g7-Italia-jpg

Creata in Italia la comunità delle Agenzie Cyber dei Paesi G7

E’ nata la comunità delle Agenzie Cyber del G7 italiana, nuove collaborazioni e tanti temi: dall’Intelligenza Artificiale al ransomware, dall’innovazione sicura al rischio interferenze per le elezioni.

 

Un gruppo di lavoro di alto livello con un obiettivo comune

 

E’ nata in Italia la comunità delle Agenzie Cyber del Gruppo dei 7, abbreviato in G7. A farne parte Canada, Francia, Germania, Giappone, Regno Unito, Stati Uniti e Italia. E’ formato da policy maker di rilievo che collaborano con agenzie e centri per la sicurezza del cyber spazio. Hanno partecipato i vice consiglieri per la sicurezza nazionale di Stati Uniti e Giappone, oltre ai rappresentanti dell’UE, tra cui il direttore della DG Connect e il direttore dell’ENISA (The European Union Agency for Cybersecurity).

A presidiare il gruppo di lavoro, tenutosi il 16 maggio 2024 a Roma, è stato Bruno Frattasi, direttore dell’Agenzia per la sicurezza nazionale (ACN).

L’obiettivo della comunità è cooperare e consultarsi, scambiando informazioni sulle minacce informatiche, sugli incidenti e sulle misure risolutive, per promuovere uno spazio cibernetico sicuro e conforme ai principi e alle norme del diritto internazionale.

Non era mai successo che i responsabili delle agenzie e dei centri di responsabilità della cybersicurezza dei Paesi membri del G7 si riunissero per scambiare opinioni, informazioni e linee guida riguardo il contrasto e prevenzione delle minacce.

Frattasi ha sottolineato che l’agenzia italiana è stata l’ultima a nascere (è stata creata due anni e mezzo fa), per questo è la più piccola ed è ancora in costruzione.

 

I temi affrontati

 

I temi oggetto delle sessioni di lavoro della comunità sono stati molteplici: intelligenza artificiale, ransomware, innovazione sicura e rischio interferenze nelle elezioni. Vediamoli insieme uno ad uno.

 

L’intelligenza artificiale

Comprendere e monitorare gli impieghi dei sistemi di intelligenza artificiale, che possono essere utilizzati sia per fini malevoli che per abbattere i rischi. Si mira quindi a conoscere quali opportunità offre la tecnologia ma anche a controllare il rischio derivante da un utilizzo imprudente.

Potrebbe interessarti > Sicurezza Informatica e Intelligenza Artificiale: il 2024 che ci aspetta

Per approfondire > Tutti i vantaggi dell’AI nella cyber difesa aziendale

 

Il ransomware

Il ransomware è stato al centro della discussione nella seconda sessione, essendo una minaccia molto comune. In particolare, è stata enfatizzata l’importanza di disincentivare il pagamento dei riscatti da parte dei Paesi e di sostenere i principi di trasparenza, affidabilità e sicurezza nell’uso delle valute virtuali.

Il gruppo di lavoro ha inoltre espresso l’intenzione di adottare politiche e certificazioni per prodotti e dispositivi digitali, sia IT che IoT (Internet of Things), al fine di garantire strumenti affidabili. Questi strumenti sono fondamentali per gestire i rischi legati alla catena di approvvigionamento, che sempre più frequentemente sono bersaglio di attacchi alle infrastrutture critiche.

Per approfondire > Synlab Italia colpita da ransomware: dati violati e pubblicati online

 

L’innovazione sicura

Considerando che la diffusione degli strumenti IoT è destinata a crescere, la sicurezza della supply chain deve diventare una priorità per proteggere le infrastrutture critiche. La direttiva NIS2 contribuirà a rafforzare la sicurezza delle filiere sia per i soggetti essenziali che per quelli importanti. Tuttavia, anche questi ultimi devono garantire la sicurezza dei loro partner all’interno della catena di approvvigionamento.

Per saperne di più > NIS2, la direttiva europea che rafforza la cyber security

 

Rischio interferenze durante le elezioni

Durante il G7 è sorta anche una preoccupazione in merito alle operazioni elettorali: potrebbero essere intercettate da operazioni malevole. Si parla sia delle elezioni europee che di quelle che riguardano l’elezione del presidente Usa.

La disinformazione rappresenta un mezzo di manipolazione e interferenza, ma è possibile contrastare questo rischio utilizzando sistemi di intelligenza artificiale. Questi, sebbene possano essere utilizzati per sferrare gli attacchi, possono anche fungere da potenti mezzi di difesa.

In relazione alle prossime elezioni in Italia, previste per l’8 e 9 giugno, al momento non sembrano esserci rischi di minacce. Tuttavia, è fondamentale adottare un approccio preventivo per garantire la sicurezza elettorale.

Email-dipendenti

Garante: usare l’email aziendale dopo la fine del rapporto di lavoro viola la privacy degli ex dipendenti

Trattare illecitamente i dati degli ex dipendenti è costato molto caro alla società piacentina: il Garante per la Protezione dei Dati personali torna sulla questione della conservazione degli account email.

