Gli hacker legati alla Cina prendono di mira gli esperti di intelligenza artificiale statunitensi con il malware SugarGh0st
I ricercatori di Proofpoint hanno scoperto una campagna altamente mirata da parte di un sospetto attore di minacce cinese, soprannominato "UNK_SweetSpecter", volta a rubare informazioni da esperti di intelligenza artificiale negli Stati Uniti. Gli aggressori hanno utilizzato una variante personalizzata del famigerato malware Gh0st RAT, denominata SugarGh0st, per infettare i sistemi di un gruppo selezionato di individui associati a un'importante organizzazione di intelligenza artificiale con sede negli Stati Uniti. La campagna, emersa nel maggio 2024, prevedeva e-mail di phishing a tema AI contenenti un archivio ZIP dannoso. Una volta eseguito, il malware ha stabilito una comunicazione con un server di comando e controllo controllato dall’aggressore, consentendo potenzialmente agli hacker di esfiltrare dati sensibili relativi alle tecnologie di intelligenza artificiale generativa. Proofpoint suggerisce che questa campagna potrebbe essere una risposta ai recenti sforzi del governo statunitense per limitare l’accesso cinese alle tecnologie di intelligenza artificiale generativa. La natura mirata dell’attacco e il suo focus sugli esperti di intelligenza artificiale indicano che l’obiettivo dell’autore della minaccia era probabilmente quello di ottenere informazioni non pubbliche sull’intelligenza artificiale generativa per promuovere gli obiettivi di sviluppo della Cina in questo campo.SSL.com Approfondimenti: Per proteggersi dalle sofisticate minacce informatiche come la campagna SugarGh0st RAT, le organizzazioni dovrebbero migliorare i propri protocolli di sicurezza della posta elettronica impiegando filtri avanzati che esaminano allegati e collegamenti per potenziali minacce, soprattutto nelle comunicazioni che sollecitare tecnico assistenza o pretendere di risolvere problemi software. È inoltre fondamentale istruire gli esperti di intelligenza artificiale e altro personale ad alto rischio sulle specifiche degli attacchi di phishing mirati, assicurandosi che siano abili nel riconoscere e gestire le e-mail sospette. Distribuire il software che monitor per l'uso non autorizzato di strumenti amministrativi e comunicazioni esterne impreviste possono proteggere ulteriormente le informazioni sensibili dalla compromissione. SSL.com's S/MIME I certificati forniscono un solido livello di sicurezza garantendo l'autenticità e l'integrità delle e-mail, che è fondamentale per impedire agli aggressori di mascherarsi da fonti legittime e, crittografando il contenuto delle e-mail, salvaguardano le informazioni sensibili dall'accesso non autorizzato anche in caso di violazione.
Proteggi le tue e-mail adesso
CISA mette in guardia contro un difetto attivamente sfruttato nel Mirth Connect di NextGen Healthcare
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso urgente su una vulnerabilità critica di sicurezza in NextGen Healthcare Mirth Connect, una piattaforma di integrazione dati open source ampiamente utilizzata nel settore sanitario. La falla, identificata come CVE-2023-43208, consente l'esecuzione di codice remoto non autenticato e si ritiene che venga sfruttata attivamente in natura. La vulnerabilità deriva da una patch incompleta per un altro difetto critico, CVE-2023-37679, ed è correlata all'utilizzo non sicuro della libreria Java XStream per l'annullamento del marshalling dei payload XML. I ricercatori di Horizon3.ai hanno rivelato per la prima volta la vulnerabilità nell’ottobre 2023, con ulteriori dettagli tecnici e un exploit proof-of-concept rilasciato nel gennaio 2024. CISA ha aggiunto CVE-2023-43208 al suo catalogo delle vulnerabilità sfruttate note (KEV), incaricando le agenzie federali di aggiornare i propri sistemi alla versione 4.4.1 di Mirth Connect o successiva entro