Skip to main content

Tag: attacchi informatici

Cyber Spionaggio Nord Corea Cina: la ricerca di CrowdStrike

Cyber spionaggio delle tecniche di hacking da parte della Nord Corea per rubare ai ricercatori cinesi tecniche e strategie.

Secondo una ricerca di CrowdStrike condivisa esclusivamente con The Daily Beast, hacker con sospetti legami con la dittatura di Pyongyang hanno perseguito i ricercatori cinesi della sicurezza in un apparente tentativo di spionaggio per rubare le loro tecniche di hacking.

Gli hacker nordcoreani – secondo CrowdStrike – avrebbero preso di mira i ricercatori di sicurezza cinesi con documenti esca in lingua cinese etichettati “Securitystatuscheck.zip” e “_signed.pdf“, nella speranza che i ricercatori sarebbero stati costretti a fare clic sulle esche.

I documenti, che CrowdStrike ha scoperto a giugno, contenevano informazioni sulla sicurezza informatica del Ministero della Pubblica Sicurezza cinese e del Comitato tecnico nazionale per la standardizzazione della sicurezza delle informazioni.

Cyber Spionaggio la banda hacker Stardust Chollima dal Nord Corea

CrowdStrike chiama la banda di hacker nordcoreana “Stardust Chollima” – ma che altri ricercatori etichetterebbero come Lazarus Group – con ogni probabilità ha inviato le esche tramite e-mail, ha detto a The Daily Beast Adam Meyers, vice presidente dell’intelligence di CrowdStrike. Questa campagna sembra imitare le precedenti missioni di hacking nordcoreane che utilizzavano e-mail e social media per tentare di distribuire malware ai ricercatori di sicurezza, afferma Meyers.

La tattica potrebbe ampliare la roadmap del team di hacker di Kim Jong Un per superare in astuzia altri hacker in tutto il mondo.

Per la Corea del Nord, che gestisce operazioni di hacking volte a raccogliere entrate per finanziare il regime, incluso il suo programma di armi nucleari, il nuovo know-how di hacking potrebbe fare la differenza.

E queste operazioni, ha detto Meyers a The Daily Beast, probabilmente consentono ai nordcoreani di rubare exploit o apprendere nuove abilità di hacking che altrimenti non avrebbero.

“Per la ricerca sulla vulnerabilità in particolare sarebbe interessante: in effetti ti permette di raccogliere e rubare armi che puoi usare per altre operazioni. Potrebbe anche fornire loro informazioni su nuove tecniche di cui non sono a conoscenza e su come viene condotta la ricerca”, ha affermato Meyers. “Ti consente anche di sapere come appare la posizione di sicurezza in altri paesi”.

Leggi anche: Cina e spionaggio: la criminalità non sarà più la norma, gli hacker saranno statali

Data Breach USA: nuove violazioni a difesa, energia,sanità, tecnologia e istruzione

Nuovi data breach in USA da parte di sospetti hacker stranieri che secondo la società di sicurezza Palo Alto Networks hanno violato nove organizzazioni nei settori della difesa, dell’energia, della sanità, della tecnologia e dell’istruzione- con un potenziale focus sui server utilizzati dalle aziende che collaborano con il Dipartimento della Difesa. Secondo le analisi, almeno una di queste organizzazioni si trova negli Stati Uniti.

Palo Alto Networks ha anche sottolineato come gli attaccanti siano interessati a rubare credenziali e a mantenere l’accesso per raccogliere dati sensibili dalle reti delle vittime per l’esfiltrazione.

Data Breach USA: potenziali legami con la Cina

Il CNN riporta: non è chiaro chi sia il responsabile della violazione, ma alcune delle tattiche degli aggressori si sovrappongono a quelle utilizzate da un sospetto gruppo di hacker con potenziali legami con la Cina. I primi risultati legati alla campagna di spionaggio, rivolto in particolare al settore della difesa, hanno rivelato i risultati resi pubblici questa scorsa domenica da Cnn sul monitoraggio attivo da parte della National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) che non hanno fatto commenti sulle identità del gruppo di ataccanti, ma la CISA ha dichiarato di stare usando un nuovo programma difensivo per “comprendere, amplificare e guidare l’azione in risposta all’attività identificata”.

Secondo il rapporto della società di sicurezza informatica Palo Alto Networks, gli hacker hanno preso di mira almeno 370 organizzazioni che gestiscono server Zoho potenzialmente vulnerabili solo negli Stati Uniti, compromettendone con successo almeno uno, come parte di una più ampia campagna globale.