 

Due ex dipendenti reclamano il perdurare dell’attività degli account aziendali

Il 25 marzo 2022 due ex dipendenti di un centro di riparazioni hanno segnalato il perdurare delle attività dei loro account aziendali anche a seguito della cessazione dei rapporti di lavoro. Inoltre, lamentavano l’impossibilità di accedere al contenuto degli account, vista la cancellazione del loro contenuto, e della mancata consegna dell’informativa in merito al trattamento dei dati relativi alla posta elettronica.

Per approfondire > Conservi le email di ex dipendenti? Rischi pesanti sanzioni.

 

Violazioni verso gli ex dipendenti accertate dal Garante

L’istruttoria ha accertato che il Titolare del trattamento manteneva attivi, per alcuni mesi, gli account di posta elettronica assegnati ai reclamanti. Ad accedere a tali account era il presidente del consiglio di amministrazione per “garantire la continuità operativa dell’azienda”.

Nel provvedimento del 7 marzo 2024, l’Autorità ha ribadito che l’accesso a un account email aziendale individuale, indipendentemente dal fatto che la corrispondenza sia legata o meno all’attività lavorativa, costituisce un’operazione che permette di raccogliere informazioni personali dell’interessato. Il fatto che il rappresentante legale si sia limitato a cercare solo comunicazioni cruciali per la continuità aziendale, evitando di leggere le altre, non è sufficiente a rendere lecito il trattamento dei dati. Questo perché la ricerca delle email considerate rilevanti dalla Società avveniva comunque avendo a disposizione l’accesso a tutti i messaggi presenti nella casella di posta elettronica.

La condotta della società, ovvero il mantenimento degli account attivi in seguito alla fine del rapporto e all’accesso al loro contenuto si pone in contrasto con i principi di liceità, minimizzazione e conservazione dei dati.

La finalità di continuità operativa dell’azienda si sarebbe potuta realizzare con altre modalità, conformi al GDPR, quali ad esempio mantenere attivi per un periodo limitato gli account attivando un messaggio di risposta automatico volto ad informare dell’imminente disattivazione dell’account e della possibilità di contattare altri indirizzi e-mail. Sempre se si fossero adottate, al contempo, misure che impedissero l’accesso ai messaggi in arrivo e la loro visualizzazione.

Inoltre, non è stata rilasciata un’idonea informativa sull’attività che il datore di lavoro avrebbe effettuato sulla posta elettronica. Questo rappresenta una violazione del GDPR, perché, secondo il principio di trasparenza, il titolare del trattamento è obbligato a fornire tutte le informazioni relative alle caratteristiche del trattamento.

Per saperne di più > Informativa privacy: dove, come, quando, perchè

L’azienda condannata a pagare 20.000 euro

L’Autorità, a seguito della condotta sopra citata da parte della Società, ha comminato alla stessa una salata sanzione di 20.000 euro. Il provvedimento in questione sottolinea l’assoluta necessità per le aziende con dipendenti, così come per le piccole società con soci che lasciano l’organizzazione, di sviluppare una privacy policy adeguata alle loro specifiche esigenze.

Lockbit-universita-di-siena-jpg

LockBit rivendica un attacco informatico all’Università di Siena

LockBit ruba 514 GB di dati all’Università di Siena, mentre l’ateneo adotta contromisure idonee, denunciando l’evento alle autorità e cercando di ristabilire le comunicazioni interne.

 

Data breach all’Università di Siena

Lo scorso 6 maggio, l’Università di Siena, in un comunicato stampa pubblicato sul proprio blog, aveva annunciato di aver subito un attacco informatico da parte di un gruppo di malintenzionati che aveva messo in tilt la rete dell’Ateneo. In questo modo l’Università ha dimostrato etica e trasparenza fin dalle fasi iniziali dell’attacco.

L’Università di Siena, per far fronte al problema, ha poi comunicato l’episodio all’Agenzia per la cybersicurezza nazionale e denunciato il fatto alla polizia postale e al Garante per la Protezione dei Dati Personali.

Al momento il sito Internet dell’Ateneo risulta accessibile, però la comunicazione interna continua ad essere compromessa.

Per approfondire > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

 

Il post sul Data Leak Site (DLS)

Sul Data Leak Site (DLS) è stato pubblicato un post che riporta un countdown, com’è possibile vedere dall’immagine sottostante (aggiornata al 18 maggio 2024). Una tattica, questa, già osservata durante il data breach ai danni di Synlab Italia, che aveva confermato di non aver pagato nessun tipo di riscatto all’organizzazione criminale.

La pubblicazione di un avviso sul data leak site consente a LockBit di aumentare la pressione esercitata nei confronti dell’organizzazione: se le aziende non vogliono pagare per la cifratura dei dati, la cyber gang minaccia l’esposizione dei dati.

 

Post pubblicato da LockBit sul Data Leak Site (DLS)
Fonte: Red Hot Cyber

 

Pubblicati anche i samples dei dati rubati all’Università di Siena

All’Ateneo sono stati rubati 514 gigabyte di file. Tra questi:

  • documenti con i bilanci;
  • documenti approvati dal Consiglio di Amministrazione per il finanziamento di progetti e gare d’appalto 2022–2026;
  • documenti con lavori straordinari di costruzioni, nomina dell’appaltatore e assegnazione di un budget di 1,7k euro;
  • documento di non divulgazione per WineCraft 2024;
  • contratto di progettazione di gara 2023 (budget di contratto);
  • documento: piano di investimento dell’appaltatore 2022 (spese, affitti, piano finanziario generale);
Samples rubati all'Universita di Siena da LockBit
Fonte: Red Hot Cyber

 

Il ransomware Lockbit in breve

LockBit è un gruppo criminale ormai noto in Italia, di cui abbiamo già parlato più volte. E’ una tra le cyber gang più longeve in assoluto. Ha cominciato ad operare nel 2019 con il nome di ABCD per poi cambiarlo in Lockbit. In seguito è stato rinominato in LockBit 2.0 e infine, a giugno 2021, è stata introdotta la piattaforma Lockbit 3.0.

