Blog sulla sicurezza informatica e l’informazione dei sistemi

Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.

Month: July 2021

La Cina nega l’hacking dei dati sul fiume Mekong e confuta il rapporto Reuters

Il rapporto Reuters accusa la Cina dell’hacking di dati sul fiume Mekong dalla Cambogia.

Non è immediatamente chiaro quale tipo di dati abbiano rubato gli hacker e non sappiamo perché abbiano fatto questo tentativo. Ma ci deve essere qualcosa di interessante o importante che li ha motivati ​​a farlo”, ha affermato il Segretariato della Commissione del fiume Mekong (MRC). Questo è successo nel 2018 ma stiamo ascoltando la notizia ora che il dipartimento di giustizia degli Stati Uniti l’ha rilasciata.

Il Segretario ha anche affermato che la maggior parte dei dati su MRC è disponibile pubblicamente e ospitata su un portale di dati. Il portale rappresenta un magazzino di dati in cui sono attualmente disponibili almeno 10.333 dataset. I set di dati includono serie temporali idro-meteorologiche e climatiche attuali e storiche, mappe spaziali, atlanti, fotografie e set di dati settoriali a cui è possibile accedere facilmente.

L’accusa dell’hacking è partita dagli Stati Uniti e puntava ad una campagna di spionaggio informatico globale: tra i governi presi di mira dagli hacker cinesi c’era la Cambogia, uno dei più fedeli alleati asiatici di Pechino.

L’obiettivo dell’attacco è stato rivelatore: le discussioni tra Cina e Cambogia sull’uso del fiume Mekong (segreti commerciali e dati idroacustici). Il Mekong infatti è divenuto un nuovo campo di battaglia per l’influenza statunitense e cinese nel sud-est Asia.

Reuters si basa sulle accuse che “sono state delineate in un atto d’accusa di 30 pagine del tribunale degli Stati Uniti che descrive in dettaglio le attività di quella che è stata definita una società di facciata gestita dalla sicurezza dello stato cinese ad Hainan, una provincia insulare cinese vicino al sud-est asiatico”.

Tra gli obiettivi degli hacker c’era il “Ministero del governo cambogiano”, secondo l’accusa, dal quale “hanno rubato dati relativi alle discussioni tra i governi di Cina e Cambogia sull’uso del fiume Mekong” nel gennaio 2018.

In risposta a Reuters, il ministero degli Esteri cinese ha affermato che le accuse alla Cina dell’hacking ai dati sul Mekong sono infondate e che gli Stati Uniti sono la principale fonte mondiale di attacchi informatici, compresa anche l’intercettazione dei propri “alleati”:

La Cina si è opposta fermamente e ha combattuto gli attacchi informatici di tutte le forme. La Cina non fa mai [questi attacchi] né incoraggerà, sosterrà o condonerà gli attacchi informatici. Gli Stati Uniti, infatti, sono la più grande fonte di attacchi informatici al mondo.

Leggi anche: Cyber crime e aziende comparto energia in Italia a rischio: il rapporto Swascan

pegasus-spyware-andrea-biraghi

Pegasus spyware: l’hacking tool per spiare giornalisti e attivisti

Attivisti, giornalisti per i diritti umani ed oppositori politici sono stati oggetto di tentativi di hacking tramite Pegasus spyware di NSO Group. Secondo un’indagine circa 37 smartphone – su 67 esaminati – sono stati violati con successo utilizzando lo strumento di sorveglianza, sviluppato dall’azienda israeliana di armi informatiche NSO. Il leak contine circa 5.000 numeri di telefono. il TheGuardian riporta che “si ritiene che un gruppo di 10 governi siano clienti NSO che aggiungono numeri al sistema, con l’elenco che include Azerbaigian, Kazakistan, Ruanda ed Emirati Arabi Uniti, tra gli altri”.

NSO Group è noto per la produzione di strumenti di hacking, utilizzati dai governi e dalle forze dell’ordine di tutto il mondo. Lo strumento più noto dell’azienda è “Pegasus”, uno spyware in grado di eseguire il jailbreak di un dispositivo come un iPhone, installare malware e consentire l’esportazione dei dati dell’utente.

Il malware può violare sia gli smartphone con sistema Android sia iOS, lasciando pche tracce. Entra in azione grazie ad un click dell’utente su un link dannoso ricevuto – si insinua all’interno del dispostivo accendendo ad informazioni come: foto, registrazioni, passwords, localzzazione, registri chiamate e post pubblicati sui social. Inoltre Pegasus consente di abilitare telecamere e microfoni in segreto, leggere messaggi crittografati e registrare telefonate. È stato anche possibile acquisire le coordinate GPS, consentendo il monitoraggio in tempo reale e la registrazione di dove si trovava il bersaglio.

In un’indagine di un gruppo di 17 organizzazioni dei media, sembra che Pegasus venga utilizzato per attaccare i critici dei governi, piuttosto che solo contro i criminali. Una fuga di notizie, riportata da The Guardian, include un elenco di oltre 50.000 numeri di telefono ritenuti persone di interesse per i clienti del gruppo NSO dal 2016.

…nell’elenco sono stati inclusi più di 180 numeri associati ai giornalisti, inclusi giornalisti e dirigenti di importanti testate, tra cui il Financial Times, la CNN e il New York Times.

Nell’ottobre 2019, Facebook ha fatto causa a NSO Group per accuse che il produttore di strumenti di hacking abbia utilizzato una vulnerabilità in WhatsApp per inviare malware a circa 1.400 giornalisti. Nell’aprile 2020, il gruppo NSO ha affermato che Facebook si era precedentemente avvicinato alla società nel 2017 per acquistare potenzialmente l’accesso al software, in particolare per raccogliere dati sui dispositivi Apple.

