In Primo Piano

Il Rapporto Clusit 2024, edizione di fine anno, presentato il 7 novembre durante il Security Summit Streaming Edition, evidenzia un aumento significativo degli attacchi cyber a livello globale. Nei primi sei mesi del 2024, sono stati registrati 1.637 attacchi, segnando un incremento del 23% rispetto al semestre precedente. La media giornaliera di attacchi è di 9 a livello globale, con l’Italia che ha subito il 7,6% di questi incidenti.

Crescita della Frequenza e Gravità degli Attacchi

Nel primo semestre del 2024, gli attacchi hanno continuato a crescere, con una media mensile di 273 attacchi, rispetto ai 230 del 2023 e ai 139 del 2019. Oltre alla crescita costante della frequenza degli incidenti, anche la valutazione dell’indice di gravità degli attacchi è andata aumentando anno dopo anno. L’81% degli attacchi globali ha avuto un impatto grave, con oltre un terzo degli incidenti classificati come “critici”.

Trend negli ultimi cinque anni

L’analisi dei ricercatori di Clusit ha preso in particolare considerazione gli ultimi cinque anni, evidenziando un incremento degli attacchi nel mondo del 110% dal 2019 al 2024. Nel primo semestre del 2024 si è verificato il 13% degli attacchi portati a termine nei cinque anni. Questo periodo ha segnato il picco assoluto di attacchi, ben oltre le previsioni basate sull’andamento degli anni precedenti. Se nel 2019 venivano registrati 4,5 attacchi al giorno, oggi la media è 9.

La situazione in Italia

Nel primo semestre del 2024, l’Italia ha registrato un lieve calo nel numero degli attacchi rispetto allo stesso periodo del 2023, con 124 eventi (pari al 7,6% del totale globale). Sebbene sia diminuito il numero di attacchi “critici” (8% rispetto al 13,5% del 2023), gli attacchi di gravità elevata sono aumentati, raggiungendo il 50% del totale. Gli attacchi in Italia sono generalmente meno gravi rispetto al resto del mondo, con l’8% degli incidenti con impatto grave rispetto al 31% globale.

Gli attacchi rilevati nel nostro Paese sembrano tuttavia danneggiare in maniera meno critica rispetto al resto del mondo: gli incidenti con impatto grave sono infatti notevolmente più bassi (8% contro 31%). Risultano molto più numerosi gli incidenti con impatto medio, ma i loro danni sono più circoscritti (41% contro 19%).

Finalità degli attacchi nel mondo e in Italia

A livello globale, il cybercrime è stato la causa principale degli attacchi, con l’88% degli incidenti mirati al guadagno economico, in crescita di 5 punti percentuali rispetto al 2023. A completare lo scenario, si sono verificati nel periodo attacchi riconducibili ad azioni di hacktivism (6%), a espionage/sabotage (4%) e information warfare (2%), tutti in lieve decrescita percentuale rispetto al 2023.

In Italia, il 71% degli attacchi è stato attribuito al cybercrime, seguito da hacktivism, fenomeno che continua a mantenersi su percentuali più elevate rispetto al resto del mondo (29%). I ricercatori hanno però evidenziato che, rispetto al secondo semestre del 2023, da gennaio a giugno del 2024 si è registrata una diminuzione del cybercrime (-17% degli attacchi) e dell’hacktivism (-50% degli attacchi).

Settori più colpiti nel mondo e in Italia

Nel primo semestre del 2024, il settore sanitario è stato il più colpito a livello mondiale, con il 18% degli attacchi (rispetto al 14% del 2023), registrando 296 incidenti in sei mesi, un dato simile all’intero 2022. I “multiple targets”, che colpiscono diversi settori contemporaneamente, sono stati il secondo obiettivo più attaccato con il 16% degli attacchi. Segue il settore governativo, militare e delle forze dell’ordine (13%) e il settore finanziario e assicurativo (8%), che ha visto una diminuzione rispetto al 2023. Il settore news/multimedia ha mostrato il maggior aumento, superando il numero di incidenti dell’intero anno precedente.

In Italia, invece, il settore manifatturiero è stato il più colpito, con il 19% degli attacchi, un aumento rispetto al 13% del 2023. Notevole è il fatto che oltre un quarto degli attacchi globali al settore manifatturiero ha riguardato realtà italiane. Seguono i “multiple targets” (13%) e il settore governativo/militare (11%). Il settore sanitario in Italia ha registrato un incremento dell’83% degli attacchi rispetto allo stesso periodo del 2023, con numeri simili a quelli dell’intero anno precedente, evidenziando una crescente preoccupazione per questo comparto critico.