Il gruppo criminale adotta il modello ransomware-as-a-service (Raas). Si tratta di un ransomware progettato per bloccare l’accesso delle infrastrutture informatiche in cambio di un riscatto. Lockbit ha lasciato il segno in tutto il mondo attaccando organizzazioni di ogni tipo.

L’operazione Cronos 1 riuscì a compromettere il Data Leak Site di LockBit tramite una falla PHP nel backend, rivelando pseudonimi degli affiliati. Sebbene il DLS fu ripristinato poche ore dopo con un comunicato di LockBitSupp, le forze dell’ordine sequestrarono nuovamente le infrastrutture IT della gang nell’operazione Cronos 2. Promisero di rivelare l’identità di LockBitSupp e offrirono una taglia di 10 milioni di dollari per informazioni sul leader della gang.

Per approfondire > Ransomware Lockbit down: task force internazionale mette fine alle operazioni

Per approfondire > Lockbit it’s back: ripristinati i server dopo l’irruzione delle forze dell’ordine. L’operazione ransomware è di nuovo attiva

 

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup: è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata: sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email: spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete: come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello). Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile. Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
  • Adotta un SOC – Security Operation Center: un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come
01 (1)

Se non puoi fidarti neppure del tuo Antivirus: AVAST sanzionato per cessione

Non dovrebbe accadere ma, invece, ecco un’amara sorpresa.
Abbiamo scoperto che non possiamo fidarci neppure del nostro antivirus. e non certo perché si è lasciato bucare da un hacker.

Nel mirino della Federal Trade Commission e dell'UE, Avast, nota azienda di sicurezza informatica, che si trova in una situazione delicata dopo aver ricevuto multe significative per violazioni della privacy.

La prima è giunta a Febbraio quando la Federal Trade Commission, l'agenzia governativa statunitense che ha il compito di promuovere la tutela dei consumatori e l'eliminazione e la prevenzione di pratiche commerciali anticoncorrenziali ha inflitto ad Avast una multa di 16,5 milioni di dollari, accusandola di raccogliere e vendere i dati di navigazione degli utenti senza il loro consenso. La seconda puntata ha visto come palcoscenico l’Europa dove Avasta ha ricevuto un’altra maxi sanzione da 13,9 milioni di euro per violazioni del GDPR.

Secondo l'Autorità per la protezione dei dati personali della Repubblica Ceca, Avast ha ingannato gli utenti trattando i loro dati personali senza autorizzazione, trasferendo i dati di 100 milioni di utenti a Jumpshot, un'azienda specializzata nella fornitura di informazioni sul comportamento online dei consumatori.

Avast aveva improntato la propria difesa sostenendo di utilizzare tecniche di anonimizzazione, ma almeno una parte degli utenti poteva essere re-identificata.

L'Autorità ceca ha duramente censurato Avast, sottolineando che l'azienda è uno dei principali esperti in sicurezza informatica e offre strumenti per la protezione dei dati e della privacy. Gli utenti, secondo l'Autorità, non avrebbero mai neppure immaginato che Avast avrebbe trasferito i loro dati personali a terzi.
Avast, ovviamente, non ha accettato la decisione ed è verosimile che proponga ricorso come è suo legittimo diritto ed ha ribadito il suo impegno nel mantenere i dati dei clienti sicuri e nel partecipare attivamente a iniziative globali che pongono la privacy al primo posto.

Indipendentemente dall'esito dei ricorsi e dalle promesse di Avast, la questione della privacy rimane scottante per l'azienda, che ha già affrontato sanzioni complessive di circa 30 milioni di euro e pone non pochi dubbi se anche in Italia i dati degli utenti – interessati, siano in pericolo.

Avast è uno dei fornitori di software antivirus più diffusi al mondo. La sua popolarità è dovuta alla sua offerta di versioni gratuite e a pagamento del suo software antivirus, che lo rendono accessibile a una vasta gamma di utenti, sia a livello individuale che aziendale.
Laddove le accuse si rivelassero vere, il pericolo per ogni utente è enorme.

La cessione di dati personali per scopi di profilazione comportamentale rappresenterebbe una minaccia significativa ponendo potenzialmente le basi per la creazione di profili dettagliati basati sulle abitudini di navigazione, le preferenze di acquisto e altri comportamenti online.

Oltre alla violazione della privacy, che minerebbe la fiducia nei confronti di Avast come fornitore di sicurezza informatica, gli ulteriori potenziali danni derivanti da questa pratica sono molteplici. Primo tra tutti è il rischio di furto di identità e di conseguenti frodi.

Inoltre, una profilazione comportamentale così invasiva può anche determinare la manipolazione psicologica degli utenti potendo le informazioni raccolte essere utilizzate per influenzare le decisioni o, addirittura, portare a decisioni discriminatorie basate su caratteristiche personali o comportamentali.