Gli attacchi sono iniziati a metà settembre e sono proseguiti nel mese di ottobre. La CISA, la Guardia Costiera degli Stati Uniti e l’FBI hanno emesso un avviso poco prima dell’inizio dell’attività di minaccia, avvertendo che gli hacker stavano sfruttando attivamente la vulnerabilità su Zoho Manage Engine.

Leggi anche: Reti informatiche delle società di telecomunicazioni sotto attacco

Sicurezza IoT (internet of things): proteggere le tecnologie emergenti

La sicurezza IoT (internet of things o Internet delle cose) è un settore della tecnologia dell’informazione che si concentra sulla protezione di dispositivi endpoint, reti e dati relativi a dispositivi connessi come frigoriferi intelligenti, telecamere di sicurezza a monitor o automobili e le loro applicazioni e i dati associati che possono essere compromessi.

Ma perché la sicurezza IoT è necessaria ed importante? Dopotutto, le tecnologie “intelligenti” dovrebbero anche essere sicure, giusto? Se però alla nostra rete continuiamo ad aggiungere dispositivi più punti di ingresso andremo a creare e se solo uno di questi dispositivi presenta una vulnerabilità può essere la porta attraverso la quale entrerà un malintenzionato, mettendo i nostri dati a richio. Pensiamo poi a coa può succedere ad un’azienda o ad un’organizzazione.

Secondo Mike Nelson, vice presidente di IoT Security di DigiCert risponde:

“In sostanza, l’IoT consiste nel connettere le cose per creare nuovi dati utilizzabili. Ogni volta che la connettività viene introdotta in un sistema, i rischi informatici aumentano. Se non protetta, questa connettività può aprire backdoor nella rete dell’organizzazione. Inoltre, con la crescente connettività, i nuovi dati generati e trasmessi creano ulteriori rischi. Ogni volta che questi dati contengono informazioni aziendali o personali sensibili, devono essere trattati in modo confidenziale”.

TheSSLStore

Leggi anche: IoT e sicurezza informatica: perchè conta | Andrea Biraghi

Quando acquistiamo dispositivi IoT, ci aspettiamo che siano sicuri. Sappimao anche però che nessuna tecnologia o software è sicuro al 100%. Bioagna ricordare che anche i dispositivi IoT sono progettati e programmati dalle persone e le persone commettono errori. E anche un errore insignificante può avere un grande impatto: pensiamo solo ad un dispositivo intelligente usato in ambito medico.

Secondo Niko Sagiadinos, sviluppatore e proprietario della società di digital signage SmilControl :

“I dispositivi IoT possono essere utilizzati come gateway per l’infrastruttura digitale dell’azienda o del Paese. Cavalli di Troia per lo spionaggio, malware per il sabotaggio e ransomware per ricatto fraudolento”.

Infine il Threat Intelligence Report di NetScout afferma che molti dispositivi IoT possiedono vulnerabilità note che li rendono facili da compromettere se connessi ad Internet. A ciò si aggiunge che molti non dispongono di un meccanismo di aggiornamento software e quindi ad un certo pnto della loro vita.

Approfondisci con: Internet of things: la tecnologia estende internet ad oggetti e spazio

Reti informatiche delle società di telecomunicazioni sotto attacco

Prese di mira le reti informatiche nel settore delle telecomunicazioni che secondo il rapporto CrowdStrike sono sotto attacco. Il gruppo di criminali informatici potrebbe essere potenzialmente collegato alla Cina, ma al momento non ci sono evidenze che gli attacchi possanno essere collegati a questo paese.

Le società di telecomunicazioni sono state a lungo un obiettivo primario per gli stati-nazione, con attacchi o tentativi visti da Cina, Russia, Iran e altri paesi e secondo il rapporto LightBasin (UNC1945) si rivolge costantemente al settore su scala globale almeno dal 2016. Il gruppo ha compromesso – con successo – almeno 13 gruppi di telecomunicazioni solo negli ultimi due anni.

Adam Meyers di CrowdStrike ha affermato che la sua azienda ha raccolto le informazioni rispondendo a incidenti in più paesi, qundi martedi la società ha pubblicato tutti dettagli tecnici per consentire ad altre società di verificare attacchi simili. Meyers ha infatti sottolineato la criticità di proteggere tutti gli aspetti dell’infrastruttura di telecomunicazioni che sono sotto attaccao e che secondo sempre la società continueranno ad essere prese di mira.

LightBasin inizialmente ha avuto accesso al primo server eDNS tramite SSH da una delle altre società di telecomunicazioni sotto attacco e compromesse, utilizzando password estremamente deboli e di terze parti (ad es. Huawei).

