degli attacchi è avvenuto parallelamente verso località multiple, mentre rimane marginale la componente, sul totale, degli incidenti riferibili a Oceania (4%), comunque in crescita, e Africa (1%).

Tecniche di attacco

Le tecniche di attacco più comuni nel primo semestre del 2024 sono state i malware (34%), con il ransomware che rimane la principale minaccia per gli attacchi cyber, grazie alla sua alta resa economica. Gli attacchi basati sullo sfruttamento di vulnerabilità si sono confermati come la seconda tecnica più comune (14%), mentre il phishing è rimasto stabile (8%). In Italia, i malware sono stati responsabili del 51% degli attacchi, in netto aumento rispetto al 33% nel 2023. Gli attacchi DDoS sono scesi al 27%, ma sono rimasti significativi, anche per la loro connessione con fenomeni di hacktivism.

Settore governativo, militare e forze dell’ordine

Nel periodo 2019-2024, il settore governativo ha subito 1.359 attacchi di particolare gravità, con un incremento del 63% nel primo semestre 2024 rispetto all’anno precedente. I principali responsabili sono stati il cybercrime (72%), seguito da hacktivism (15%). L’Europa è stata la regione più colpita nel settore governativo, con il 43% degli attacchi.

Il Rapporto Clusit 2024 – edizione di fine anno

Il Rapporto Clusit 2024 include inoltre approfondimenti su tematiche emergenti, come la cybersecurity nel settore manifatturiero e nelle piccole e medie imprese. Inoltre, vengono presentati articoli su temi specifici come la cyber resilience nell’era del quantum e l’uso dell’AI per migliorare la rilevazione e la risposta agli attacchi. Il rapporto comprende anche rilevazioni e segnalazioni delle attività svolte dalla Polizia Postale e dalla Sicurezza Cibernetica, evidenziando la crescente necessità di protezione e sensibilizzazione contro le minacce cibernetiche in tutti i settori.

Scarica il Rapporto Clusit 2024 – Edizione di metà anno, ottobre 2024 sul sito ufficiale di Clusit al seguente link

https://clusit.it/rapporto-clusit/

L'articolo Rapporto Clusit 2024 – Edizione di metà anno, ottobre 2024 proviene da Rivista Cybersecurity Trends.

Si è svolta a Roma la sesta edizione di BlueOLEx, l’esercitazione europea sulla gestione delle crisi cibernetiche, organizzata dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) e ospitata, per la prima volta, dall’Agenzia per la Cybersicurezza Nazionale (ACN). L’evento ha riunito le autorità responsabili della sicurezza informatica dei paesi membri dell’UE, insieme a rappresentanti della Commissione Europea e di ENISA, con l’obiettivo di testare la capacità di risposta comune contro minacce cyber su larga scala. Alla luce dell’era NIS2, l’edizione di quest’anno si è basata sullo scenario di Cyber ​​Europe 2024 e ha testato il livello esecutivo della cooperazione nell’ecosistema dell’UE.

Focus su cooperazione e resilienza

L’esercitazione ha rappresentato un’opportunità importante per valutare e potenziare la cooperazione tra gli Stati membri e la rete EU-CyCLONe. Creata nel 2020 su impulso italiano e francese e formalizzata dalla Direttiva NIS2 in vigore dal gennaio 2023, EU-CyCLONe rappresenta il pilastro della collaborazione europea in risposta a emergenze cibernetiche. Coinvolgendo i responsabili della gestione delle crisi cyber a livello europeo, l’evento ha permesso di valutare le modalità di interazione e di rafforzare la fiducia reciproca, essenziali per una risposta rapida e coordinata alle crisi cibernetiche. Questa esercitazione prosegue l’impegno intrapreso con Cyber Europe 2024, tenutasi a luglio, che simulava attacchi contro infrastrutture energetiche europee.

Il coordinatore per l’Italia, lammiraglio Gianluca Galasso, ha evidenziato il valore della cooperazione: “È essenziale, per gli Stati membri, confrontarsi periodicamente sulle crisi cyber, per costruire prassi comuni che permettano una risposta coerente e proattiva alle emergenze future. L’esercitazione è stata un’opportunità preziosa per scambiare idee e consolidare la fiducia tra i membri della rete. Lo scenario simulato ha confermato l’importanza della resilienza cibernetica di ogni Stato membro, soprattutto in settori interconnessi come quello energetico.”