In attesa che si faccia definitivamente chiarezza su quanto accaduto, la vicenda pone ulteriori dubbi e incertezze, di cui non c’era certo bisogno, per la scelta delle soluzioni per la protezione dei dati da parte di aziende e imprese che, più che mai, devono guardarsi dal fuoco amico.

europol-jpg

Attacco informatico a Europol: dati venduti su un forum dell’underground hacking

Europol ha subito un attacco informatico: questo episodio mette in evidenza la vulnerabilità delle istituzioni anche più protette e specializzate nel contrastare la criminalità informatica. Chi ha condotto l’attacco? Quali informazioni sono state rubate e quali sistemi Europol sono stati interessati? Scopriamolo nell’articolo.

 

IntelBroker ha rivendicato l’attacco informatico a Europol

Il 10 maggio, il gruppo criminale IntelBroker ha rivendicato un attacco sul forum dell’underground hacking Breach Forums. L’attacco è stato rivolto ad Europol (European Police Office), la cooperazione finalizzata a contrastare le forme di criminalità organizzata e internazionale, a testimonianza del fatto che tutti possono subire un attacco informatico. Attaccare le organizzazioni che si occupano di combattere il crimine è chiaramente un obiettivo molto allettante per i malintenzionati.

Per saperne di più > Federprivacy hacked: Alpha Team rivendica

All’interno del post l’autore ha menzionato due requisiti indispensabili per l’acquisto: pagamenti nella criptovaluta XMR (Monero) e la dimostrazione di essere affidabili. Inoltre, propone una serie di documenti di esempio di Europol per confermare l’accesso ai sistemi, com’è possibile osservare nell’immagine sottostante.

Samples dell'accesso ai sistemi Europol da parte di InterBroker
Fonte Red Hot Cyber

 

Il gruppo criminale IntelBroker

IntelBroker è un rinomato gruppo di criminali informatici che ha acquisito notorietà a livello globale grazie alle sue audaci incursioni nei sistemi informatici di governi e organizzazioni di rilievo. Spesso utilizza tecniche di phishing, attacchi ransomware e exploit zero day e il suo obiettivo, nella maggior parte dei casi, è quello esporre vulnerabilità o vendere i dati rubati. Ha già sferrato vari attacchi in passato, ad esempio alla Camera bassa del Congresso degli Stati Uniti, a HPE (Hewlett Packard Enterprise) a General Electric o a Five Eye. Inoltre, proprio la scorsa settimana il gruppo ha messo in vendita l’accesso alla rete di Zscaler, una società informatica.

 

Sul post è comparso il tag “SOLD”

Ieri, sul forum dell’underground hacking BF, IntelBroker ha notificato che i dati sono stati venduti, aggiungendo il tag “SOLD” al suo post di rivendicazione.

Si tratta di dati sensibili, quali informazioni sui dipendenti dell’Azienda, codice sorgente FOUO (For Official Use Only), file PDF, documenti di intelligence e istruzioni (già messe in vendita in precedenza).

Post di rivendicazione di IntelBroker che annuncia che i dati sono stati venduti
Fonte: Red Hot Cyber

 

Quali sistemi Europol sono stati interessati?

Gli esperti di Europol hanno messo al corrente che l’attacco informatico ha riguardato solo l’EPE. Si tratta della piattaforma online che viene utilizzata dalle forze dell’ordine per informare sulle migliori pratiche, dati e reati e per condividere conoscenze. I sistemi principali di Europol, invece, non sono stati compromessi.

Il portale EPE risulta al momento inaccessibile: compare un messaggio che informa che il servizio sta subendo manutenzione.
All’interno di EPE IntelBroker è riuscito ad accedere a EC3 SPACE (Secure Platform for Accredited Cybercrime Experts), una comunità che ospita diverso materiale relativo alla criminalità informatica, utilizzata da più di 6.000 esperti tra cui forze dell’ordine, autorità giudiziarie e organizzazioni non governative e internazionali. Inoltre, ha compromesso la piattaforma SIRUS, utilizzata per accedere alle prove digitali internazionali nel corso delle indagini e procedimenti penali.

Per approfondire > E se il Data Breach diventa un danno irreparabile?

synlab-jpg

Synlab Italia colpita da ransomware: dati violati e pubblicati online

Synlab Italia è stata colpita da un attacco informatico ransomware: sono stati rubati e pubblicati nel dark e clear web i dati sensibili dei pazienti. Cosa sappiamo sull’attacco a Synblab? Vediamolo nell’articolo.

 

L’attacco ransomware e il gruppo Black Basta

Il 18 aprile Synlab Italia, l’azienda leader di servizi di diagnostica e esami di laboratorio, aveva informato dell’interruzione del suo servizio attribuendo la causa a problemi tecnici generici. Tuttavia, in seguito, è stata la società stessa a rendere noto sul sito sito ufficiale e sui canali social che si è trattato di un attacco informatico.

Annuncio pubblicato da Synlab Italia sul proprio account Instragram in seguito all'attacco informatico
Fonte: Profilo Instagram Synlab Italia

Nel frattempo, il gruppo criminale Black Basta rivendica di aver realizzato un attacco ransomware all’azienda Synlab. I malintenzionati hanno fatto riferimento alla sede tedesca, ma nel post pubblicato sul proprio sito si potevano osservare diversi documenti di identità italiani (vedi foto).