Successivamente, LightBasin ha implementato la propria backdoor SLAPSTICK PAM sul sistema per trasferire le credenziali in un file di testo offuscato. LightBasin è poi passato a sistemi aggiuntivi per impostare più backdoor SLAPSTICK.

Successivamente, LightBasin è tornato ad accedere a diversi server eDNS da una delle società di telecomunicazioni compromesse mentre implementava un impianto di segnalazione del traffico ICMP tracciato da CrowdStrike come PingPong con il nome file /usr/bin/pingg, con persistenza stabilita tramite lo script SysVinit modificato /etc/rc .d/init.d/sshd attraverso la seguente riga aggiuntiva:

cd /usr/bin && nohup ./pingg >/dev/null 2>&1 &

LEGGI IL RAPPORTO COMPLETO: LightBasin: A Roaming Threat to Telecommunications Companies

Leggi anche: Italia è seconda in Europa per attacchi informatici :”+36% in un anno”

Italia è seconda in Europa per attacchi informatici “+36% in un anno”

Italia seconda in Europa per attacchi informatici: sono le rilevazioni di CheckPoint Software Technologies, che afferma che gli attacchi ammontano a oltre 900 a settimana.

Tra i settori colpiti da attacchi cyber gravi negli ultimi dodici mesi, spiccano (in ordine decrescente): “Multiple Targets”: 20% del totale. Si tratta di attacchi realizzati in parallelo verso obiettivi molteplici, spesso indifferenziati, che vengono colpiti “a tappeto” dalle organizzazioni cyber criminali, secondo una logica “industriale”. Gli attacchi verso questa categoria di obiettivi sono tuttavia in calo del 4% rispetto al 2019.

Come in tutti i Paesi, il ransomware è stato la forma di attacco più utilizzata e, in Italia, la percentuale di organizzazioni colpite da ransomware ogni settimana nel 2021, è del 1.9%

Corriere Comunicazioni

Il rapporto Clusit 2021, registra nell’anno della pandemia il record negativo degli attacchi informatici: a livello globale sono stati infatti rilevati 1.871 gli attacchi gravi di dominio pubblico nel corso del 2020. L’impatto degli attacchi – sottolineano gli esperti – ha risvolti in ogni aspetto della società, della politica, dell’economia e della geopolitica

Settore Governativo, Militare, Forze dell’Ordine e Intelligence hanno subìto il 14% degli attacchi a livello globale, mentre la Sanità, è stata colpita dal 12% del totale degli attacchi. Il settore Ricerca/Istruzione,ha ricevuto l’11% degli attacchi, i Servizi Online, colpiti dal 10% degli attacchi complessivi. Sono cresciuti, inoltre, gli attacchi verso Banking & Finance (8%), Produttori di tecnologie hardware e software (5%) e Infrastrutture Critiche (4%).

Raapporto Clusit – Settori più colpiti

Attacchi informatici in italia e a livello globale: distribuzione degli attaccanti

L’81% degli attacchi è rappresentato dalla categoria del cyber crime: il numero è quello più elevato negli ultimi dieci anni, con una crescita del +77% rispetto al 2017 (1 .517 contro 857) e del +9,7% rispetto al 2019 .

A dimunire per contro sono gli attacchi provenienti dalla categoria “Hacktivism”, che diminuiscono ancora (-2,1%) rispetto al 2019.

Nle 2020, aumentano gli attacchi gravi compiuti per finalità di “Cyber Espionage/Sabotage” (+30,4%) e quelli appartenenti alla categoria “Cyber Warfare” (+17,1%) ma risluat smepre più difficile distinguerli.

Rapporto Clusit sulla Sicurezza Informatica 2021

Leggi il rapporto Clusit

Microsoft: gli hacker sostenuti dallo stato russo hanno maggiore successo nel violare gli obiettivi del governo straniero

Secondo le dichiarazioni di Microsoft – rilasciate la scorsa settimana – gli hacker sostenuti dallo stato russo stanno avendo un maggiore successo nel violare obiettivi negli Stati Uniti e altrove. Microsoft ha anche aggiunto: il loro obiettivo e target principale degli attacchi sono le organizzazioni governative.

Cosa dice il rapporto Microsoft?

Secondo i ricercatori, le organizzazioni governative hanno rappresentato e rappresnetano ancora oltre la metà degli obiettivi per i gruppi di hacker collegati a Mosca per l’anno fino a giugno 2021, rispetto a solo il 3% dell’anno precedente.

