Raccolta sulla sicurezza informatica aprile 2024

Catene di attacchi ai lavandini: la principale minaccia informatica alle elezioni del 2024    

Con l’avvicinarsi delle elezioni del 2024, gli esperti di sicurezza informatica avvertono che la minaccia più significativa al processo democratico sarà probabilmente una combinazione di vari attacchi informatici, piuttosto che un singolo incidente isolato. Queste catene di attacchi “lavello da cucina”, come vengono chiamate, coinvolgono gli hacker che utilizzano più tattiche in tandem per raggiungere i loro obiettivi dannosi, rendendoli più difficili da individuare e da cui difendersi. Secondo un recente rapporto di Mandiant, parte di Google Cloud, le minacce più potenti alle elezioni sono gli attacchi concatenati, in cui gli autori delle minacce sovrappongono deliberatamente più tattiche in operazioni ibride per amplificare l’effetto di ciascun componente. Questo approccio è stato utilizzato nelle elezioni passate, come le elezioni presidenziali ucraine del 2014, in cui attori russi hanno lanciato attacchi DDoS, cancellato file dai computer elettorali centrali del paese, hanno fatto trapelare e-mail e documenti e hanno tentato di presentare risultati falsi a favore di un candidato specifico. Nelle elezioni americane del 2020, due cittadini iraniani hanno condotto una campagna contro i siti web relativi al voto di più stati, ottenendo informazioni riservate sugli elettori, inviando e-mail intimidatorie e fuorvianti e diffondendo disinformazione sulle vulnerabilità delle infrastrutture elettorali. Hanno anche violato una società di media, che avrebbe potuto fornire un altro canale per diffondere false affermazioni. Oltre agli attori sponsorizzati dallo Stato, anche gli addetti ai lavori, gli hacktivisti e i criminali informatici rappresentano una minaccia per il processo democratico. Account di social media e siti web falsi affiliati ai candidati presidenziali possono essere utilizzati per diffondere truffe, malware, rubare fondi o influenzare le opinioni degli elettori distribuendo notizie false. Queste imitazioni possono essere utilizzate anche per interagire con persone reali provenienti da campagne e infiltrarsi nei loro sistemi. Man mano che il campo di battaglia digitale diventa sempre più accessibile, è fondamentale che i funzionari elettorali, le campagne elettorali e gli elettori rimangano vigili e proattivi nel salvaguardare l’integrità del processo democratico contro queste minacce informatiche in evoluzione.
SSL.com Insights: per difendersi dalle minacce complesse e multilivello descritte nell'articolo, le aziende e le organizzazioni coinvolte nei processi elettorali dovrebbero rafforzare le proprie difese integrando sistemi che esaminano i contenuti che passano attraverso le loro reti per rilevare pacchetti di dati dannosi e segni di manomissione . Dovrebbero inoltre implementare tecnologie che verifichino l’autenticità e la sicurezza dei siti web, impedendo l’accesso non autorizzato a dati e sistemi sensibili. L’implementazione di misure che monitorano e analizzano continuamente il traffico di rete può aiutare a rilevare modelli insoliti che potrebbero indicare un attacco coordinato. I certificati SSL di SSL.com possono svolgere un ruolo cruciale in queste strategie garantendo che i dati trasmessi attraverso le reti siano crittografati, riducendo significativamente il rischio di intercettazione e manomissione, e autenticando le identità delle entità coinvolte, rafforzando così la fiducia e la sicurezza nelle comunicazioni digitali.

Rafforza la sicurezza, affidati ai certificati SSL.com.  