 

Carte d'identità italiane pubblicate nel post di rivendicazione dell'attacco informatico di Blackbasta
Fonte: Cybersecurity360

Black Basta ha comunicato che i dati rubati alla struttura sanitaria sarebbero stati 1,5 TB: un’enorme quantità, che comprende dati dei pazienti e dei clienti.

Per saperne di più > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

Dati sottratti: resi pubblici sul dark e clear web

Black Basta ha reso pubblici i dati personali rubati sul dark web. Ha pubblicato due link: uno interno alle rete onion e l’altro accessibile nel clear web. Nel directory listing anonimo sono presenti varie informazioni sensibili e un file chiamato SYNLAB_tree.txt, all’interno del quale troviamo nomi di file esfiltrati.

Tra i documenti è presente anche un prezioso tesoro anche per aziende farmaceutiche e per gli istituti di ricerca che operano nel mercato clandestino dei dati medici e sanitari: datasheet, spermiogrammi e video di analisi.

 

Directory listing di Blackbasta in cui sono presenti vari file di dati
Fonte: Cybersecurity360

Se si prova ad accedere invece al link sull’internet pubblico, viene mostrato un avviso che avverte che il sito di non inserire dati sensibili perché potrebbe essere rischioso, come viene mostrato nell’immagine sottostante.

Avviso che avverte che il sito potrebbe essere dannoso
Fonte: Red Hot Cyber

La violazione in questione rappresenta un rischio molto grave per la sicurezza dei pazienti e riporta alla mente casi simili avvenuti nelle organizzazioni ospedaliere, come la vicenda dell’ASL 1 Abruzzo.

Per approfondire > Il Ransomware Monti pubblica i dati dell’ASL 1 Abruzzo

 

La reazione di Synlab

L’azienda ha cercato di limitare i danni dell’accaduto: ha immediatamente istituito una task force costituita sia da professionisti interni che esterni  “per mitigare gli impatti e ripristinare quanto prima i propri sistemi, in collaborazione con le autorità competenti”. Ha poi sporto denuncia alla Polizia Postale, oltre ad aver avviato la procedure di notifica al Garante per la protezione dei dati personali.

Synlab non si è piegata alle richieste di riscatto dei criminali, in modo tale da scongiurare il finanziamento di ulteriori attacchi informatici.

I servizi stanno riprendendo con modalità diverse in base alla regione, ma al momento non è ancora possibile stabilire quando sarà ripristinata la completa operatività.

Synlab ha però promesso di fornire regolari aggiornamenti sulla situazione sulla sua pagina ufficiale ed ha anche aperto un canale di comunicazione riservato (comunicaizone@synlab.it) per fornire informazioni ai pazienti.

Per approfondire > Un attacco Ransomware è da considerarsi anche un databreach: l’esempio dell’attacco a Luxottica

01

Uso e abuso di dati a fini pubblicitari. Primi paletti?

Siamo ormai ben consapevoli, ma non rassegnati, al fatto che Meta, prima tramite Facebook, poi Instagram e dopo anche WhatsApp, ha in venti anni raccolto una mole di dati e informazioni su tutti noi che non basterebbero descrizione fantozziane per rendercene conto. Tutti questi dati sono stati usati, in maniera anche indiscriminata, per profilare tutti gli utenti e ingolfare i nostri device con quantitativi enormi di pubblicità non proprio espressamente richiesta.

Forse si è iniziato a mettere alcuni limiti all’uso selvaggio dei nostri dati.

È il sito di NOYB – European Center for Digital Rights (che usa l’acronimo NOYB per "none of your business" che in italiano potremmo tradurre in "non sono affari tuoi") un’organizzazione non-profit con sede a Vienna, nata nel 2017 che fornisce la notizia. Il caso è quello dell’avvocato Maximilian Schrems, attivo nell’ambito della protezione dati e presidente onorario dell'associazione che si era rivolto alle competenti autorità austriache sostenendo di aver ricevuto pubblicità specifiche per omosessuali senza aver mai fatto nessun cenno sui social del suo orientamento sessuale, menzionato solo in una conferenza pubblica. La conclusione a cui l’avvocato è giunto è che, per inviare tale pubblicità, Meta aveva profilato questo suo dato che non era nella sua disponibilità ma, bensì, ottenuto da altre fonti.

La questione è stata portata all’attenzione della autorità europea per delle importanti questioni pregiudiziali, ivi compresa una sul principio di minimizzazione sulla quale l’avvocatura generale presso la Corte di Giustizia UE ha espresso un parere interessante e che ben si inserisce in una corretta interpretazione del GDPR.
Un primo punto oggetto di valutazione è stato il trattamento dei dati personali per scopi di pubblicità mirata senza limiti di tempo o specifiche valutazioni sulla tipologia dei dati. Secondo il parere dell'Avvocatura europea, l'articolo 5, paragrafo 1, lettera c del GDPR, vieta che alcuni dati personali siano trattati per pubblicità mirata senza limiti temporali o di tipologia dei dati.