Il tasso di successo delle loro intrusioni – tra obiettivi governativi e non governativi – è passato dal 21% al 32% anno su anno. Intanto il governo USA cerca di rafforzare le difese contro lo spionaggio informatico collaborando con gli alleati e condividendo pubblicamente le attività dei cyber criminali. La collaborazione è un punto fondamentale dell’azione contro la criminalità informatica sottolinea la CNN perchè si sta assistendo ad un condidervole aumento degli attacchi.

Il colleggamento degli hacker dello stato russo con le tensioni geopolitiche

Gli hacker russi dietro l’hacking di SolarWinds stanno cercando di infiltrarsi nelle reti governative statunitensi ed europeei dati includono l’operazione di spionaggio russa che ha violato almeno nove agenzie federali statunitensi nel 2020 sfruttando il software realizzato da SolarWinds, una società con sede in Texas.

Lo stesso gruppo russo dietro quell’attività ha continuato negli ultimi mesi a tentare di violare le organizzazioni governative statunitensi ed europee.L’amministrazione Biden ad aprile ha incolpato il servizio di intelligence estero russo, l’SVR, per quella campagna di spionaggio.

CNN

Mosca ha negato perà il suo coinvolgimento.

Tuttavia nel report di Microsoft – che ricorda chel ‘attività informatica è spesso correlata a dinamiche e tensioni geopolitiche più ampie – si legge che il 58% dei tentativi di hacking legati al governo ha avuto origine in Russia, seguito dal 23% dalla Corea del Nord, dall’11% dall’Iran e dall’8% dalla Cina. Questi ultimi sono stati registrati come i paesi più attivi.

Secondo Microsoft infatti mentre la Russia ha rafforzato le sue presenze di truppe lungo il confine con l’Ucraina all’inizio di quest’anno, lo stesso gruppo di hacker che ha effettuato le violazioni di SolarWinds ha “pesantemente preso di mira gli interessi del governo ucraino”.

“Storicamente, gli attacchi agli stati-nazione tendono a seguire dove si trova una priorità geopolitica per un paese”

Cristin Goodwin, capo dell’unità di sicurezza digitale di Microsoft alla CNN.

L’evoluzione degli attacchi DDoS: TDoS – Telephony Denial of Service

In un alert CyWare avvisa dell’evoluzione degli attacchi DDoS (Distributed Denial of Service): gli attacchi TDoS (Telephony Denial-of-Service). Gli attacchi informatici stanno diventando più impegnativi che mai e si stanno rafforzando con nuovi vettori di attacco e stano diventando sempre più efficaci con l’obiettivo di interrompere i servizi in modo efficace.

Emerge un nuovo tipo di attacco: il TDoS punta ai servizi di emergenza sfruttando sistemi automatizzati. L’FBI ha quindi avvertito che questo tipo di attacchi potrebbero costare in termini di vita e minacciare la sicurezza pubblica, perchè mirati a centri di spedizione di emergenza, come servizi di polizia, vigili del fuoco o ambulanze.

L’obiettivo è mantenere attive le chiamate di distrazione il più a lungo possibile, il che potrebbe ritardare o bloccare le chiamate legittime ai servizi.

Attacchi DDoS e TDoS automatici e manuali

Gli attacchi TDoS possono essere sia manuali che automatizzati: nel primo caso vengono sfruttati i social netrowrk, nel secondo caso vengono utilizzati software come VoIP e sip (Session Initiation Protocol) per effettuare decine o centinaia di chiamate, contemporaneamente oppure svolte in rapida successione. Tra gli scopi dei cyber criminali vi è quello dell’estorsione, ma vi è anche il fenomeno dell’hacktivismo, che utilizza la rete informatica per promuovere cause politiche e sociali.

“Un attacco TDoS automatizzato utilizza applicazioni software per effettuare decine o centinaia di chiamate, contemporaneamente o in rapida successione, per includere Voice Over Internet Protocol (VOIP) e SIP (Session Initiation Protocol). I numeri e gli attributi delle chiamate possono essere facilmente falsificiati, rendendo difficile differenziare le chiamate legittime da quelle dannose”

WeLiveSecurity – TDoS attacks could cost lives, warns FBI

Le linee guida FBI in caso i numeri di emergenza siano irragiungibili:

Contattare i servizi di emergenza locali per informazioni su come raggiungerli in caso di interruzione

Annotare i numeri non di emergenza per le forze dell’ordine, i soccorsi e le forze dell’ordine locali e preparali in caso di interruzione

Registrarsi per le notifiche automatizzate nella propria regione sulle situazioni di emergenza che si verificano nella zona

Seguire varie fonti di informazione, tra cui siti web e social media, per i soccorritori di emergenza nella zona

Spionaggio industriale: i gruppi hacker organizzati del cybercrime

Spionaggio industriale: mentre anche le imprese italiane cadono vittime dei crimini informatici e del cybercrime i ricercatori di sicurezza scoprono nuovi gruppi hacker organizzati che prendono di mira le aziende di tutto il mondo.