La geografia degli attacchi

A livello geografico, gli Stati Uniti continuano a essere il paese più colpito, con il 41% degli attacchi, anche se questo dato è in leggera diminuzione rispetto al 2023. L’Europa ha registrato un significativo incremento, con il 29% degli attacchi (rispetto al 23% del 2023). In Europa, nel primo semestre del 2024, si è verificato il 75% degli attacchi registrati nell’intero 2023, dimostrando una crescente vulnerabilità del continente.

In Asia è stato registrato l’8% degli attacchi mondiali. Il 17% degli attacchi è avvenuto parallelamente verso località multiple, mentre rimane marginale la componente, sul totale, degli incidenti riferibili a Oceania (4%), comunque in crescita, e Africa (1%).

Tecniche di attacco

Le tecniche di attacco più comuni nel primo semestre del 2024 sono state i malware (34%), con il ransomware che rimane la principale minaccia per gli attacchi cyber, grazie alla sua alta resa economica. Gli attacchi basati sullo sfruttamento di vulnerabilità si sono confermati come la seconda tecnica più comune (14%), mentre il phishing è rimasto stabile (8%). In Italia, i malware sono stati responsabili del 51% degli attacchi, in netto aumento rispetto al 33% nel 2023. Gli attacchi DDoS sono scesi al 27%, ma sono rimasti significativi, anche per la loro connessione con fenomeni di hacktivism.

Settore governativo, militare e forze dell’ordine

Nel periodo 2019-2024, il settore governativo ha subito 1.359 attacchi di particolare gravità, con un incremento del 63% nel primo semestre 2024 rispetto all’anno precedente. I principali responsabili sono stati il cybercrime (72%), seguito da hacktivism (15%). L’Europa è stata la regione più colpita nel settore governativo, con il 43% degli attacchi.

Il Rapporto Clusit 2024 – edizione di fine anno

Il Rapporto Clusit 2024 include inoltre approfondimenti su tematiche emergenti, come la cybersecurity nel settore manifatturiero e nelle piccole e medie imprese. Inoltre, vengono presentati articoli su temi specifici come la cyber resilience nell’era del quantum e l’uso dell’AI per migliorare la rilevazione e la risposta agli attacchi. Il rapporto comprende anche rilevazioni e segnalazioni delle attività svolte dalla Polizia Postale e dalla Sicurezza Cibernetica, evidenziando la crescente necessità di protezione e sensibilizzazione contro le minacce cibernetiche in tutti i settori.

Scarica il Rapporto Clusit 2024 – Edizione di metà anno, ottobre 2024 sul sito ufficiale di Clusit al seguente link

https://clusit.it/rapporto-clusit/

L'articolo Rapporto Clusit 2024 – Edizione di metà anno, ottobre 2024 proviene da Rivista Cybersecurity Trends.

Si è svolta a Roma la sesta edizione di BlueOLEx, l’esercitazione europea sulla gestione delle crisi cibernetiche, organizzata dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) e ospitata, per la prima volta, dall’Agenzia per la Cybersicurezza Nazionale (ACN). L’evento ha riunito le autorità responsabili della sicurezza informatica dei paesi membri dell’UE, insieme a rappresentanti della Commissione Europea e di ENISA, con l’obiettivo di testare la capacità di risposta comune contro minacce cyber su larga scala. Alla luce dell’era NIS2, l’edizione di quest’anno si è basata sullo scenario di Cyber ​​Europe 2024 e ha testato il livello esecutivo della cooperazione nell’ecosistema dell’UE.

Focus su cooperazione e resilienza

L’esercitazione ha rappresentato un’opportunità importante per valutare e potenziare la cooperazione tra gli Stati membri e la rete EU-CyCLONe. Creata nel 2020 su impulso italiano e francese e formalizzata dalla Direttiva NIS2 in vigore dal gennaio 2023, EU-CyCLONe rappresenta il pilastro della collaborazione europea in risposta a emergenze cibernetiche. Coinvolgendo i responsabili della gestione delle crisi cyber a livello europeo, l’evento ha permesso di valutare le modalità di interazione e di rafforzare la fiducia reciproca, essenziali per una risposta rapida e coordinata alle crisi cibernetiche. Questa esercitazione prosegue l’impegno intrapreso con Cyber Europe 2024, tenutasi a luglio, che simulava attacchi contro infrastrutture energetiche europee.