Per saperne di più > DATAFICATION: la nostra esistenza in dati

Un secondo aspetto, più attinente al caso specifico riguarda l'espressione dell'orientamento sessuale da parte dell'interessato in un contesto pubblico. Nonostante l'articolo 9, paragrafo 2, lettera e del GDPR, riconosca il diritto di un individuo di rendere manifestamente pubblico il proprio orientamento sessuale, ciò non autorizza automaticamente il trattamento di tali dati per fini di pubblicità personalizzata. Come dire: il fatto notorio, non reso espressamente pubblico su una piattaforma, non può essere utilizzato per essere letto in quel contesto specifico né, tantomeno, in correlazione con gli altri dati inseriti sul social.

Secondo il sito di NOYB l'uso dei dati nell'ambito pubblicitario deve essere vincolato da criteri temporali, tipologici e di provenienza e il parere del procuratore va proprio in questa direzione. Per anni, Meta e le altre piattaforme social hanno accumulato una vasta quantità di informazioni sugli utenti, una riserva che continua a crescere incessantemente, sfruttandoli per scopi pubblicitari, senza alcuna restrizione come, comunque, dichiarato nelle condizioni di iscrizione. Ribadiamolo che il rapporto tra utente e social, è un contratto perfettamente vincolante per entrambe le parti.

Il GDPR è intervenuto, inserendo, tra i suoi principi cardine, anche quello della minimizzazione dei dati per contrastare tale pratica. Meta, tuttavia, sembra avere finora ignorato questo principio, senza prevedere alcun meccanismo né, tantomeno, una chiara politica di cancellazione dei dati. L’applicazione del principio invocato andrebbe a limitare in modo significativo l'uso dei dati personali per la pubblicità, anche nel caso in cui gli utenti abbiano acconsentito agli annunci personalizzati. È importante porre in evidenza che questo principio si applica indipendentemente dalla base legale utilizzata per il trattamento dei dati. In altre parole, anche coloro che acconsentono alla pubblicità personalizzata non possono permettere un utilizzo illimitato dei propri dati senza forma di controllo alcuno o, ancora, lasciarli nella disponibilità assoluta e senza controllo di una piattaforma.

dell_data_breach-jpg

Data breach a Dell: rubati i dati di circa 49 milioni di clienti

Dell sta informando i suoi clienti riguardo ad un data breach che ha subito dopo che un attaccante ha affermato di aver rubato le informazioni di circa 49 milioni di clienti. Di quali dati si parla e quali sono i rischi? Scopriamolo nell’articolo.

 

Data breach in un portale Dell: indagini in corso

Dell Technologies, la multinazionale statunitense tra le più importanti al mondo nella produzione di computer, l’8 maggio ha cominciato ad avvisare i propri clienti, attraverso email, di aver subito un data breach in un portale Dell. Quest’ultimo, nello specifico, conteneva informazioni relative agli acquisti dei clienti. Il messaggio, inviato via email, è quello mostrato nell’immagine sottostante.

“Stiamo attualmente indagando su un incidente che ha riguardato un portale Dell, il quale contiene un database di informazioni sui clienti relative agli acquisti effettuati presso la nostra azienda. Riteniamo che non vi sia un rischio significativo per i nostri clienti, dato il tipo di informazioni coinvolte”.

si legge.

 

Email inviata da Dell Technologies ai clienti che hanno subito la violazione dati
Fonte: Bleeping Computer

Per approfondire > Data breach: guida pratica per la notifica al Garante privacy

 

Dell Data Breach: quali dati sono stati rubati?

All’interno dell’email inviata ai clienti Dell dichiara che l’attore della minaccia ha avuto accesso alle seguenti informazioni dei clienti durante il data breach:

  • nome;
  • indirizzo fisico;
  • informazioni sull’hardware e sull’ordine: quali prodotti o servizi Dell sono stati acquistati, l’etichetta di spedizione, la descrizione dell’articolo, la data dell’ordine e le relative informazioni sulla garanzia.

L’azienda sottolinea che le informazioni rubate non includono dati finanziari o di pagamento, indirizzi e-mail o numeri di telefono e che sta collaborando con le forze dell’ordine e una società forense per indagare sull’incidente.

 

I dati erano in vendita su un forum dell’underground hacking

Il 28 aprile, un attore di minacce chiamato Menelik ha pubblicato un post in cui tentava di vendere un database di Dell su Breach Forums, un noto forum nel dark web di rivendita di dati e accessi rubati.

L’attaccante ha dichiarato di aver sottratto al produttore di computer i dati di “49 milioni di clienti e altri sistemi informativi acquistati da Dell nel periodo tra il 2017 e il 2024”.

Post dell'attaccante Menelik per vendere i dati su Breach Forums
Fonte: Bleeping Computer

Il post pubblicato su Breach Forum attualmente non è più presente, fatto che suggerisce la possibilità che questo database sia già stato acquistato da altri cyber attaccanti.

Per saperne di più >

Potenziali rischi “inaspettati”

Dell Technologies non ritiene che i suoi clienti siano a rischio, dato il tipo di informazioni coinvolte, tuttavia le informazioni rubate potrebbero essere utilizzate in attacchi mirati contro i clienti Dell.

Poiché le informazioni rubate non includono indirizzi e-mail, gli attori delle minacce potrebbero colpire i clienti sfruttando il phishing o inviando lettere fisiche contenenti supporti (DVD/thumb drive) per installare malware sui loro dispositivi.