La società di sicurezza Group-IB ha pubblicato un rapporto di 57 pagine speigando in dettaglio le attività del gruppo hacker russo RedCurl: la sua attività si sarebbe concentrata – negli ultimi tre anni – proprio nello spionaggio industriale per rubare sia segreti commerciali che dati personali.

La spia va a caccia per conto d’altri, come il cane; l’invidioso va a caccia per conto proprio, come il gatto. Victor Hugo.

Spionaggio industriale: il gruppo RedCurl di lingua russa scoperto da Group-IB

Il nuovo gruppo hacker di lingua russa chiamato RedCurl, scoperto dai ricercatori di sicurezza informatica Group-IB, è sotto studio e analsi dall’estate del 2019 dopo l’ennesima violazione ai sistemi.

Si contano circa 26 attacchi informatici identificati, indirizzati a circa 14 organizzazioni che risalgono anche a molto tempo prima, al 2018. Tra le vittime si contano numerosi settori industriali tra società di costruzione, agenzie di assicurazione, banche e società di consulenza. Tra i paesi oggetto di attacco ci sono la Russia, l’Ucraina, il Canada, la Germania, la Norvegia e il Regno Unito.

Tra le tipologie di attacco emerge il spear-phishing per guadagnare l’accesso iniziale: le e-mail – come riporta CyberScoop – venivano inviate a più dipendenti contemporaneamente “il che ha reso i dipendenti meno vigili, soprattutto considerando che molti di loro lavoravano nello stesso reparto”. Le e-mail includevano link a file malware-laced che le vittime hanno dovuto scaricare e una volta scaricati ed eseguito il contenuto i sistemi sono stati infettati con dei trojan basati su PowerShell. Tra le violazioni documenti aziendali, contati, documenti finanziari, registri legali.

Studiando le loro tecniche i ricercatori di Gropu-IB hanno scoperto che gli attacchi erano simili ad altri gruppi hacker già noti come RedOctober e CloudAtlas già analizzati da Kaspersky. Group-IB ipotizza che il gruppo possa essere quindi una continuazione di tali attacchi precedenti.

Ecco alcuni riferimenti su CloudAtlas

KasperskyCloud Atlas APT upgrades its arsenal with polymorphic malware

RedOctober – Kaspersky Lab Identifies Operation “Red October,” an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide

Leggi anche:

Attacchi ransomware 2020: sempre più numerosi e aggressivi

Mentre gli attacchi ransomware e malware nel 2020 diventano sempre più numerosi e aggressivi, le organizzazioni non riescono a fare fronte con le loro sole risorse.

L’effetto della trasformazione digitale e del lavoro da casa hanno moltiplicato i danni: in continuo aumento dalla prima metà dell’anno le analisi degli attacchi informatici sono stati sintetizzati da SkyBox Security che acceta l’aumento del 72% di nuovi campioni di malware crittografato.

L’aumento degli attacchi si registra dall’inzio dell’epidemia di Covid_19, grazie anche al gran numero di imprese e aziende che sono passate al lavoro da remoto: ciò ha portato nuovi rischi e vulnerabilità. [leggi: Digital transformation amazing challenge].

Purtroppo, la pandemia di Covid ha moltiplicato i rischi informatici per ciascuno di noi.

Ransomware in aumento

Per fonteggiare e prevenire perdite o incidenti informatici è oggi quindi necessario adottare le misuere corrette per porre rimedio – innanzitutto – alle loro vulnerabilità, sfuttate dagli hacker. Oggi, oltre che essere una priorità, è divenunto anche un compito molto pressante per molti che devono affrontare la creazione di una nuova resilienza.

La superificie di attacco – per i criminali informatici è aumentata anche grazie allo smart working e alla poca formazione in materia di sicurezza informatica dei dipendenti delle aziende. La realtà però è che un ransomware può bloccare vaste aree di un’infrastruttura. [leggi: Come costruire una vera agilità aziendale, Andrea Biraghi: sfide e opportunità post Covid].

Attacchi ransomware e malware: Mata framework

Uno degli ultimi avvisi arriva da Kaspersky che sta allertando i Security Operation Center (SOC) su un nuovo malware che ha scoperto, sembra collegato al famigerato gruppo di hacker nordcoreano noto come Lazzaro. Soprannominato “MATA“, il framework è apparentemente in uso dall’aprile del 2018, principalmente per attacchi informatici progettati per rubare i database dei clienti e distribuire ransomware. Però di tempo ne è passato e ora sembra sia stato implementato per attaccare e-commerce, sviluppatori di software e ISP in Polonia, Germania, Turchia, Corea, Giappone e India.