Il coordinatore per l’Italia, lammiraglio Gianluca Galasso, ha evidenziato il valore della cooperazione: “È essenziale, per gli Stati membri, confrontarsi periodicamente sulle crisi cyber, per costruire prassi comuni che permettano una risposta coerente e proattiva alle emergenze future. L’esercitazione è stata un’opportunità preziosa per scambiare idee e consolidare la fiducia tra i membri della rete. Lo scenario simulato ha confermato l’importanza della resilienza cibernetica di ogni Stato membro, soprattutto in settori interconnessi come quello energetico.”

Un progresso significativo per la sicurezza cyber europea

BlueOLEx 2024 rappresenta un passo avanti cruciale verso una gestione integrata della sicurezza informatica in Europa, contribuendo a migliorare il coordinamento tra le infrastrutture critiche e rafforzando la capacità di risposta a incidenti cyber su larga scala. Quest’anno, per la prima volta, gli esperti tecnici hanno partecipato in veste di osservatori, apportando competenze che saranno utili nella revisione del Blueprint sulla risposta coordinata alle crisi cibernetiche.

Con il contributo di ENISA e della Presidenza del Consiglio dell’UE, l’edizione di quest’anno ha dato prova dell’efficacia della collaborazione europea nel fronteggiare le sfide della cybersicurezza, ponendo le basi per strategie sempre più avanzate di difesa collettiva.

https://www.acn.gov.it/portale/en/w/acn-ospita-blueolex-2024-esercitazione-europea-di-gestione-delle-crisi-cyber

https://www.enisa.europa.eu/news/blueolex-2024-exercise-eu-cyclone-test-its-cyber-crisis-response-preparedness
 

L'articolo BlueOLEx 2024: ACN ospita l’esercitazione europea gestione crisi cyber proviene da Rivista Cybersecurity Trends.

L’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) ha rilasciato una bozza delle sue linee guida tecniche che sta sviluppando per aiutare gli Stati membri e le entità dell’UE nell’applicazione dei requisiti di sicurezza informatica della direttiva NIS2, come stabilito dal regolamento (UE) 2024/2690 della Commissione Europea.

Questa guida tecnica fornisce:

• Consigli dettagliati su come implementare un requisito e ulteriori spiegazioni sui concetti e sui termini utilizzati nel testo giuridico;
• Esempi pratici per valutare se un requisito è stato soddisfatto;
• Tabelle comparative tra i requisiti di sicurezza previsti dal regolamento di esecuzione con gli standard europei e internazionali, nonché con i quadri normativi nazionali.

ENISA invita tutte le parti interessate a fornire commenti sulle linee guida tecniche per la legge attuativa NIS2 sulle misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali entro il 9 dicembre 2024, ore 18:00 CET, tramite il link alla bozza delle linee guida e seguendo le istruzioni fornite.

Contesto

La direttiva NIS2 è la nuova legislazione UE per rafforzare la sicurezza informatica e la resilienza nei settori critici europei. Gli Stati membri erano tenuti a recepirla entro il 17 ottobre 2024. ENISA ha anche pubblicato materiale informativo, come video e infografiche, per spiegare i concetti principali della direttiva.

La guida tecnica è stata sviluppata in collaborazione con la Commissione Europea e i rappresentanti degli Stati membri all’interno del NIS Cooperation group (NIS CG).

https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

L'articolo Richiesta feedback: linee guida tecniche ENISA per attuazione NIS2 proviene da Rivista Cybersecurity Trends.

Gli esperti di sicurezza di Securonix hanno scoperto una campagna di attacco, chiamata CRON#TRAP, che rappresenta una nuova minaccia per la sicurezza dei sistemi informatici. Questa campagna si basa su una tecnica sofisticata che prevede l’utilizzo di un ambiente Linux emulato per consentire agli attaccanti di mantenere la persistenza all’interno dei dispositivi infetti.

L’attacco si avvia con un file di collegamento (.lnk) malevolo che, una volta eseguito, estrapola un ambiente Linux, emulato tramite QEMU, un software di virtualizzazione open-source comunemente utilizzato per scopi legittimi. Questo ambiente Linux emulato è preconfigurato con una backdoor, che stabilisce una connessione automatica a un server di comando e controllo (C2) gestito dagli attaccanti. Questa tecnica consente loro di operare in modo nascosto, rendendo particolarmente difficile il rilevamento da parte dei software antivirus tradizionali.