il 10 giugno 2024. Sebbene l'agenzia non abbia fornito dettagli sulle vulnerabilità in corso attacchi, la falla è considerata facilmente sfruttabile e rappresenta un rischio significativo per le organizzazioni sanitarie. Oltre alla vulnerabilità Mirth Connect, CISA ha anche aggiunto al catalogo KEV un bug di confusione di tipo recentemente divulgato che colpisce Google Chrome (CVE-2024-4947), poiché è stato riconosciuto da Google come sfruttato in attacchi nel mondo reale.SSL.com Approfondimenti: La recente aggiunta di NextGen Healthcare Mirth Connetti La vulnerabilità nel catalogo delle vulnerabilità sfruttate note della CISA rappresenta uno sviluppo critico nella sicurezza informatica, evidenziando le crescenti minacce affrontate dai sistemi di dati sanitari. Le organizzazioni devono dare priorità alla distribuzione tempestiva di aggiornamenti e patch per tali vulnerabilità per proteggere i dati sanitari sensibili da accessi non autorizzati e potenziali sfruttamenti. In qualità di fornitore leader di certificati digitali, SSL.com sottolinea la necessità di implementare solide misure di crittografia e di utilizzare certificati digitali per garantire l'integrità dei dati e canali di comunicazione sicuri, rafforzando così le difese contro minacce informatiche così sofisticate.
La città di Wichita presa di mira da un attacco ransomware del fine settimana
La città di Wichita, Kansas, la più grande città dello stato e una delle 50 città più grandi degli Stati Uniti, ha rivelato di essere stata colpita da un attacco ransomware durante il fine settimana. L'incidente, avvenuto domenica 5 maggio, ha costretto la Città a chiudere parti della propria rete per impedire la diffusione del ransomware su altri dispositivi. Con una mossa insolitamente trasparente, la città ha confermato l'attacco al proprio sito web, affermando che è in corso un'analisi e una valutazione approfondita dell'incidente, compreso il potenziale impatto sui dati. A seguito dell'attacco, i sistemi di pagamento online del Comune, compresi quelli per il pagamento delle bollette dell'acqua, delle citazioni in tribunale e dei biglietti, sono attualmente offline. Sebbene la città non abbia rivelato l’identità della banda di ransomware responsabile dell’attacco, ha segnalato l’incidente alle forze dell’ordine locali e federali, che stanno assistendo nella risposta. Non è ancora noto se siano stati rubati dati, anche se è normale che le bande di ransomware estraggano dati da reti compromesse per giorni o addirittura settimane prima di implementare i loro crittografi. Nonostante l'attacco, il Città ha assicurato ai residenti che i primi soccorritori, compresi la polizia e i vigili del fuoco, continuano a fornire servizi, essendo passati, ove necessario, a misure di continuità operativa.SSL.com Approfondimenti: In risposta alla crescente minaccia di attacchi ransomware, come esemplificato dal recente incidente di Wichita, le organizzazioni dovrebbero migliorare la sicurezza della propria rete implementando forti controlli di accesso e segmentando le reti per limitare la diffusione di tali attacchi. Garantire che i sistemi sensibili siano isolati e che l’accesso alle infrastrutture critiche sia concesso solo dopo l’autenticazione a più fattori può ridurre drasticamente l’impatto del ransomware. Anche i backup pianificati regolarmente e la capacità di ripristinare rapidamente i sistemi sono cruciali per il ripristino dopo un attacco, riducendo al minimo i tempi di inattività e la potenziale perdita di dati. SSL.com's I certificati di autenticazione client rafforzano queste misure di sicurezza fornendo un metodo per autenticare utenti e dispositivi, garantendo che solo il personale autorizzato possa accedere a sistemi e dati critici, il che è fondamentale per prevenire l’accesso non autorizzato che potrebbe portare alla distribuzione di ransomware.