Mata è in grado ci colpire i sistemi Windows, Linux e Mac Os: è poi costituito da diversi componenti, tra cui un loader, un orchestrator e plugin.

Leggi di più su Info.SecurityMagazine

Infrastrutture critiche e Scada: scenari attuali 2020

Protezione delle infrastrutture critiche e Scada (Supervisory Control and Data Acquisition): quali sono gli scenari attuali del 2020 in materia di sicurezza e difesa?

I crescenti incidenti dovuti agli attacchi informatici ai settori delle infrastrutture critiche sono in costante aumento, così come il numero delle vulnerabilità rilevate negli utlimi mesi del 2020. Non ultime quelle relative ai sistemi Scada / ICS utilizati per automatizzare il controllo dei processi e la raccolta dei dati. I sistemi Scada sono infatti divenuti oggi obiettivi ad alto valore del cyber crime che tenta di interrompere le operazioni aziendali.

Protezione delle Infrastrutture Critiche

La crescente necessità di proteggere le infrastrutture, in special modo quelle pubbliche, rileva la necessità di ridurre la tempistica sulla previsione degli attacchi e ridurre al minimo la potenziale esposizione alle minacce informatiche e cyber attacchi.

Protezione di Infrastrutture critiche e gli incidenti coinvolgono i sistemi Scada

Gli Scada, che abbiamo visto necessari per monitorare e controllare da remoto impianti industriali ed infrastrutturali e fungono da controllo di vigilanza: insieme ai sistemi di controllo industriale (ICS) sono componenti fondamentali per il funzionamento di impianti industriali e infrastrutture critiche. Putroppo però molti ICS non sono progettati per resistere agli attacchi informatici e i criminali informatiic stanno prendendo di mira questi sistemi con sempre più maggiore intensità.

Su Resource.InfosecInstitute.com sono stati pubblicati i dati di uno studio della società di sicurezza ICS Dragos che ha analizzato 438 vulnerabilità ICS segnalate in 212 avvisi di sicurezza nel 2019. L’analisi esguita ha rivelato che il 26% degli avvisi sono correlati a difetti zero-day. Tutto ciò preoccupa gli esperti di sicurezza informatica, poichè le vulnerabilità zero-day negli attacchi ha un’alta probabilità di successo.

Inoltre è stato rilevato che la maggior parte delle vulnerabilità erano insite nella rete dei sistemi di controllo per sfruttare i difetti derivanti, ad esempio, dalle workstation ingegneristiche, dai sistemi di interfaccia uomo-macchina (HMI) e altri dispositivi.

La maggior parte degli avvisi (circa il 75%) sono legati a vulnerabilità che potrebbero essere sfruttate dalla rete, mentre i difetti rimanenti potrebbero essere sfruttati solo da aggressori con accesso locale o fisico alla macchina mirata. Il 50% degli avvisi sono legati a vulnerabilità che potrebbero causare sia una perdita di controllo.

Il rischio derivante dagli attacchi che sfruttano i difetti relativi agli avvisi è molto elevato e oggi vi è la la necessità di impedire le violazioni di accesso da parte di utenti non autorizzati.

Le reti, i server, i client, i device mobili, gli oggetti IoT sono sempre più presi di mira e cyber attacchi alle infrastrutture critiche non accennano a cambiare rotta: la loro possibile interruzione unita a quella dei loro servizi è diventata oggetto di priorità.

Attacchi informatici: cosa ci aspetta nel corso del 2020?

Con gli attacchi informatici in continuo sviluppo le divisioni Cyber e i team di sicurezza devono sempre stare sull’attenti e devono prepararsi per nuovi tipi di minacce e vulnerabilità.

Ma quali sono le situazioni di pericolo reale ahe arrivano dal mondo del Cyber Spazio 2020?

attacchi-informatici-andrea-biraghi

Per comprendere e conoscere le statistiche in tempo reale un utile strumento è la mappa in tempo reale di Kaspersky.

Attacchi informatici e pericoli reali nel 2020

1 – Attacchi Cloud. Alcuni tipi di attacchi recenti sono mirati al Cloud e alle sue applicazioni: le difese perimetrali si sono dimostrate inefficaci. Il risultato nel 2019 è stato l’aumento di incidenti, tra cui la violazione dei dati di Microsoft a causa di un’errata configurazione del database. Ed ecco che l’errore umano torna in campo: i criminali informatici infatti sfruttano più volentieri questa debolezza piuttosto che i difetti tecnici di sicurezza.