Crittografa oggi

Gli hacker sponsorizzati dallo Stato violano la rete di ricerca e sviluppo MITRE tramite le vulnerabilità zero-day di Ivanti     

MITRE, una società no-profit finanziata dal governo federale, ha recentemente rivelato una violazione del suo ambiente di sperimentazione, ricerca e virtualizzazione in rete (NERVE) da parte di un attore di minacce sponsorizzato da uno stato straniero all'inizio di gennaio. Gli aggressori hanno sfruttato due vulnerabilità zero-day, CVE-2023-46805 e CVE-2024-21887, nei dispositivi Ivanti Connect Secure VPN per ottenere l'accesso iniziale. Queste vulnerabilità sono state segnalate per la prima volta da Volexity il 10 gennaio, attribuendo il loro sfruttamento ad hacker sostenuti dal governo cinese. Dopo aver ottenuto l'accesso, gli aggressori hanno condotto una ricognizione, aggirato l'autenticazione a più fattori utilizzando il dirottamento della sessione e si sono spostati lateralmente all'interno della rete MITRE. Hanno utilizzato backdoor e webshell sofisticate per mantenere la persistenza e raccogliere credenziali, prendendo di mira l'infrastruttura VMware dell'organizzazione utilizzando un account amministratore compromesso. Sebbene MITRE non abbia fornito dettagli di attribuzione oltre all'identificazione degli aggressori come autori di minacce provenienti da stati nazionali stranieri, Mandiant di Google Cloud è a conoscenza di diversi autori di minacce legati alla Cina che sfruttano le vulnerabilità della VPN Ivanti nei loro attacchi. L'indagine in corso di MITRE non ha trovato prove di impatto sulla sua rete aziendale principale o sui sistemi dei partner. L'organizzazione ha condiviso informazioni sulle tecniche ATT&CK osservate, sulle migliori pratiche per rilevare tali attacchi e sulle raccomandazioni per rafforzare le reti. Le stesse vulnerabilità Ivanti sono state utilizzate anche per hackerare sistemi appartenenti alla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, colpendo potenzialmente 100,000 persone. MITRE, ampiamente nota per la sua base di conoscenze ATT&CK su tattiche e tecniche avversarie, ha recentemente aperto un nuovo AI Assurance and Discovery Lab per scoprire e gestire i rischi nei sistemi abilitati all'intelligenza artificiale. 
SSL.com Insights: per migliorare la sicurezza contro gli attacchi informatici sponsorizzati dallo stato, come quelli sperimentati da MITRE attraverso le vulnerabilità dei prodotti sfruttati, le organizzazioni devono implementare tecnologie che consentano l'ispezione e la convalida del traffico di rete crittografato che aiuterà quindi a identificare e mitigare le attività sospette prima aumentano. Su SSL.com offriamo SSL/TLS soluzioni di certificazione su misura per i dispositivi IoT, garantendo connessioni sicure e affidabili fin dall'inizio. Collaborando con noi, le organizzazioni possono sfruttare il nostro Hosted PKI e CA personalizzate abilitate per ACME per gestire i cicli di vita dei certificati in modo efficace, mitigando i rischi associati alla sicurezza dei dispositivi e della rete. La nostra API SWS facilita ulteriormente la gestione continua dei certificati direttamente dalla tua infrastruttura IoT.

Scopri come SSL.com può migliorare la tua sicurezza IoT.  

Scopri di più

L'attore minaccioso CoralRaider lancia una campagna di attacco globale con molteplici ladri di informazioni  