Il vettore di attacco iniziale non è stato ancora confermato, ma i ricercatori ritengono che possa trattarsi di un’email di phishing contenente un link per scaricare un file zip dannoso. Il tema sembra essere correlato a un sondaggio, poiché il nome del file ZIP e il file di collegamento erano denominati “OneAmerica Survey.zip” e “OneAmerica Survey.lnk”. Questo file zip, contiene il file .lnk che avvia l’ambiente emulato. Mentre l’utente vede un messaggio di errore, l’ambiente Linux emulato, chiamato “PivotBox”, continua a funzionare in background. Questo ambiente permette agli attaccanti di eseguire comandi, installare strumenti e persino stabilire un canale di esfiltrazione dei dati, ottenendo così il controllo completo del sistema infetto.

Sebbene non sia stato possibile attribuire con certezza la campagna a un gruppo specifico né identificare con precisione le vittime, in base ai dati di telemetria raccolti, la maggior parte delle attività sembra provenire da fonti situate negli Stati Uniti e in Europa. Inoltre, il linguaggio utilizzato nella campagna e la posizione dei server di comando e controllo negli Stati Uniti suggeriscono che il Nord America potrebbe essere stato uno degli obiettivi principali.

La campagna CRON#TRAP rappresenta una minaccia significativa per la sua capacità di nascondersi e aggirare i controlli di sicurezza tradizionali, combinando tecniche di phishing con l’uso innovativo di ambienti virtuali.

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

https://www.securityinfo.it/2024/11/13/scoperto-crontrap-un-ambiente-linux-emulato-che-installa-una-backdoor/

L'articolo CRON#TRAP: nuova minaccia con ambienti Linux emulati proviene da Rivista Cybersecurity Trends.

Il Disegno di Legge sull’Intelligenza Artificiale, in esame al Senato, ha ricevuto 409 emendamenti, mirati a regolamentare l’uso e lo sviluppo dell’IA in Italia con un approccio che bilancia innovazione e tutela dei diritti. Tra le proposte principali, si trova l’idea di un monitoraggio costante dei consumi energetici dei data center, per rendere più sostenibile l’infrastruttura digitale. Inoltre, si prevede una strategia per integrare l’IA nel sistema giudiziario, con l’obiettivo di ottimizzare i processi legali mantenendo al contempo la supervisione umana, per limitare i rischi e massimizzare i benefici dell’automazione.

Un aspetto rilevante è la proposta di istituire un’autorità indipendente che vigili sull’impatto dell’IA sui diritti fondamentali, sulla privacy e sull’ambiente, garantendo che l’uso di tali tecnologie non crei rischi sociali, economici o ambientali. Si pone anche l’accento sull’importanza di mantenere il controllo umano nelle decisioni cruciali, preservando autonomia e responsabilità nelle scelte determinanti.

Altre misure avanzate mirano a garantire parità di genere nei sistemi di IA, per evitare distorsioni o discriminazioni, e a promuovere la diversità linguistica, rendendo l’IA accessibile anche nelle lingue minoritarie del Paese. L’impatto dell’IA sul lavoro è un altro tema centrale, con l’invito a considerare le implicazioni occupazionali delle tecnologie digitali in conformità con l’articolo 35 della Costituzione, per salvaguardare il diritto al lavoro.

Sul fronte della protezione dei dati, il Ddl richiede trasparenza nell’utilizzo dei dati personali e piena conformità alle normative europee GDPR e AI Act. Le pubbliche amministrazioni, inoltre, dovranno coinvolgere la cittadinanza con consultazioni pubbliche prima di adottare sistemi di IA. È prevista anche la richiesta di un consenso esplicito per l’uso dei dati personali a fini di addestramento dell’IA.

Per tutelare ulteriormente la privacy, il testo vieta l’uso dell’IA per attività di scraping online non autorizzate e impone il principio di “privacy by design” per minimizzare la raccolta dei dati necessari. I fornitori di IA selezionati dalla pubblica amministrazione dovranno ottenere certificazione ISO, in modo da garantire elevati standard di sicurezza e conformità.