Non si tratterebbe di una modalità di attacco nuova: gli attori delle minacce hanno agito in maniera simile in passato. Avevano inviato fisicamente portafogli hardware Ledger manomessi che rubavano criptovalute o “regali” contenenti unità USB che installavano malware.

 

Lettera di Best Buy con USB contenente malware.
Fonte: Bleeping Computer

Pertanto, è bene diffidare di qualsiasi ricezione, sia che si tratti di qualcosa di fisico o di email che affermano di provenire da Dell e che richiedono l’installazione di software, la modifica di password o l’esecuzione di altre azioni potenzialmente rischiose.

Se si riceve un messaggio di posta elettronica o una lettera fisica, è necessario contattare direttamente Dell per confermare la legittimità dell’invio.

dataBreachreport-jpg

Data Breach Investigations Report 2024: come minimizzare il rischio dovuto al fattore umano

Il Data Breach Investigations Report 2024 di Verizon afferma che metà delle violazioni all’interno dell’area Emea è causata da errori umani involontari. Vediamo nel dettaglio il report e quali sono i passi da fare per proteggersi.

 

Data Breach Investigations Report 2024: punti cruciali

Secondo il Data Breach Investigations Report 2024 (Dbir) di Verizon, il 68% delle violazioni a livello mondiale (ovvero i due terzi) coinvolge un’azione umana non intenzionale. Inoltre, metà delle violazioni (49%) avvenute nei confini EMEA sono interne. Questi dati suggeriscono una diffusione dell’abuso di privilegi (si tratta di un uso non approvato o malintenzionato di privilegi legittimi) e altri errori umani.

Il Report ha analizzato 30.458 incidenti avvenuti a livello globale. Tra questi, 10.625 sono state violazioni con esfiltrazione o espropriazione di dati. Nell’area EMEA sono stati registrati 8.302 casi informatici di cui 6.005 sono andati a buon fine.

L’origine principale degli incidenti informatici è da imputare a errori, intrusioni nel sistema e tecniche di social engineering (87% dei data breach).

Le informazioni compromesse riguardano soprattutto dati personali (64%), interni (33%) e credenziali (20%).

Va poi sottolineato che il Report ha evidenziato che circa il 32% delle violazioni ha coinvolto una tecnica di estorsione, come ad esempio il ransomware. Inoltre, negli ultimi due anni, un quarto degli incidenti ha sfruttato la modalità di pretexting (in questi casi la motivazione era finanziaria).

 

Il 49% delle violazioni è interna ed è causata dall’abuso di privilegi

Le aziende si fidano dei loro dipendenti. Del lavoro che svolgono e pensano che, in generale, abbiano a cuore gli interessi dell’azienda. In un mondo perfetto, sarebbe così. Ma purtroppo nel mondo reale le cose stanno in un altro modo: a volte i dipendenti pensano al proprio tornaconto personale.

Cosa spinge i dipendenti a rubare i dati aziendali?

Secondo il Report, si tratta in gran parte di questioni finanziarie. Altre volte invece i dipendenti agiscono in questo modo per ottenere un vantaggio in un nuovo posto di lavoro. In ogni caso, la tendenza è quella di trarne un beneficio diretto. Si verifica anche per motivi di spionaggio. In questi casi i dipendenti portano i loro guadagni illeciti a un concorrente diretto o addirittura li usano per avviare una propria azienda concorrente.

 

Secondo il Data Breach Investigations Report 2024 l’errore umano è in cima alla lista delle intrusioni

Come anticipato precedentemente, il 68% delle intrusioni a livello globale avviene a causa di un’azione umana non dolosa (all’interno dell’area EMEA, invece, è la metà delle violazioni ad avvenire a causa di un’azione umana involontaria). Ciò significa che, in questi casi, la causa degli attacchi può essere dovuta ad un errore o ad un attacco di social engineering.

Se la percentuale non ha subito variazioni significative rispetto allo scorso anno, si è verificato però un miglioramento nel riconoscimento degli attacchi. Il 20% degli utenti ha infatti rilevato e segnalato i tentativi di phishing durante le simulazioni e l’11% di coloro che hanno cliccato sull’email di phishing l’hanno poi segnalato.

Sanjiv Gossain, Vicepresidente EMEA di Verizon Business ha sottolineato che la continua presenza di violazioni determinate dell’elemento umano è indice di un qualcosa che va cambiato. Per invertire questa tendenza, secondo il vicepresidente, è necessaria la formazione sulle migliori pratiche di sicurezza informatica.

Va però sottolineato anche un elemento positivo: il crescente numero di segnalazioni volontarie. Un segnale promettente di un forte cambiamento culturale che riflette una maggiore consapevolezza diffusa sulla sicurezza informatica tra i dipendenti. Inoltre testimonia che formazione e simulazioni sull’ingegneria sociale e phishing stanno dando i primi risultati.

 

L’impatto delle vulnerabilità zero-day

A livello globale, lo sfruttamento delle vulnerabilità rappresenta il 14% delle violazioni complessive. Questo rappresenta un dato importante, perché rivela un aumento rispetto al 2023. Questa crescita è da riferirsi alla frequenza e portata degli exploit zero-day negli attacchi ransomware. Quella di MOVEit è stata molto utilizzata in questo senso.