AppleInsider

Leggi anche: Cyber spionaggio e controllo da remoto: Mollitiam e il monitoraggio di massa di profili e identità digitali

cyber-crime italia-settore-energia-andrea-biraghi

Cyber crime e aziende comparto energia in Italia a rischio: il rapporto Swascan

Cyber crime: l’Italia è il quarto paese più colpito dai ransomware subito dopo Regno Unito, Francia e Germania.

I dati arrivano dalla scoietà di sicurezza informatica FireEye che segna una crescita dei ransomwareche colpisce tutta l’area Emea. L’area Emea comprende Europa, Africa e Medio Oriente, e i ransomware rappresentano la tipologia di attacco cyber maggiormente in aumento, con un +422% tra febbraio 2020 e maggio 2021.

Quali sono i settori più colpiti? dal cyber crime in Italia? Il settore manifatturiero è al primo posto, seguito da servizi legali e professionali, logistica e industria ingegneristica.

“I gruppi che operano attraverso attacchi ransomware continueranno a crescere fino a quando non inizieremo ad affrontare il problema a livello politico.Rallentare queste attività criminali richiederà un livello di coinvolgimento che non abbiamo mai visto prima. Il cybercrime è una sfida globale e abbiamo necessità di segnalare e operare contro i paesi che offrono protezione ai cyber criminali o che accettano, con passività, le loro azioni, finché non colpiranno chi li ospita o li protegge”. 

Jens Monrad, Director, Head of Mandiant Intelligence, Emea

Nel frattempo Swascan ha pubblicato l’Energy Cyber Risk Indicator (Giugno 2021): gli indicatori sono stati determinati con il servizio di Domain Threat Intelligence (DTI).

Sottolineando il fatto che il settore energetico è una delle infrastrutture critiche del nostro Paese, sostenendone le attività e lo sviluppo economico, evidenzia come la transizione verso una rete energetica digitalizzata o 4.0, esponga il settore a nuovi rischi e alle attvità malevole dei “criminal hacker”.

Il settore sarebbe quindi ad altro rischio e la conferma è il numero crescente di minacce e di attori che prendono di mira le utility. Ulteriore criticità è rappresentata dalla natura decentralizzaa della leadership della cyber security di molte organizzazioni, oltre alle interdipendenze – tra le le infrastrutture fisiche e informatiche – che rendono le aziende vulnerabili agli attacchi. L’analisi riferita al Giugno 2021, prende in considerazione un campione di 20 aziende tra le prime 100 del settore su base fatturato.

Il numero totale delle potenziali vulnerabilità riscontrate per il settore energetico è 1643, così distribuite: 4 aziende (20% del campione) hanno 0 potenziali vulnerabilità, 7 aziende (35% del campione) hanno tra 1 e 25 potenziali vulnerabilità, 3 aziende (15% del campione) hanno tra 26 e 50 potenziali vulnerabilità e 6 aziende (30% del campione) hanno più di 50 potenziali vulnerabilità. La media delle potenziali vulnerabilità è 82, ma è presente 1 azienda che espone oltre 900 potenziali vulnerabilità: escludendola dal calcolo della media, il numero medio di potenziali vulnerabilità per azienda si abbassa da 82 a 34.

Energy Cyber Risk Indicator – Swascan
Attacco-ransomware-via-Kaseya-andrea-biraghi

Attacco ransomware via Kaseya: aziende di tutto il mondo sotto minaccia

Il nuovo attacco ransomware che via Kaseya si sta diffondendo tra centinaia di clienti.

Kaseya è un software utilizzato nel monitoraggio remoto, nella gestione delle tecnologie dell’informazione, nella risoluzione della sicurezza di rete e basata su cloud: si tratta di un software utilizzato da grandi aziende e fornitori di servizi tecnologici per gestire e distribuire aggiornamenti software ai sistemi sulle reti di computer

L’attacco secondo i ricercatori di sicurezza e VSA Kaseya Ltd – dopo un’attenta analisi da parte della società di sicurezza informatica Emsisoft – è stato operato dal noto gruppo REvil, il gruppo ransomware che circa un mese fa ha raccolto un pagamento di 11 milioni di dollari dal produttore di carne JBS SA ha iniziato un attacco diffuso che ha probabilmente infettato centinaia di organizzazioni in tutto il mondo e decine di migliaia di computer, secondo gli esperti di sicurezza informatica.

JBS Foods – il più grande fornitore di carni al mondo – ha dovuto fermare i suoi stabilimenti in seguito ad un attacco ransomware. Il 31 Maggio 2021 l’attacco condotto dal gruppo hacker REvil ha mandato fuori uso i server di supporto ai sistemi IT del colosso, paralizando la produzione degli impianti.

Attacchi informatici 2021: gli hacker prendono di mira gli USA

REvil è un noto fornitore di ransomware, e il riscatto chiesto è in genere sotto forma di bitcoin. Ma questo ultimo attacco sembra essere il più grande di sempre. Secondo gli esperti di sicurezza informatica, l’incidente potrebbe aver infettato fino a 40.000 computer in tutto il mondo. Tra le società colpite una catena di supermercati in Svezia, che ha affermato che in alcuni casi i suoi registratori di cassa sono stati colpiti nell’attacco, spingendo molti dei suoi negozi a chiudere.

Kaseya ha riferito che circa 40 suoi clienti (provider/fornitori IT) sono stati colpiti dal ransomware e consiglia di spegnare i suoi sistemi. Chiunque li sui ora è a rischio.

Cybersecurity360

In una nota Kaseya avvisa che continueranno ad indagare sull’incidente di sicurezza con FireEye Mandiant IR (azienda leader nella risposta agli incidenti informatici): nessun “Falso Positivo” è stato segnalato dagli utenti.