Catene di attacchi ai lavandini: la principale minaccia informatica alle elezioni del 2024
Con l’avvicinarsi delle elezioni del 2024, gli esperti di sicurezza informatica avvertono che la minaccia più significativa al processo democratico sarà probabilmente una combinazione di vari attacchi informatici, piuttosto che un singolo incidente isolato. Queste catene di attacchi “lavello da cucina”, come vengono chiamate, coinvolgono gli hacker che utilizzano più tattiche in tandem per raggiungere i loro obiettivi dannosi, rendendoli più difficili da individuare e da cui difendersi. Secondo un recente rapporto di Mandiant, parte di Google Cloud, le minacce più potenti alle elezioni sono gli attacchi concatenati, in cui gli autori delle minacce sovrappongono deliberatamente più tattiche in operazioni ibride per amplificare l’effetto di ciascun componente. Questo approccio è stato utilizzato nelle elezioni passate, come le elezioni presidenziali ucraine del 2014, in cui attori russi hanno lanciato attacchi DDoS, cancellato file dai computer elettorali centrali del paese, hanno fatto trapelare e-mail e documenti e hanno tentato di presentare risultati falsi a favore di un candidato specifico. Nelle elezioni americane del 2020, due cittadini iraniani hanno condotto una campagna contro i siti web relativi al voto di più stati, ottenendo informazioni riservate sugli elettori, inviando e-mail intimidatorie e fuorvianti e diffondendo disinformazione sulle vulnerabilità delle infrastrutture elettorali. Hanno anche violato una società di media, che avrebbe potuto fornire un altro canale per diffondere false affermazioni. Oltre agli attori sponsorizzati dallo Stato, anche gli addetti ai lavori, gli hacktivisti e i criminali informatici rappresentano una minaccia per il processo democratico. Account di social media e siti web falsi affiliati ai candidati presidenziali possono essere utilizzati per diffondere truffe, malware, rubare fondi o influenzare le opinioni degli elettori distribuendo notizie false. Queste imitazioni possono essere utilizzate anche per interagire con persone reali provenienti da campagne e infiltrarsi nei loro sistemi. Man mano che il campo di battaglia digitale diventa sempre più accessibile, è fondamentale che i funzionari elettorali, le campagne elettorali e gli elettori rimangano vigili e proattivi nel salvaguardare l’integrità del processo democratico contro queste minacce informatiche in evoluzione.Rafforza la sicurezza, affidati ai certificati SSL.com.
Gli hacker sponsorizzati dallo Stato violano la rete di ricerca e sviluppo MITRE tramite le vulnerabilità zero-day di Ivanti
MITRE, una società no-profit finanziata dal governo federale, ha recentemente rivelato una violazione del suo ambiente di sperimentazione, ricerca e virtualizzazione in rete (NERVE) da parte di un attore di minacce sponsorizzato da uno stato straniero all'inizio di gennaio. Gli aggressori hanno sfruttato due vulnerabilità zero-day, CVE-2023-46805 e CVE-2024-21887, nei dispositivi Ivanti Connect Secure VPN per ottenere l'accesso iniziale. Queste vulnerabilità sono state segnalate per la prima volta da Volexity il 10 gennaio, attribuendo il loro sfruttamento ad hacker sostenuti dal governo cinese. Dopo aver ottenuto l'accesso, gli aggressori hanno condotto una ricognizione, aggirato l'autenticazione a più fattori utilizzando il dirottamento della sessione e si sono spostati lateralmente all'interno della rete MITRE. Hanno utilizzato backdoor e webshell sofisticate per mantenere la persistenza e raccogliere credenziali, prendendo di mira l'infrastruttura VMware dell'organizzazione utilizzando un account amministratore compromesso. Sebbene MITRE non abbia fornito dettagli di attribuzione oltre all'identificazione degli aggressori come autori di minacce provenienti da stati nazionali stranieri, Mandiant di Google Cloud è a conoscenza di diversi autori di minacce legati alla Cina che sfruttano le vulnerabilità della VPN Ivanti nei loro attacchi. L'indagine in corso di MITRE non ha trovato prove di impatto sulla sua rete aziendale principale o sui sistemi dei partner. L'organizzazione ha condiviso informazioni sulle tecniche ATT&CK osservate, sulle migliori pratiche per rilevare tali attacchi e sulle raccomandazioni per rafforzare le reti. Le stesse vulnerabilità Ivanti sono state utilizzate anche per hackerare sistemi appartenenti alla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, colpendo potenzialmente 100,000 persone. MITRE, ampiamente nota per la sua base di conoscenze ATT&CK su tattiche e tecniche avversarie, ha recentemente aperto un nuovo AI Assurance and Discovery Lab per scoprire e gestire i rischi nei sistemi abilitati all'intelligenza artificiale.Scopri come SSL.com può migliorare la tua sicurezza IoT.
