ransomware

Conad, il consorzio bolognese leader specializzato nel commercio al dettaglio e titolare dell’omonima catena di supermercati, è stato vittima di un attacco ransomware. Il gruppo di cyber criminali Lynx ha rivendicato l’incursione, pubblicando sul Dark Web un conto alla rovescia che concede al consorzio 72 ore per pagare un riscatto ed evitare la pubblicazione di documenti riservati.

Secondo quanto emerso, l’attacco non ha provocato danni all’infrastruttura IT del consorzio né compromesso l’operatività del sito web o dei servizi di Conad, ma ha consentito agli attaccanti di sottrarre dati sensibili relativi a risorse umane e clienti. I file resi visibili, sebbene pubblicati in una forma che ne rende difficile la lettura, consistono in versioni digitalizzate di documenti cartacei, tra cui capitolati e corrispondenze con clienti e fornitori.

Il 15 gennaio, Conad ha dichiarato che i dati copiati sono “non strutturati e non rilevanti” e che l’azienda ha già informato il Garante della Privacy e la Polizia Postale, procedendo anche con una denuncia formale: “Consorzio Nazionale Dettaglianti (Conad) Soc. Coop. ha subito, in data 20 novembre 2024, un attacco informatico ai propri sistemi, prontamente respinto grazie alle misure di difesa immediatamente implementate. Conad ha verificato che una piccola quantità di dati – non strutturati e non rilevanti, non riferiti in alcun modo ai clienti dell’insegna – potrebbe essere stata oggetto di copia. Subito dopo l’attacco, Conad ha prontamente informato il Garante per la protezione dei dati personali e la Polizia Postale. In queste ore, dopo aver ricostruito ulteriormente la vicenda attraverso informazioni diffuse apparentemente su siti web riconducibili ai criminali responsabili dell’attacco stesso, Conad ha depositato una denuncia relativa all’accaduto presso la Procura della Repubblica di Bologna”.

L’attacco si inserisce in un modello di “doppia estorsione” sempre più diffuso, in cui i criminali utilizzano la minaccia di pubblicazione dei dati rubati per spingere al pagamento. Conad rassicura clienti e fornitori sulla continuità delle operazioni, ma resta da vedere come evolverà la vicenda nei prossimi giorni.

https://www.federprivacy.org/informazione/flash-news/attacco-ransomware-a-conad-gli-hacker-chiedono-un-riscatto-per-non-pubblicare-i-dati

L'articolo Attacco ransomware a Conad proviene da Rivista Cybersecurity Trends.

I ricercatori di Symantec hanno individuato una nuova minaccia informatica legata agli attacchi del gruppo ransomware RansomHub. Si tratta di Betruger, una backdoor personalizzata che si distingue per la sua multifunzionalità, consentendo agli aggressori di eseguire diverse operazioni malevole con un unico strumento. Tra le sue capacità figurano lo screenshotting, il keylogging, il caricamento di file su server di comando e controllo, la scansione della rete e il dumping delle credenziali, funzionalità che solitamente vengono affidate a più strumenti distinti.

L’uso di malware personalizzati al di fuori dei payload di crittografia è piuttosto raro nel panorama degli attacchi ransomware. Solitamente, gli attaccanti si affidano a strumenti già noti come Mimikatz e Cobalt Strike, oppure sfruttano software legittimi per evitare di destare sospetti. Tuttavia, l’integrazione di più funzionalità in un’unica backdoor suggerisce che Betruger sia stato sviluppato per ridurre al minimo la necessità di distribuire più strumenti all’interno di una rete compromessa, facilitando le operazioni di attacco e rendendo più difficile il rilevamento da parte delle soluzioni di sicurezza.

Negli ultimi mesi, gli affiliati di RansomHub hanno utilizzato una varietà di strumenti per compromettere i sistemi delle vittime. Oltre a Betruger, hanno sfruttato vulnerabilità critiche come CVE-2022-24521 e CVE-2023-27532, l’uso di software di accesso remoto come Atera e Splashtop e strumenti open-source come Rclone e Impacket per esfiltrare dati. Inoltre, il gruppo ha adottato tecniche avanzate per aggirare le difese di sicurezza, come EDRKillshifter e la tecnica Bring Your Own Vulnerable Driver (BYVOD), che consente di sfruttare driver vulnerabili per disattivare le soluzioni di sicurezza.

RansomHub si è rapidamente imposto come uno dei gruppi ransomware più attivi del 2024. Gestito da un’organizzazione criminale identificata come Greenbottle, il gruppo ha guadagnato popolarità tra gli affiliati grazie anche a un modello economico vantaggioso offerto agli affiliati, con percentuali di guadagno elevate e un sistema di pagamento che permette ai cybercriminali di ricevere i riscatti direttamente dalle vittime prima di versare la loro quota agli operatori. Questo approccio ha attirato numerosi affiliati, aumentando la capacità operativa del gruppo e il numero di attacchi portati a termine.

https://www.security.com/threat-intelligence/ransomhub-betruger-backdoor

L'articolo RansomHub sfrutta la nuova backdoor multifunzione Betruger proviene da Rivista Cybersecurity Trends.

Il Garante Privacy invita i DPO della sanità pubblica a creare una rete per affrontare le sfide della protezione dei dati, migliorare la compliance e rafforzare la sicurezza informatica. Un'alleanza strategica per un sistema sanitario più sicuro ed efficace

L'articolo Creare una rete DPO per la sanità pubblica: perché è essenziale proviene da Agenda Digitale.