Un progresso significativo per la sicurezza cyber europea

BlueOLEx 2024 rappresenta un passo avanti cruciale verso una gestione integrata della sicurezza informatica in Europa, contribuendo a migliorare il coordinamento tra le infrastrutture critiche e rafforzando la capacità di risposta a incidenti cyber su larga scala. Quest’anno, per la prima volta, gli esperti tecnici hanno partecipato in veste di osservatori, apportando competenze che saranno utili nella revisione del Blueprint sulla risposta coordinata alle crisi cibernetiche.

Con il contributo di ENISA e della Presidenza del Consiglio dell’UE, l’edizione di quest’anno ha dato prova dell’efficacia della collaborazione europea nel fronteggiare le sfide della cybersicurezza, ponendo le basi per strategie sempre più avanzate di difesa collettiva.

https://www.acn.gov.it/portale/en/w/acn-ospita-blueolex-2024-esercitazione-europea-di-gestione-delle-crisi-cyber

https://www.enisa.europa.eu/news/blueolex-2024-exercise-eu-cyclone-test-its-cyber-crisis-response-preparedness
 

L'articolo BlueOLEx 2024: ACN ospita l’esercitazione europea gestione crisi cyber proviene da Rivista Cybersecurity Trends.

Nella settimana dal 2 all’8 novembre, il CERT-AGID ha identificato 41 campagne malevole in Italia, 26 delle quali mirate a obiettivi italiani e 15 di natura generica che hanno comunque coinvolto il territorio nazionale. Parallelamente, il CSIRT Italia ha pubblicato il report relativo ai dati rilevati durante la sua settimana cibernetica, tra cui la diffusione di un nuovo trojan bancario e una campagna malevola che sfrutta il tema dell’Agenzia per la Cybersicurezza Nazionale (ACN) per colpire gli utenti.

Temi principali delle campagne malevole in Italia

I temi sfruttati per veicolare le campagne malevole sul territorio italiano sono stati 20. Tra i principali:

1. Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
2. Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che distribuiscono i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
3. Avvisi di sicurezza – Argomento utilizzato in una campagna generica di phishing ai danni di AVG e in due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
4. Documenti – Tema sfruttato per una campagna di phishing generica ai danni di utenti Microsoft, per una italiana che simula una comunicazione di una Webmail e per una campagna italiana di phishing ai danni di utenti Telegram.

Gli altri temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi significativi:

• Malspam PEC: nuova ondata italiana di email PEC malevole per distribuire il malware Vidar tramite link al download di file VBS. CERT-AGID, insieme ai gestori PEC, ha attivato misure di contrasto.
• Phishing contro l’Università di Pisa: identificata una campagna di phishing che utilizza una falsa pagina con il logo dell’ateneo per sottrarre le credenziali di accesso degli utenti. La pagina fraudolenta è ospitata su un dominio Weebly. CERT-AGID ha condiviso gli indicatori di compromissione (IoC) e richiesto il takedown del sito fraudolento.
• Phishing su Telegram: scoperta una campagna di phishing italiana veicolata tramite chat Telegram che tenta di impossessarsi delle sessioni degli utenti. Le vittime ricevono messaggi che invitano a cliccare su un link. Dettagli sono stati diffusi sul canale Telegram ufficiale del CERT-AGID.

 Malware della settimana

Le famiglie di malware che hanno colpito il Paese sono state otto. Tra le campagne malware più rilevanti:

1. AgentTesla – Diffuso tramite email a tema “Ordine” e “Preventivo” con allegati ZIP e TAR.
2. FormBook – Rilevato in una campagna italiana a tema “Contratti”, diffuso tramite email con allegati IMG.
3. Vidar – Distribuito via PEC a tema “Pagamenti” con link al download di VBS.
4. Irata –Scoperta una campagna italiana a tema “Bankin” che veicola l’APK malevolo tramite SMS.
5. Remcos – diffuso tramite una campagna generica a tema “Ordine”, via email con allegato RAR.
6. VIPKeylogger – Diffuso tramite campagna italiana a tema “Ordine”, via email con allegato DOC.
7. BingoMod – Sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
8. Snake Keylogger – Distribuito tramite email a tema “Ordine” con allegato Z.

I brand sfruttati nelle campagne di phishing sono stati 17, con prevalenza per Aruba, Zimbra, Microsoft e Webmail generica.