Nel settore infrastrutturale e ambientale, l’IA potrebbe essere impiegata per monitorare la qualità dell’aria e lo stato di strade, ponti e acquedotti, consentendo interventi tempestivi in caso di necessità. In linea con la sovranità digitale, si raccomanda di conservare ed elaborare i dati sensibili su server situati in Italia e di preferire modelli IA sviluppati in lingua italiana.

Sul fronte della sicurezza, il Ddl stabilisce che l’IA non possa essere utilizzata per scopi offensivi e che il suo impiego sia permesso solo per difesa, sotto il controllo umano. Per monitorare tali aspetti, è proposto un comitato etico nazionale che riferirà periodicamente al Parlamento.

In ambito sanitario, si prospetta una sperimentazione per valutare l’impiego dell’IA a supporto della salute pubblica, attraverso una gestione sicura e trasparente dei dati sanitari. La proposta prevede anche l’obbligo di segnalare chiaramente i contenuti creati o alterati dall’IA, assicurando che gli utenti possano distinguere tra contenuti autentici e generati artificialmente. In sintesi, il Ddl sull’Intelligenza Artificiale punta a introdurre un quadro normativo che consenta di sfruttare le potenzialità dell’IA nel rispetto dei diritti fondamentali, della sicurezza e dei valori sociali ed economici italiani.

In sintesi, il Ddl sull’Intelligenza Artificiale punta a introdurre un quadro normativo che consenta di sfruttare le potenzialità dell’IA nel rispetto dei diritti fondamentali, della sicurezza e dei valori sociali ed economici italiani.

https://www.key4biz.it/ddl-intelligenza-artificiale-dai-consumi-elettrici-allautorita-dedicata-pioggia-di-emendamenti-al-senato/511944/

L'articolo DDL Intelligenza Artificiale: 409 emendamenti per rafforzare la sicurezza in Italia proviene da Rivista Cybersecurity Trends.

Il NIST (National Institute of Standards and Technology) ha avviato una serie di blog per esplorare e spiegare l’ecosistema delle “credenziali digitali verificabili” (VDC), come le “patenti di guida mobili” o i “portafogli digitali”. Queste credenziali trasformano i documenti fisici di uso quotidiano (ad esempio, patente di guida o tessera sanitaria) in versioni digitali sicure, memorizzabili sul proprio smartphone e verificabili sia online che di persona tramite crittografia.

Cos’è una credenziale digitale verificabile?

Una credenziale digitale verificabile è essenzialmente una rappresentazione digitale di una credenziale fisica, che può essere archiviata nel tuo smartphone e verificata online o di persona tramite crittografia. Questo sistema permette di autenticare e proteggere digitalmente attributi personali (come l’età o l’identità) in un’app dedicata, solitamente un “portafoglio digitale”.

Sfide nell’implementazione delle VDC

Sebbene il concetto possa sembrare semplice, la realizzazione pratica di un sistema basato su VDC solleva sfide in termini di sicurezza, privacy e usabilità. Il NIST sta affrontando queste problematiche con l’aiuto di esperti del governo e del settore, che collaborano attraverso l’NCCoE (National Cybersecurity Center of Excellence).

Le parti principali dell’Ecosistema VDC

• Portafoglio Digitale: Applicazione mobile che contiene e protegge le VDC.
• Emittente: L’entità che rilascia la VDC, spesso una fonte autorevole come un ente governativo.
• Verificatore: Entità che autentica la validità di una VDC quando viene presentata.
• Trust Service: Servizio centrale che facilita l’accesso alle chiavi crittografiche degli emittenti.
• Relying Party: Organizzazioni che richiedono la VDC per completare transazioni o verifiche.

Esempio Pratico

Immagina di aprire un conto bancario online utilizzando la tua patente di guida mobile come VDC. Tramite un’app di portafoglio digitale, il DMV emette una patente verificabile che può essere presentata alla banca per confermare la tua identità in modo sicuro e privato.

Questa nuova serie del NIST esplorerà ulteriormente gli standard e i protocolli in evoluzione per l’ecosistema VDC, evidenziando opportunità e sfide. Per saperne di più, consulta l’articolo completo disponibile sul sito del NIST.

 https://www.nist.gov/blogs/cybersecurity-insights/digital-identities-getting-know-verifiable-digital-credential-ecosystem

L'articolo NIST: ecosistema delle credenziali digitali verificabili proviene da Rivista Cybersecurity Trends.