L'unità di ricerca sulla sicurezza Talos di Cisco ha scoperto una campagna di attacco diffusa da parte di un attore di minacce noto come CoralRaider, che impiega una combinazione di ladri di informazioni per raccogliere credenziali e dati finanziari dagli utenti di tutto il mondo. L'autore della minaccia, ritenuto di origine vietnamita, prende di mira individui in vari verticali aziendali e aree geografiche almeno dal 2023. La campagna di attacco di CoralRaider si è evoluta nel tempo, con l'autore della minaccia che in precedenza utilizzava una variante QuasarRAT personalizzata chiamata RotBot e lo stealer XClient per prendere di mira informazioni finanziarie e di accesso e rubare account sui social media. Dal febbraio 2024, l’autore della minaccia ha ampliato il proprio arsenale per includere tre ladri di informazioni: Cryptbot, LummaC2 e Rhadamanthys. Gli attacchi hanno preso di mira utenti in Ecuador, Egitto, Germania, Giappone, Nigeria, Norvegia, Pakistan, Filippine, Polonia, Siria, Turchia, Regno Unito e Stati Uniti, con alcune vittime identificate come dipendenti di organizzazioni di call center di servizi informatici in Giappone e organizzazioni di servizi di protezione civile in Siria. CoralRaider utilizza e-mail di phishing contenenti collegamenti dannosi per fornire archivi ZIP con file di collegamento creati appositamente, innescando una catena di infezione a più fasi che alla fine esegue i ladri di informazioni sui sistemi presi di mira. CryptBot, LummaC2 e Rhadamanthys sono noti ladri di informazioni con varie funzionalità, tra cui la raccolta di credenziali dai browser, il furto di file sensibili e l'esfiltrazione di dati da portafogli di criptovaluta e altre applicazioni. L'uso combinato di questi ladri consente a CoralRaider di massimizzare l'impatto dei suoi attacchi e di raccogliere un'ampia gamma di informazioni preziose dalle sue vittime. Mentre CoralRaider continua ad evolversi ed espandere la sua portata globale, le organizzazioni e gli individui devono rimanere vigili e adottare solide misure di sicurezza informatica per proteggersi da queste minacce sempre più sofisticate. L’aggiornamento regolare del software, l’utilizzo di password complesse e univoche, l’abilitazione dell’autenticazione a più fattori e l’educazione degli utenti sui pericoli delle e-mail di phishing sono passaggi essenziali per mitigare il rischio di cadere vittima di tali attacchi. 
SSL.com Insights: per contrastare la campagna globale condotta da autori di minacce che utilizzano più infostealer, come riportato da Cisco, le organizzazioni devono implementare robusti strumenti di monitoraggio dell'integrità dei file e di analisi del comportamento in grado di rilevare e rispondere all'accesso non autorizzato e alle modifiche dei dati sensibili. Aggiornamenti regolari e soluzioni complete di sicurezza degli endpoint sono fondamentali per la protezione contro ceppi di malware avanzati che prendono di mira credenziali e informazioni finanziarie attraverso meccanismi furtivi. Inoltre, l’implementazione della crittografia per i file sensibili e l’utilizzo di protocolli di rilevamento avanzati possono mitigare il rischio di furto e utilizzo improprio delle informazioni. SSL.com S/MIME I certificati garantiscono l'integrità e la riservatezza delle comunicazioni e-mail, fornendo un livello critico di protezione contro gli schemi di phishing che potrebbero altrimenti portare all'implementazione di infostealer e verificano inoltre l'identità del mittente per prevenire tentativi di impersonificazione, proteggendo così l'e-mail come canale di comunicazione.

E-mail sicura, fidati di SSL.com S/MIME.  

