Spcnet.it - Nuovi toolkit di cybersecurity, una settimana sotto i ransomware
Non potevamo non dedicare questa settimana di sicurezza informatica, a malware e ransomware. Tante analisi tecniche su www.spcnet.it
Con la fine di un'altra settimana, diamo uno sguardo veloce a tutti gli sviluppi positivi verificatisi questa settimana. La Cybersecurity and Infrastructure Security Agency (CISA) ha messo a punto nuove strategie per rafforzare l'ecosistema informatico delle agenzie governative. Uno di questi include il rilascio di sei toolkit di Cyber Essentials che miglioreranno il livello di consapevolezza della sicurezza tra le organizzazioni. L'altra è legata a un nuovo resolver Domain Name System (DNS) che migliorerà la resilienza dei sistemi online delle agenzie federali.
Buone notizie
A seguito dell'annuncio di Cyber Essentials del novembre 2019, il CISA di DHS ha rilasciato la prima serie di toolkit di Cyber Essentials per affrontare i rischi di sicurezza informatica nelle agenzie governative e nelle piccole imprese. È composto da sei toolkit volti a sviluppare la consapevolezza della sicurezza, proteggere le risorse critiche e altro ancora.
CISA ha inoltre pianificato di implementare un nuovo servizio di risoluzione DNS (Domain Name System) per garantire la resilienza dei sistemi online. Il servizio consentirà inoltre a CISA di acquisire informazioni sulle minacce informatiche attive per analizzare e proteggere le agenzie federali.
Un gruppo di accademici ha sviluppato un prototipo di etichette di sicurezza e privacy per i dispositivi IoT per aumentare la consapevolezza della sicurezza informatica tra gli utenti. Le etichette sono state create dopo aver consultato un gruppo diversificato di esperti di privacy e sicurezza.
Brutte notizie
Nel frattempo, gli attacchi con ransomware hanno continuato a rappresentare una delle maggiori preoccupazioni per diverse organizzazioni in quanto gli aggressori hanno rubato file sensibili e hanno minacciato di diffonderli online. Alcune delle organizzazioni delle vittime includono l'Università della California, San Francisco (UCSF) , Digital Management Inc. e Westech International .
Gli autori di Maze ransomware hanno provocato il caos di Westech International, un appaltatore missilistico nucleare statunitense. Dopo aver ottenuto l'accesso alla rete aziendale, gli aggressori hanno rubato e-mail aziendali, dati sui salari e alcune informazioni personali.
Gli hacker del ransomware Netwalker hanno attaccato con successo l' UCSF e hanno filtrato diverse informazioni sensibili prima di crittografare i computer. I dati compromessi includono le domande degli studenti con numeri di previdenza sociale, informazioni sui dipendenti, studi medici e dettagli finanziari.
Il Sistema pensionistico dei dipendenti di San Francisco (SFERS) ha subito una violazione dei dati che ha interessato le informazioni di quasi 74.000 membri. L'incidente si è verificato dopo che gli hacker hanno ottenuto l'accesso non autorizzato a un database ospitato in un ambiente di test.
Una campagna di attacco su larga scala è stata condotta dagli aggressori con l'intento di raccogliere le credenziali del database da 1,3 milioni di siti WordPress scaricando i loro file di configurazione. La campagna è stata lanciata tra il 29 e il 31 maggio 2020.
L’interscambio di criptovaluta Coincheck è stato colpito in un attacco informatico dopo che gli hacker hanno ottenuto l'accesso ad alcune e-mail inviate dai clienti. Queste e-mail includevano nomi, date di nascita e numeri di telefono dei clienti.
La banda di ransomware DopplePaymer ha presumibilmente violato la rete di Digital Management Inc. Per supportare la sua richiesta, ha pubblicato 20 file di archivio su un portale web oscuro.
La piattaforma di e-learning spagnola, 8Belts, ha rivelato dettagli privati di almeno 100.000 e-learners a causa di un bucket Amazon S3 non configurato correttamente. Il bucket conteneva numeri di identità, nomi completi, ID e-mail e informazioni di contatto degli utenti.
Gli operatori di ransomware di Sodinokibi hanno fatto trapelare i file presumibilmente rubati dalla compagnia elettrica britannica Elexon, dopo che non avevano ricevuto il riscatto. L'azienda è stata attaccata nel maggio 2020.
Il servizio ferroviario passeggeri degli Stati Uniti, Amtrak, ha informato di alcuni dei dati personali dei suoi clienti che potrebbero essere stati compromessi a causa dell'accesso non autorizzato ai conti dei premi degli ospiti. Questi account contenevano nomi, indirizzi e-mail, numeri di telefono, indirizzi di fatturazione e indirizzi postali dei clienti.
Joomla ha segnalato una violazione dei dati dopo che un membro del team ha lasciato un backup del portale JRD esposto su un bucket Amazon S3. Il file di backup includeva i dettagli di circa 2.700 utenti che hanno registrato e creato profili sul sito Web JRD.
Un hacker chiamato KingNull ha diffuso un database appartenente a Daniel's Hosting (DH), uno dei maggiori servizi di hosting nel darkweb, su un portale di condivisione file. I dati trapelati includevano 3.671 indirizzi e-mail, 7205 password account e 8580 chiavi private per domini .onion.
Nuove minacce
Parlando di nuove minacce, i ricercatori di sicurezza hanno scoperto un nuovo malware BazarBackdoor gestito dalla banda dietro il trojan TrickBot.
In una recente campagna è stata trovata una nuova varietà di ransomware chiamata Tycoon destinata ai sistemi Windows e Linux. Ha distribuito un Java Runtime Environment trojanizzato per nascondere le sue intenzioni dannose. Il malware viene distribuito tramite server RDP non sicuri con connessione a Internet.
Gli hackers hanno utilizzato la funzionalità macro di Excel 4.0 per consegnare il trojan Ursnif in una campagna di cyberespionage. Ciò ha consentito agli aggressori di nascondere il trojan continuando con il processo di infezione.
I creatori di TrickBot hanno utilizzato un nuovo malware BazarBackdoor per ottenere pieno accesso alle reti di destinazione. Il malware appena scoperto è stato distribuito tramite e-mail di spearphishing che sfruttavano avvisi di risoluzione dei dipendenti, reclami dei clienti e altri temi per ingannare i destinatari.
Le bande di ransomware si stanno unendo per estorcere le vittime attraverso una piattaforma di pirateria di dati condivisa. Nell'ambito di questa iniziativa, gli operatori di ransomware Maze hanno pubblicato i dati rubati dalla banda di ransomware LockBit sul loro sito.
La banda di ransomware Sodinokibi ha lanciato un sito di aste per vendere dati rubati da diverse organizzazioni. La prima asta è stata organizzata per i dati rubati da un'azienda agricola canadese.
Se questa newsletter ti è piaciuta seguici anche sui nostri canali Social!