Una vulnerabilità nelle API di Microsoft Power Pages sta attirando l’attenzione degli esperti di sicurezza informatica. Aaron Costello, Chief of SaaS Security Research di AppOmni, ha identificato un errore di configurazione nei controlli di accesso della piattaforma che può portare all’esposizione di milioni di dati sensibili, mettendo a rischio la sicurezza di utenti interni ed esterni.

La piattaforma Power Pages e il problema alla base

Power Pages è una soluzione low-code di Microsoft che consente di creare rapidamente siti web grazie al sistema intuitivo di drag-and-drop. La sua versatilità ne fa uno strumento apprezzato per chi desidera sviluppare siti senza particolari competenze tecniche. Tuttavia, proprio questa semplicità può diventare un’arma a doppio taglio se la configurazione dei permessi non viene gestita correttamente.

La vulnerabilità deriva da una configurazione errata dei controlli di accesso, legata a delle implementazioni non sicure. Nel dettaglio vengono assegnati permessi troppo elevati agli utenti esterni. Questi possono sfruttare le API per accedere a dati sensibili nel database.

Power Pages distingue i ruoli “Anonymous User” e “Authenticated User”. Quest’ultimo, usato per gli utenti registrati, concede privilegi troppo ampi, inclusi quelli su dati interni delle organizzazioni. L’errore è trattare gli “Authenticated User” come utenti interni, invece di limitarne i permessi come previsto per gli utenti esterni.

Gestione degli accessi in Microsoft Power Pages

Microsoft Power Pages utilizza un sistema di controllo multilivello. A livello di sito, si configurano impostazioni generali come l’autenticazione o la registrazione pubblica. A livello di tabella, si definiscono ruoli e permessi specifici (lettura, modifica, cancellazione). Infine, a livello di colonna, i profili di sicurezza permettono di limitare l’accesso a dati sensibili, mascherando informazioni critiche.

Tuttavia, questa ultima protezione è spesso trascurata, lasciando esposti dati sensibili anche agli utenti classificati come “Authenticated”. Permessi eccessivi nelle API, la registrazione aperta e configurazioni globali amplificano il rischio di accessi non autorizzati. Come spiega Aaron Costello, senza i profili di sicurezza a livello di colonna, tutte le informazioni accessibili tramite API possono finire nelle mani di utenti esterni.

Durante i suoi test, Costello ha scoperto milioni di record sensibili esposti, comprendenti nomi, email, numeri di telefono e indirizzi. Nonostante gli alert di Microsoft su configurazioni rischiose, molte organizzazioni ignorano il problema. La soluzione migliore è rimuovere i permessi elevati per gli utenti esterni e implementare profili di sicurezza per identificare e proteggere i dati sensibili. In casi più complessi, si raccomanda l’uso di endpoint personalizzati per gestire in modo sicuro le informazioni condivise.

https://www.securityinfo.it/2024/11/15/lapi-di-microsoft-power-pages-puo-esporre-dati-sensibili/

L'articolo Microsoft Power Pages: falla nelle API può esporre dati sensibili proviene da Rivista Cybersecurity Trends.

Il Consiglio europeo ha approvato una dichiarazione ufficiale sull’applicazione del diritto internazionale al cyberspazio. Questo passo rappresenta un’importante affermazione dell’idoneità del diritto internazionale come base per regolare le attività digitali e garantire che gli stati rispettino obblighi e regole quando svolgono attività nel cyberspazio.

Nel documento, l’Unione Europea evidenzia l’incremento di comportamenti ostili nel cyberspazio, come attacchi ransomware sempre più sofisticati e dannosi. Tali minacce rappresentano un pericolo significativo per il funzionamento delle società e delle economie europee, ma il cyberspazio, ribadisce la dichiarazione, non è un terreno senza regole.

Il rispetto del quadro ONU per un comportamento responsabile degli stati nel cyberspazio è considerato essenziale per mantenere la stabilità, la pace e la sicurezza a livello internazionale. L’UE e i suoi stati membri ribadiscono il loro impegno nell’applicare il quadro ONU che regola i comportamenti responsabili nel cyberspazio. Tale quadro, approvato per consenso e riaffermato più volte dall’Assemblea Generale delle Nazioni Unite (UNGA), sottolinea che il diritto internazionale, inclusi la Carta delle Nazioni Unite, il diritto umanitario internazionale e i diritti umani, è pienamente valido e applicabile anche al cyberspazio.