Ci si aspetta che il ransomware prenderà sempre più di mira il Cloud, con veri e propri attacchi mirati: i nuovi attacchi nel 2020 utilizzeranno la memoria scraping di dati sensibili durante l’utilizzo da parte delle applicazioni, in particolare in ambienti cloud pubblici, per ottenere l’accesso ai dati durante la decrittografia. Secondo il Threat Lab di WatchGuard, sempre più a rischio sono gli archivi di file, bucket S3 e ambienti virtuali. Intanto le cifre dei riscatti aumentano in modo allarmante. Il migliore modo pere prevenirli? Pratiche di sicurezza IT e pratiche proattive.

2 – Tecnologia Swarm. In poche parole si tratta di sistemi decentralizzati che utilizzano l’automazione come l’Intelligenza Artificiale, che agisce in modo simile ad uno sciame di insetti. Ma questa tecnologia, utlissima in tanti campi, come la medicina o i trasporti, può essere sfruttata per attaccare reti e dispositivi.

Gli “sciami di bot” specializzati, utilizzati a scopo malevolo, possono infiltrarsi in un network, attaccarne le vulnerabilità, sopraffarne le difese interne ed estrarne i dati. Quel che preoccupa è anche la loro capacità di colpire più più bersagli contemporaneamente.

3 – 5G. L’avvento del 5G può fungere infine da “catalizzatore” per gli attacchi basati sul Swarm. Si è già parlato di come il suo avvento ponga nuove sfide alla Cyber Security in termini di attacchi di 5 generazione ma si deve anche prendere in considerazione come potrebbero essere vulnerabili anche agli attacchi informatici sostenuti da Stati stranieri.

4 – Gli attacchi sostenuti dagli Stati Stranieri. Ultimo ma non meno importante è un documento redatto dalla Commissione Ue e dall’Agenzia europea per la cybersicurezza (Enisa). Il documento mette in guardia contro il rischio di consegnare la realizzazione di infrastrutture della telefonia mobile nelle mani di aziende legate a governi non democratici e poco affidabili (implicito il riferimento a società straniere come Huawei).

Cybercrime: furti di identità e ransomware

Cybercrime, furti di identità e nuovi ransomware: nuovi rischi nei settori automotive e gaming online legato al mondo dei videogames.

I videogames e il gaming online infatti sembrano oggi il luogo ideale per commettere crimini informatici: Agenda Digitale avvisa di tutti i rischi legati a questo settore, terreno fertile anche per il fenomeno del cyberbullismo o il così detto “bullismo da tastiera”, attacchi offensivi ripetuti, fatti su internet e sui social network anche da utenti giovanissimi verso i loro coetanei.

Un altra cosa è invece il cybercrime ad esso legato: con la maggiore possibilità di rimanere meno esposti al rischio, le azioni criminali sono mirate a rubare le identità, anche con attacchi ransomware ma riguardano ad esempio anche il riciclaggio di denaro, con il risultato che nel 2019 ci sono stati, a livello globale – ma soprattutto negli USA e negli Stati Uniti – ben 16 milioni di attacchi. L’Italia non è esclusa. Gli esperti di Cybersecurity affermano che i criminali informatici, per trarre i loro profitti, usino botnet AIO e credential stuffing.

Agenda Digitale riporta minuziosamente i rischi che si corrono soprattutto nelle chat e tramite uso di tecniche di ingegneria sociale. Per approfondire leggi l’articolo: “Gaming online, tutti i rischi: dal cybercrime al cyberbullismo”.

Cybercrime: le minacce informatiche dell’automotive

Il Cybercrime e lo cyber spionaggio prendono di mira le smart cities e il trasporto connesso: con una stima di 250 milioni di veicoli su strada connessi nel 2020 la questione sicurezza è più importante che mai. Le preoccupazioni riguardano soprattutto sicurezza, privacy e resilienza dei nuovi veicoli, ove le applicazioni IoT rappresentano un valore aggiunto ma anche potenziali rischi.

Gabriele Zanoni, consulting systems engineer di FireEye afferma che alcuni ricercatori hanno dimostrato come alcune vulnerabilità presenti nei software di controllo di un veicolo, possano essere state sfruttate per introdurre codici malevoli e modificare, ad esempio, il funzionamento dello sterzo. [Fonte: Repubblica.it].

Lo afferma anche Mary Teresa Barra – General Motors – che proteggere le automobili da incidenti causati da attacchi informatici “è una questione di sicurezza pubblica”.