Aggiornamenti dal CSIRT Italia

Il CSIRT Italia ha pubblicato il report delle notizie relative alla diffusione in Italia del nuovo trojan bancario denominato “ToxicPanda” e della campagna malevola che sfrutta il nome dell’Agenzia per la Cybersicurezza Nazionale (ACN), nonché di tutti gli aggiornamenti di sicurezza segnalati per diversi prodotti, tra cui Palo Alto Networks, Google, Synology, Veeam, Netgear, Cisco, Android, e QNAP. In particolare, è stato segnalato l’aumento di rischio per vulnerabilità (CVE) nei seguenti prodotti:

• Ivanti CSA: CVE-2024-8963
• IBM Operational Decision Manager: CVE-2024-22319
• Plugin WordPress “Paid Memberships Pro”: CVE-2023-23488 (PoC disponibile)

Raccomandazioni

CERT-AGID ha condiviso con gli enti accreditati 255 indicatori di compromissione per aiutare nella prevenzione e nel contrasto delle minacce. Il CSIRT Italia raccomanda di aggiornare i prodotti coinvolti per ridurre il rischio di attacchi.

Per maggiori dettagli, si rimanda ai seguenti link:

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-novembre/

https://www.csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-novembre-2024

L'articolo CERT-AGID e CSIRT Italia: minacce cibernetiche a novembre proviene da Rivista Cybersecurity Trends.

La terza edizione dell’OpenText Global Ransomware Survey fornisce un’analisi approfondita delle attuali minacce ransomware, evidenziando l’impatto degli attacchi alla supply chain, l’aumento dei pagamenti di riscatto e l’influenza crescente dell’intelligenza artificiale generativa. Secondo l’analisi, il 62% degli intervistati ha subito un attacco ransomware proveniente da un partner della supply chain software nell’ultimo anno, a dimostrazione della crescente minaccia di queste vulnerabilità.

Gli attacchi alle supply chain continuano ad essere una delle principali preoccupazioni, con i criminali informatici che si avvalgono di risorse sempre più sofisticate, come l’intelligenza artificiale generativa, per perfezionare le loro tecniche di phishing. I dati del Data Breach Investigations Report 2024 di Verizon mostrano che il costo medio delle violazioni estorsive, che includono ransomware, è di circa 46.000 dollari, con punte che vanno da 3.000 a oltre 1 milione di dollari.

 I principali risultati dell’indagine includono:

• Gli intervistati sono in gran parte preoccupati per gli attacchi alla supply chain. Coloro che hanno segnalato un attacco ransomware quest’anno ritiene sono che provenisse dalla loro supply chain.
• Il 40% degli intervistati dichiara di aver subito o di non sapere di essere stato colpito da un attacco ransomware proveniente da un partner della supply chain.
• Tra gli intervistati che hanno subito un attacco ransomware nell’ultimo anno, il 62% è stato colpito da un attacco ransomware proveniente da un partner della supply chain e il 90% prevede di aumentare la collaborazione con i fornitori di software per migliorare le pratiche di sicurezza nel prossimo anno.
• La maggioranza degli intervistati (91%) è preoccupata per gli attacchi ransomware alla supply chain a valle di un’azienda, a terze parti e ai partner collegati.
• Alla domanda se le recenti violazioni da parte di fornitori chiave del settore come Change Healthcare, Ascension e CDK Global, che hanno causato interruzioni e perdite specifiche del settore, li abbiano resi più preoccupati di essere colpiti da un attacco alla supply chain, quasi la metà (49%) si è dichiarata più preoccupata, abbastanza da prendere in considerazione l’idea di apportare modifiche al fornitore.
• Quasi tre quarti degli intervistati (74%), compresi coloro che hanno subito un attacco ransomware nell’ultimo anno, hanno un processo formale per valutare le pratiche di sicurezza informatica dei propri fornitori di software. Un sorprendente 26% non lo possiede o non lo sa.
• Quasi tre quarti delle aziende hanno subito un attacco ransomware quest’anno; le PMI sono state colpite più delle grandi aziende.
• Del 48% degli intervistati che hanno subito un attacco ransomware, il 73% ha subito un attacco ransomware nell’ultimo anno, solo un quarto non ne ha subito uno (25%) e il 2% ne è a conoscenza.
• Più PMI rispetto alle grandi aziende hanno subito un attacco ransomware. Oltre tre quarti (76%) delle PMI hanno segnalato di aver subito un attacco ransomware nell’ultimo anno, mentre il 70% delle grandi aziende ha segnalato di aver subito un attacco ransomware nell’ultimo anno.
• Di coloro che hanno subito un attacco ransomware nell’ultimo anno, poco meno della metà (46%) ha pagato il riscatto. Il 31% dei loro pagamenti di riscatto è stato compreso tra 1 milione e 5 milioni di dollari. Allo stesso tempo, quasi tutti (97%) hanno ripristinato con successo i dati della propria organizzazione. Solo il 3% non ci è riuscito.
• Gli intervistati hanno subito un numero maggiore di attacchi di phishing a causa del crescente utilizzo dell’intelligenza artificiale, soprattutto tra coloro che hanno subito un attacco ransomware.
• Oltre la metà (55%) degli intervistati ha affermato che la propria azienda è maggiormente esposta al rischio di subire un attacco ransomware a causa del crescente utilizzo dell’intelligenza artificiale tra gli autori delle minacce.
• Quasi la metà (45%) degli intervistati ha osservato un aumento degli attacchi di phishing dovuto al maggiore utilizzo dell’IA. Tra coloro che hanno subito un attacco ransomware, il 69% ha osservato un aumento degli attacchi di phishing dovuto al maggiore utilizzo dell’IA.
• Le organizzazioni, comprese le PMI, continuano a investire di più nella sicurezza del cloud e nella formazione sulla sicurezza e sul phishing.
• La sicurezza nel cloud è l’area della sicurezza informatica in cui, secondo gli intervistati, le loro aziende investono di più (66%).
• Nel 2024, il 62% degli intervistati SMB sta investendo di più nella sicurezza del cloud. Al contrario, nel 2023, il 56% stava investendo di più nella sicurezza del cloud. Nel 2022, solo il 39% degli intervistati SMB stava utilizzando soluzioni di sicurezza del cloud.
• La maggioranza (91%) degli intervistati ha affermato che le proprie aziende richiedono ai dipendenti di partecipare a corsi di formazione sulla sicurezza o sul phishing. Solo il 9% non lo fa. Nel 2024, il 66% ha condotto almeno una formazione trimestrale.
• Rispetto al 2023 e al 2022, le organizzazioni richiedono ai dipendenti di partecipare più frequentemente alla formazione awareness. Nel 2023, solo il 39% ha condotto la formazione una volta al trimestre. Nel 2022, solo il 24% delle PMI ha condotto la formazione una volta al trimestre.