L’UE e i suoi stati membri continueranno a collaborare con i partner globali per creare un meccanismo ONU permanente e inclusivo, con l’obiettivo di promuovere comportamenti responsabili degli stati nel cyberspazio. Questo Programma d’azione punta a rafforzare la resilienza e la trasparenza a livello globale, migliorando la prevedibilità delle azioni degli stati nel cyberspazio. In parallelo, l’UE continuerà a offrire supporto ai paesi terzi con iniziative di formazione e sviluppo delle capacità, aiutandoli a definire una posizione chiara sull’applicazione del diritto internazionale alle attività digitali.

L’adozione del documento rafforza l’impegno europeo a costruire un cyberspazio sicuro e regolato dal diritto, dimostrando che la cooperazione internazionale può produrre risultati concreti in un’era sempre più digitale.

Questa è la prima volta che l’UE e i suoi stati membri hanno adottato una dichiarazione dedicata all’applicazione del diritto internazionale nel cyberspazio. La dichiarazione si basa sul quadro di comportamento responsabile degli stati, approvato più volte dall’UNGA, e si inserisce negli sforzi dell’ONU, in particolare nel lavoro dell’OEWG (2021-2025) istituito dalla risoluzione A/RES/75/240. Ad aprile 2024, l’EEAS ha presentato un non-paper all’HWPCI sull’argomento, che ha portato a un testo condiviso il 4 novembre 2024, poi approvato definitivamente dal COREPER il 13 novembre.

https://www.consilium.europa.eu/it/press/press-releases/2024/11/18/cyberspace-council-approves-declaration-to-promote-common-understanding-of-application-of-international-law/

L'articolo Consiglio UE approva dichiarazione sul diritto internazionale nel cyberspazio proviene da Rivista Cybersecurity Trends.

La sicurezza informatica è uno dei campi in più rapida crescita a livello globale, ma la strada per costruire una forza lavoro adeguatamente qualificata resta tutt’altro che semplice. In un panorama in cui le minacce informatiche evolvono continuamente, i datori di lavoro faticano a trovare talenti adeguati, mentre i professionisti emergenti spesso incontrano ostacoli significativi per entrare nel settore.

Per affrontare questa sfida, il National Institute of Standards and Technology (NIST) sta promuovendo il modello di registered apprenticeship come una soluzione pratica ed efficace per formare nuovi talenti nella sicurezza informatica. Durante la Settimana nazionale dell’apprendistato, che si celebra dal 17 al 23 novembre 2024, il NIST invita datori di lavoro e aspiranti professionisti a considerare gli apprendistati come una via per costruire una forza lavoro resiliente e altamente qualificata.

Cos’è un apprendistato in cybersecurity?

Un apprendistato è un programma di formazione retribuito sul posto di lavoro che combina istruzione pratica e mentoring con l’apprendimento teorico. Gli aspiranti professionisti della sicurezza informatica acquisiscono competenze specifiche lavorando a stretto contatto con esperti del settore, riducendo il divario tra teoria e pratica.

Al termine del programma, i partecipanti non solo acquisiscono un’esperienza pratica ma ottengono anche certificazioni riconosciute a livello nazionale, che rappresentano un vantaggio competitivo nel mercato del lavoro.

Perché gli apprendistati sulla cybersecurity sono importanti

Secondo i dati del Dipartimento del Lavoro degli Stati Uniti (DOL), nel 2023 circa 61.000 persone hanno preso parte a programmi di apprendistato in sicurezza informatica, segnando una crescita del 254% negli ultimi cinque anni. Questo dato evidenzia l’efficacia degli apprendistati nel rispondere alla domanda del settore.

Come Iniziare

Che tu sia un datore di lavoro che cerca di attingere al crescente bacino di talenti o un candidato desideroso di lanciare una carriera nella sicurezza informatica, ci sono molte risorse che possono aiutarti. Ad esempio, puoi:

• Visita il sito Apprenticeship.gov del Dipartimento del Lavoro degli Stati Uniti.
• Esplora la NICE Apprenticeship Finder Map.
• Unisciti alla NICE Apprenticeships in Cybersecurity Community.
• Dai un’occhiata al documento NICE Cybersecurity Apprenticeships Community One-Pager .
• Esplora il NICE Workforce Framework for Cybersecurity per acquisire familiarità con i ruoli lavorativi e le relative conoscenze, competenze e attività coinvolte in questo settore in crescita.