L'attore minaccioso CoralRaider lancia una campagna di attacco globale con molteplici ladri di informazioni
L'unità di ricerca sulla sicurezza Talos di Cisco ha scoperto una campagna di attacco diffusa da parte di un attore di minacce noto come CoralRaider, che impiega una combinazione di ladri di informazioni per raccogliere credenziali e dati finanziari dagli utenti di tutto il mondo. L'autore della minaccia, ritenuto di origine vietnamita, prende di mira individui in vari verticali aziendali e aree geografiche almeno dal 2023. La campagna di attacco di CoralRaider si è evoluta nel tempo, con l'autore della minaccia che in precedenza utilizzava una variante QuasarRAT personalizzata chiamata RotBot e lo stealer XClient per prendere di mira informazioni finanziarie e di accesso e rubare account sui social media. Dal febbraio 2024, l’autore della minaccia ha ampliato il proprio arsenale per includere tre ladri di informazioni: Cryptbot, LummaC2 e Rhadamanthys. Gli attacchi hanno preso di mira utenti in Ecuador, Egitto, Germania, Giappone, Nigeria, Norvegia, Pakistan, Filippine, Polonia, Siria, Turchia, Regno Unito e Stati Uniti, con alcune vittime identificate come dipendenti di organizzazioni di call center di servizi informatici in Giappone e organizzazioni di servizi di protezione civile in Siria. CoralRaider utilizza e-mail di phishing contenenti collegamenti dannosi per fornire archivi ZIP con file di collegamento creati appositamente, innescando una catena di infezione a più fasi che alla fine esegue i ladri di informazioni sui sistemi presi di mira. CryptBot, LummaC2 e Rhadamanthys sono noti ladri di informazioni con varie funzionalità, tra cui la raccolta di credenziali dai browser, il furto di file sensibili e l'esfiltrazione di dati da portafogli di criptovaluta e altre applicazioni. L'uso combinato di questi ladri consente a CoralRaider di massimizzare l'impatto dei suoi attacchi e di raccogliere un'ampia gamma di informazioni preziose dalle sue vittime. Mentre CoralRaider continua ad evolversi ed espandere la sua portata globale, le organizzazioni e gli individui devono rimanere vigili e adottare solide misure di sicurezza informatica per proteggersi da queste minacce sempre più sofisticate. L’aggiornamento regolare del software, l’utilizzo di password complesse e univoche, l’abilitazione dell’autenticazione a più fattori e l’educazione degli utenti sui pericoli delle e-mail di phishing sono passaggi essenziali per mitigare il rischio di cadere vittima di tali attacchi.E-mail sicura, fidati di SSL.com S/MIME.
Change Healthcare subisce il secondo attacco ransomware da parte di RansomHub
Secondo quanto riferito, Change Healthcare, una filiale di United Healthcare, ha subito un altro attacco ransomware, questa volta da parte del gruppo RansomHub, poche settimane dopo essere stata presa di mira da ALPHV/BlackCat. RansomHub afferma di aver rubato 4 TB di dati sensibili, comprese informazioni sul personale militare statunitense, pazienti, cartelle cliniche e informazioni finanziarie. La banda chiede un pagamento per estorsione e minaccia di vendere i dati al miglior offerente se il riscatto non verrà pagato entro 12 giorni. Questo secondo attacco arriva in un momento difficile per Change Healthcare, che solo di recente si è ripresa dal precedente attacco informatico ALPHV/BlackCat. L'azienda si trova ora ad affrontare una difficile decisione se pagare o meno il riscatto per proteggere le informazioni sensibili dei propri clienti. Malachi Walker, consulente per la sicurezza presso DomainTools, suggerisce che anche se RansomHub non è direttamente collegato ad ALPHV/BlackCat, il gruppo potrebbe rivendicare legami con le proprie vittime per intimidirle e spingerle a effettuare un pagamento. Sottolinea inoltre la fiorente economia sommersa che circonda la scena del ransomware, con vari attori che collaborano per condividere informazioni. Mentre si specula su una possibile connessione tra ALPHV/BlackCat e RansomHub, o se ALPHV abbia rinominato RansomHub, Walker afferma che è troppo presto per confermare qualsiasi collegamento diretto tra i due gruppi. Questo incidente sottolinea la continua minaccia rappresentata dalle bande di ransomware e l’importanza di solide misure di sicurezza informatica per proteggere i dati sensibili nel settore sanitario. Mentre Change Healthcare affronta questo secondo attacco ransomware, si trova ad affrontare una situazione difficile nel garantire la sicurezza delle informazioni dei propri clienti.Annunci SSL.com
SSL.com's S/MIME I certificati ora possono essere integrati con una rete abilitata LDAP
LDAP (Lightweight Directory Access Protocol) è un protocollo standard del settore per l'accesso e la gestione dei servizi di informazioni sulle directory. Viene comunemente utilizzato per archiviare e recuperare informazioni su utenti, gruppi, strutture organizzative e altre risorse in un ambiente di rete.
Integrazione di LDAP con S/MIME implica l'utilizzo di LDAP come servizio di directory per archiviare e gestire i certificati utente.
Integrando LDAP con S/MIME certificati, le organizzazioni possono centralizzare la gestione dei certificati, migliorare la sicurezza e semplificare il processo di recupero e autenticazione dei certificati in varie applicazioni e servizi che sfruttano LDAP come servizio di directory.
Contatti vendite@ssl.com per ulteriori informazioni sull'integrazione LDAP.