“Le PMI e le aziende stanno intensificando i loro sforzi contro il ransomware, dalla valutazione dei fornitori di software all’implementazione di soluzioni cloud e all’aumento della formazione dei dipendenti. Tuttavia, l’aumento delle organizzazioni che pagano il riscatto non fa che incoraggiare i criminali informatici, alimentando attacchi più implacabili”, ha affermato Muhi Majzoub, vicepresidente esecutivo e responsabile dei prodotti di OpenText. “Le aziende devono difendersi in modo proattivo da minacce sofisticate come le vulnerabilità della supply chain e gli attacchi basati sull’intelligenza artificiale, garantendo al contempo la resilienza tramite backup dei dati e piani di risposta, per evitare di dare potere agli stessi criminali che cercano di sfruttarli”.

Per saperne di più sui risultati, guarda l’infografica o visita il blog di OpenText.

https://investors.opentext.com/press-releases/press-releases-details/2024/OpenText-Cybersecuritys-2024-Ransomware-Survey-Supply-Chain-Attacks-Surge-Ransom-Payments-Persist/default.aspx – :~:text=Over three-quarters (76%25),46%25) paid the ransom.

L'articolo OpenText Cybersecurity 2024 Global Ransomware Survey proviene da Rivista Cybersecurity Trends.

L’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) ha rilasciato una bozza delle sue linee guida tecniche che sta sviluppando per aiutare gli Stati membri e le entità dell’UE nell’applicazione dei requisiti di sicurezza informatica della direttiva NIS2, come stabilito dal regolamento (UE) 2024/2690 della Commissione Europea.

Questa guida tecnica fornisce:

• Consigli dettagliati su come implementare un requisito e ulteriori spiegazioni sui concetti e sui termini utilizzati nel testo giuridico;
• Esempi pratici per valutare se un requisito è stato soddisfatto;
• Tabelle comparative tra i requisiti di sicurezza previsti dal regolamento di esecuzione con gli standard europei e internazionali, nonché con i quadri normativi nazionali.

ENISA invita tutte le parti interessate a fornire commenti sulle linee guida tecniche per la legge attuativa NIS2 sulle misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali entro il 9 dicembre 2024, ore 18:00 CET, tramite il link alla bozza delle linee guida e seguendo le istruzioni fornite.

Contesto

La direttiva NIS2 è la nuova legislazione UE per rafforzare la sicurezza informatica e la resilienza nei settori critici europei. Gli Stati membri erano tenuti a recepirla entro il 17 ottobre 2024. ENISA ha anche pubblicato materiale informativo, come video e infografiche, per spiegare i concetti principali della direttiva.

La guida tecnica è stata sviluppata in collaborazione con la Commissione Europea e i rappresentanti degli Stati membri all’interno del NIS Cooperation group (NIS CG).

https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

L'articolo Richiesta feedback: linee guida tecniche ENISA per attuazione NIS2 proviene da Rivista Cybersecurity Trends.