Fortificare Infrastruttura critica Difesas
Il ransomware Black Basta prende di mira oltre 500 organizzazioni in tutto il mondo
Secondo un avviso congiunto pubblicato da CISA e FBI, l'operazione ransomware-as-a-service (RaaS) Black Basta ha preso di mira più di 500 entità del settore privato e delle infrastrutture critiche in Nord America, Europa e Australia sin dalla sua comparsa nell'aprile 2022. , HHS e MS-ISAC. Gli autori delle minacce dietro Black Basta hanno crittografato e rubato dati da almeno 12 dei 16 settori delle infrastrutture critiche, utilizzando un modello di doppia estorsione. Gli affiliati del gruppo utilizzano tecniche comuni di accesso iniziale, come il phishing e lo sfruttamento di vulnerabilità note, e forniscono alle vittime un codice univoco per contattarle tramite un URL .onion per istruzioni sul pagamento del riscatto. Black Basta è stato collegato a 28 dei 373 attacchi ransomware confermati nell'aprile 2024 e ha assistito a un aumento del 41% dell'attività trimestre su trimestre nel primo trimestre del 1. Si ritiene che il gruppo abbia legami con il gruppo di criminalità informatica FIN2024. Il panorama dei ransomware sta subendo cambiamenti, con un calo dell’attività del 18% nel primo trimestre del 1 rispetto al trimestre precedente, principalmente a causa delle operazioni delle forze dell’ordine contro ALPHV (aka BlackCat) e LockBit. Nelle ultime settimane sono emersi anche nuovi gruppi di ransomware, come APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra. Nonostante il calo complessivo dell’attività ransomware, secondo un sondaggio di Sophos, il pagamento medio del riscatto è aumentato di 5 volte nell’ultimo anno, da 400,000 a 2 milioni di dollari. Tuttavia, le vittime si rifiutano sempre più di pagare l’importo iniziale richiesto, con solo il 24% degli intervistati che paga la richiesta originale.SSL.com Approfondimenti: Per combattere la crescente minaccia del ransomware, come esemplificato dall’operazione Black Basta, le organizzazioni dovrebbero implementare una solida strategia di sicurezza a più livelli che includa il rilevamento tempestivo dei tentativi di phishing e lo sfruttamento delle vulnerabilità note, che sono comuni inizialmente tecniche di accesso per attacchi ransomware. È fondamentale aggiornare e applicare patch continuamente ai sistemi per difendersi dagli exploit noti e utilizzare sofisticati strumenti di rilevamento e risposta degli endpoint in grado di farlo identificare e neutralizzare le minacce prima che si intensifichino. Inoltre, le organizzazioni dovrebbero formare regolarmente il proprio personale sulle migliori pratiche di sicurezza informatica e sulla consapevolezza del ransomware per prevenire attacchi di phishing di successo. SSL.com's I certificati di autenticazione client possono migliorare significativamente le misure di sicurezza garantendo che solo i dispositivi e gli utenti autenticati possano accedere alle risorse di rete, riducendo il rischio di accesso non autorizzato che può portare alla distribuzione di ransomware; Inoltre, questi certificati possono aiutare a proteggere le comunicazioni e-mail, un vettore comune per la distribuzione di ransomware, aggiungendo così un livello essenziale di difesa contro tali minacce informatiche.
Aumenta la tua resilienza informatica
Annunci SSL.com
SSL.com's S/MIME I certificati ora possono essere integrati con una rete abilitata LDAP
LDAP (Lightweight Directory Access Protocol) è un protocollo standard del settore per l'accesso e la gestione dei servizi di informazioni sulle directory. Viene comunemente utilizzato per archiviare e recuperare informazioni su utenti, gruppi, strutture organizzative e altre risorse in un ambiente di rete.
Integrazione di LDAP con S/MIME implica l'utilizzo di LDAP come servizio di directory per archiviare e gestire i certificati utente.
Integrando LDAP con S/MIME certificati, le organizzazioni possono centralizzare la gestione dei certificati, migliorare la sicurezza e semplificare il processo di recupero e autenticazione dei certificati in varie applicazioni e servizi che sfruttano LDAP come servizio di directory.
Contatti vendite@ssl.com per ulteriori informazioni sull'integrazione LDAP.