L’industria automobilistica nel 2020 quindi necessita di adeguamentoai protocolli e strategie mirate di sicurezza, contro i pericoli legati a data breach, errori, fughe di dati.

Le officine sono pronte ad affrontare questo tipo di problematiche? Risponde Andrea Lorenzoni, Project Manager Cyber Security, nell’articolo: “Automobile connessa, anche in officina corre il cyber-rischio”


Cybercrime gaming online e automotive

Prevenire gli attacchi informatici con la Chaos Engineering

Prevenire gli attacchi informatici è diventata la principale priorità per le aziende di ogni dimensione. In parallelo stanno aumentando anche i budget per acquistare ed integrare nuove soluzioni per la sicurezza informatica al pari dello sviluppo di team interni dedicati all’IT. Il risultato è un continuo aumento della spesa in nuove soluzioni per tenersi al passo con l’evoluzione degli attacchi. Questo perchè man mano che le reti diventano sempre più complesse le minacce aumentano in modo proporzionale, intervenire sulle intrusioni prima che si verifichino assume un’importanza ancora maggiore.

Utilizzando le migliori pratiche della Chaos Engineering (Ingegneria del Caos) è possibile oggi comprendere meglio i punti deboli dei sistemi ed infrastrutture, prevedendo dove e come un hacker potrebbe infiltrarsi nella rete e quali siano le migliori misure di sicurezza da adottare.

Andrea Biraghi Cyber prevenire attacchi informatici Leonardo
Chaos Engineering e Cyber Security

Il processo noto come ingegneria del caos, che può determinare un enorme ritorno sugli investimenti, è stato utilizzato ad esempio in Netflix: il team IT ha ideato un software, chiamato Chaos Monkey, per tenere sotto stress i server e gli applicativi in modo da renderli resilienti nelle occasioni più difficili. L’idea era quindi quella di simulare il tipo di errori casuali del server che si verificano nella vita reale. Jason Yee, Technical Evangelist di DataDog, descrive così questo processo: …”in un ambiente accuratamente monitorato con ingegneri pronti ad individuare qualsiasi problema, possiamo sempre imparare quali sono le debolezze del nostro sistema, e costruire meccanismi di recupero automatico in grado di contrastarle”.

Chaos Monkey, che randomicamente termina istanze, ha un vantaggio considerevole: poter limitare i malfunzionamenti ad un periodo di tempo in cui il team è pronto ad intervenire, e soprattutto poter essere a conoscenza di quale istanza è stata terminata. Ad ogni guasto programmato si può analizzare la situazione e vedere se il sistema è riuscito ad adattarsi prontamente, evidenziando le debolezze e rendendo l’intero sistema più robusto, fino al momento in cui i fallimenti non verranno più notati.

Prevenire gli attacchi informatici significa fermare gli hacker prima che si infiltrino in un sistema: in sistemi grandi e complessi, è in sostanza impossibile prevedere dove si verificheranno gli “errori”. La differenza dell’ingegneria del caos sta nel vedere invece questi errori come opportunità: siccome il fallimento è inevitabile, perché non provocarlo in modo deliberato tentando di risolvere gli errori generati in modo casuale di modo che i sistemi e i processi possano poi gestirli?

La risposta è che sebbene gli esperimenti di caos possano avere conseguenze negative a breve termine, essi identificano più spesso i rischi maggiori che si profilano per il futuro. Gli esperimenti quindi dovrebbero essere progettati per formire indicazioni utili senza mettere a rischio i sistemi.

Prevenire gli attacchi informatici in futuro: AI e Chaos Engineering

L’ingegneria del caos è un modo proattivo di identificare le debolezze e prevenire gli attacchi prima che i danni siano irreparabili. Si tratta di un porcesso che  incoraggia gli sviluppatori a cercare lacune e bug che potrebbero non incontrare normalmente, affinando la loro reattività e la resilenza.

Essere proattivi, senza quindi attendere che le minacce arrivino, è la chiave per rimanere sicuri: difatti molte violazioni dei dati nascono in questo modo, con criminali che scoprono le lacune di sicurezza non rilevate in precedenza. In teoria quindi la chaos engineering e l’introduzione di esperimenti casuali per testare la stabilità generale dei sistemi è l’unico modo per mantenerli sicuri.

In modo molto probabile questo processo sarà in futuro affiancato dall’Intelligenza Artificiale (AI) e dall’apprendimento automatico: si prevede qundi lo sviluppo di sistemi intelligenti che monitoreranno prestazioni e stabilità durante i test e che saranno in grado di identificare minacce prima sconosciute.