Proteggi le email

Change Healthcare subisce il secondo attacco ransomware da parte di RansomHub   

Secondo quanto riferito, Change Healthcare, una filiale di United Healthcare, ha subito un altro attacco ransomware, questa volta da parte del gruppo RansomHub, poche settimane dopo essere stata presa di mira da ALPHV/BlackCat. RansomHub afferma di aver rubato 4 TB di dati sensibili, comprese informazioni sul personale militare statunitense, pazienti, cartelle cliniche e informazioni finanziarie. La banda chiede un pagamento per estorsione e minaccia di vendere i dati al miglior offerente se il riscatto non verrà pagato entro 12 giorni. Questo secondo attacco arriva in un momento difficile per Change Healthcare, che solo di recente si è ripresa dal precedente attacco informatico ALPHV/BlackCat. L'azienda si trova ora ad affrontare una difficile decisione se pagare o meno il riscatto per proteggere le informazioni sensibili dei propri clienti. Malachi Walker, consulente per la sicurezza presso DomainTools, suggerisce che anche se RansomHub non è direttamente collegato ad ALPHV/BlackCat, il gruppo potrebbe rivendicare legami con le proprie vittime per intimidirle e spingerle a effettuare un pagamento. Sottolinea inoltre la fiorente economia sommersa che circonda la scena del ransomware, con vari attori che collaborano per condividere informazioni. Mentre si specula su una possibile connessione tra ALPHV/BlackCat e RansomHub, o se ALPHV abbia rinominato RansomHub, Walker afferma che è troppo presto per confermare qualsiasi collegamento diretto tra i due gruppi. Questo incidente sottolinea la continua minaccia rappresentata dalle bande di ransomware e l’importanza di solide misure di sicurezza informatica per proteggere i dati sensibili nel settore sanitario. Mentre Change Healthcare affronta questo secondo attacco ransomware, si trova ad affrontare una situazione difficile nel garantire la sicurezza delle informazioni dei propri clienti. 
SSL.com Insights: per proteggere in modo efficace le informazioni sensibili, come cartelle cliniche e dettagli finanziari, da minacce emergenti come il ransomware, le organizzazioni devono dare priorità a strategie di sicurezza avanzate adattate alle loro esigenze specifiche. L’implementazione di strumenti di monitoraggio rigorosi che analizzano il traffico di rete per rilevare modelli insoliti può fornire avvisi tempestivi di una potenziale violazione. Inoltre, rafforzare le applicazioni rivolte al Web con strumenti che bloccano specificamente i tentativi non autorizzati di sfruttare le vulnerabilità può proteggere le risorse critiche. Per una protezione completa dei dati, dovrebbero essere impiegate tecnologie di crittografia per rendere i dati sensibili illeggibili agli utenti non autorizzati, garantendo che, anche se compromessi, i dati rimangano sicuri.

Annunci SSL.com

SSL.com's S/MIME I certificati ora possono essere integrati con una rete abilitata LDAP

LDAP (Lightweight Directory Access Protocol) è un protocollo standard del settore per l'accesso e la gestione dei servizi di informazioni sulle directory. Viene comunemente utilizzato per archiviare e recuperare informazioni su utenti, gruppi, strutture organizzative e altre risorse in un ambiente di rete.

Integrazione di LDAP con S/MIME implica l'utilizzo di LDAP come servizio di directory per archiviare e gestire i certificati utente. 

Integrando LDAP con S/MIME certificati, le organizzazioni possono centralizzare la gestione dei certificati, migliorare la sicurezza e semplificare il processo di recupero e autenticazione dei certificati in varie applicazioni e servizi che sfruttano LDAP come servizio di directory.

Contatti vendite@ssl.com per ulteriori informazioni sull'integrazione LDAP. 

Ora è possibile abilitare il Single Sign On (SSO) per gli account SSL.com 

Gli utenti di SSL.com possono ora attivare Single Sign On (SSO) per i propri account. Questa funzionalità consente agli utenti di collegare i propri account Google, Microsoft, GitHub e Facebook ai propri account SSL.com. Una volta collegati e registrati a uno qualsiasi dei quattro fornitori di servizi menzionati, non è necessario che gli utenti accedano ripetutamente ai propri account SSL.com con il proprio nome utente e password. L'adozione di SSO da parte di SSL.com rappresenta un impegno a mantenere elevati standard di sicurezza fornendo allo stesso tempo un ambiente user-friendly, favorendo in definitiva un'esperienza online più sicura e protetta per i suoi utenti. 

Automatizza la convalida e l'emissione di firma e-mail e certificati di crittografia per i dipendenti 

< p align="justify">Iscrizione in blocco è ora disponibile per ID personale+Organizzazione S/MIME Professionali (noto anche come IV+OV S/MIME), E Certificati NAESB tramite lo strumento per ordini all'ingrosso di SSL.com. Registrazione in blocco di ID personale+organizzazione S/MIME e NAESB Certificates ha il requisito aggiuntivo di un Impresa PKI (EPKI) Accordo. Un EPKI L'accordo consente a un singolo rappresentante autorizzato di un'organizzazione di ordinare, convalidare, emettere e revocare un volume elevato di questi due tipi di certificati per altri membri, consentendo così un'inversione di tendenza più rapida nella protezione dei dati e dei sistemi di comunicazione di un'organizzazione. 

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.