Inoltre, intermediari come Safal Partners, in qualità di National Industry Intermediary for Cybersecurity Apprenticeship Expansion, offrono ai datori di lavoro consulenza gratuita e moduli pre-approvati per avviare o potenziare i loro programmi.

L’investimento negli apprendistati rappresenta un vantaggio reciproco: i datori di lavoro possono colmare rapidamente il gap di competenze, mentre gli aspiranti professionisti ottengono un percorso strutturato e retribuito verso una carriera gratificante.

Per ulteriori informazioni, visita il blog del NIST.

https://www.nist.gov/blogs/cybersecurity-insights/unlocking-cybersecurity-talent-power-apprenticeships

L'articolo Apprendistati e Cybersecurity: la soluzione NIST per sbloccare i talenti proviene da Rivista Cybersecurity Trends.

Il team Threat Detection & Research (TDR) di Sekoia ha identificato una nuova e pericolosa variante del ransomware Helldown, che per la prima volta colpisce specificamente i sistemi Linux. La scoperta, avvenuta grazie a un tweet del ricercatore di sicurezza informatica @TuringAlex pubblicato il 31 ottobre 2024, segna un’evoluzione significativa per questo Intrusion Set (IS), noto fino ad oggi per attaccare solo sistemi Windows.

Helldown è un gruppo ransomware relativamente nuovo, emerso nel panorama della criminalità informatica a metà del 2024 e documentato per la prima volta nel report di monitoraggio di Cyfirma di agosto. Il gruppo utilizza tattiche di doppia estorsione, esfiltrando grandi quantità di dati sensibili dalle vittime per minacciarne la pubblicazione sulla darknet se il riscatto non viene pagato. Tra le sue vittime più rilevanti si annovera la sussidiaria europea di Zyxel, azienda leader nel settore della sicurezza e delle reti.

In soli tre mesi, Helldown ha rivendicato attacchi contro 31 vittime, principalmente piccole e medie imprese (PMI) negli Stati Uniti e in Europa, con settori chiave come IT, telecomunicazioni, manifatturiero e sanitario nel mirino. Anche grandi aziende sono state colpite, dimostrando la crescente capacità tecnica del gruppo.

Strategie di accesso e dati Esfiltrati

Helldown sfrutta vulnerabilità note per infiltrarsi nelle reti aziendali. Gli attacchi recenti sembrano sfruttare falle nei dispositivi Zyxel, utilizzati per creare tunnel SSL VPN e rubare credenziali. In media, il gruppo sottrae 70 GB di dati per vittima, ma in alcuni casi ha raggiunto i 431 GB. Questo approccio si distingue da altri gruppi ransomware che tendono a esfiltrare dati più selettivi per evitare rilevamenti.

I file sottratti includono prevalentemente documenti PDF, ma possono variare in base al target. Gli analisti di Sekoia sottolineano come questo modus operandi dimostri una strategia aggressiva e poco discreta, volta a massimizzare i danni.

La Variante Linux: caratteristiche tecniche

La variante Linux del ransomware è progettata per colpire i server VMware ESX, una scelta mirata per compromettere ambienti virtualizzati. Secondo l’analisi di Sekoia, il ransomware sfrutta una configurazione XML hard-coded e segue un processo altamente automatizzato:

1. Scansione dei path: analizza i percorsi di directory forniti per individuare file con estensioni di interesse.
2. Cifratura parziale o totale: i file vengono crittografati in base alla loro dimensione utilizzando l’algoritmo RSA PKCS1.
3. Creazione della nota di riscatto: dopo la cifratura, lascia una richiesta di riscatto nel sistema compromesso.
4. Interruzione di macchine virtuali: è in grado di individuare ed interrompere macchine virtuali attive per massimizzare l’impatto.

Sebbene Helldown non sia al momento associato direttamente a gang di ransomware più note, i ricercatori ipotizzano una possibile connessione con gruppi come Darkrace o Donex, basandosi su somiglianze nel codice malware. Tuttavia, al momento, mancano prove definitive per confermare tali collegamenti.

https://www.securityinfo.it/2024/11/19/scoperta-una-nuova-variante-del-ransomware-helldown-che-colpisce-linux/

https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/

L'articolo Helldown ransomware: nuova variante colpisce i sistemi Linux proviene da Rivista Cybersecurity Trends.