 

Come evitare i data breach: step basilari

Garantire una sicurezza informatica al 100% è impossibile. Ciò che però si può fare è ridurre al minimo il rischio che si possano verificare data breach. Di seguito elenchiamo gli step essenziali per raggiungere un buon livello di sicurezza informatica:

  • Forma i tuoi dipendenti / tutti coloro che accedono alla rete: l’anello debole della catena di sicurezza informatica è l’utente. Per questo è necessario formare i dipendenti e renderli consapevoli dei rischi. Consigliamo di stabilire un protocollo di reazione nel caso in cui si verifichi un attacco informatico, così che tutti possano avere delle linee guida da seguire e sappiano come comportarsi.

    Ad esempio è fondamentale spiegare perchè non scaricare file/cliccare su link contenuti nelle email: spesso l’accesso alle reti avviene sfruttando la parte più debole della catena informatica: l’utente. Per questo non bisogna cliccare su link contenuti nelle email inaspettate e sospette. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano?

La sensibilizzazione, così come la formazione, sono attività essenziali per eludere il rischio di intrusioni, però non sono sufficienti. E’ necessario utilizzare anche strumenti in grado di limitare e rilevare comportamenti anomali. Ecco i nostri consigli sulle soluzioni di sicurezza:

  • Adotta l’approccio zero trust: per evitare l’abuso di privilegi da parte dei dipendenti permetti agli utenti di accedere solo alle informazioni che gli sono davvero necessarie per lavorare (secondo il privilegio minimo). Per approfondire > Approccio Zero Trust: nuova frontiera della sicurezza informatica
  • Predisponi un piano di backup: è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Aggiorna costantemente il sistema operativo, i software e gli applicativi: verifica che siano sempre aggiornati all’ultima versione disponibile ed installa le patch. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Adotta un SOC – Security Operation Center: il SOC è un centro operativo il cui scopo consiste nel monitorare la rete aziendale per rilevare attività anomale e nel reagire prontamente per limitarne i danni. E’ composto da esperti di sicurezza informatica, ingegneri, analisti dei dati che lavorano in maniera congiunta. E’ uno strumento molto importante per le aziende perché consente di proteggere i dati, di conformarsi alle normative, di ridurre l’impatto degli attacchi e anche di compensare la mancanza di personale specializzato. Per approfondire > SOC – Security Operation Center: che cosa, perché, come. A tale scopo ti consigliamo di valutare Octofence, la nostra soluzione davvero efficace e Made in Italy.
  • Utilizza sistemi di protezione preventiva: l’Intrusion Prevention Sistem (IPS) e le WAAP rappresentano utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet. L’IPS rappresenta un meccanismo proattivo: consiste in un passo avanti alla mera individuazione, impedendo che la minaccia possa colpire effettivamente la rete aziendale. Le WAAP sono soluzioni che proteggono le applicazioni WEB e le API che attingono dati da più fonti, consentendo una gestione unificata della sicurezza e fornendo report aggregati.
dropbox_hacked-jpg

Dropbox hacked: rubati i dati dei clienti e i token di autenticazione di Sign

Dropbox hacked: colpito il popolarissimo servizio di storage in cloud. Gli attaccanti hanno messo le mani sui token di autenticazione, le chiavi MFA, gli hash password del servizio DropBox Sign.

 

DropBox hacked: l’azienda ha comunicato di aver subito una violazione dei sistemi

DropBox, il popolarissimo servizio di storage in cloud, ha dichiarato pubblicamente di aver subito un data breach. In particolare i cyber attaccanti avrebbero violato i sistemi della piattaforma di firma elettronica DropBox Sign. Questo servizio, chiamato in precedenza HelloSign, consente agli utenti l’invio di documenti online con firma elettronica legalmente valida.

L’azienda ha spiegato di aver individuato un accesso non autorizzato nei sistemi di produzione di DropBox Sign il 24 Aprile e di aver immediatamente avviato le necessarie indagini e analisi. Proprio l’indagine svolta sui sistemi ha consentito all’azienda di scoprire il punto di accesso degli attaccanti ovvero un tool di configurazione automatica del sistema DropBox Sign. Tool che fa parte dei servizi backend della piattaforma.

“A seguito di indagini approfondite, abbiamo scoperto che gli attaccanti hanno avuto accesso a i dati, comprese informazoni relative ai clienti DropBox Sign come email, username, numeri di telefono, hash delle password oltre alle impostazioni generali degli account e alcune informazioni di autenticazione quali le chiavi API, i token OAuth e l’autenticazione multifattore”.

ha fatto sapere l’azienda.

Specificando inoltre come siano stati esposti anche i dati di coloro che utilizzano la piattaforma eSignature senza aver però registrato un account. In questi casi gli attaccanti possono comunque aver messo le mani su dati come l’account email e il nome dell’utente.

La comunicazione pubblicata da DropBox relativa al data breach subito
La comunicazione pubblicata da DropBox relativa al data breach subito

 

Sei un utente DropBox Sign? Cosa fare

DropBox ha già fatto sapere di aver proceduto al reset delle password di tutti gli utenti, sloggando anche tutte le sessioni aperte su DropBox Sign. Hanno anche limitato l’uso delle chiavi API finché i clienti non procederanno a sostituirle. Qui le indicazioni fornite dall’azienda su come sostituire le chiavi API.

Coloro che utilizzano l’autenticazione multifattore per accedere a DropBox Sign dovrebbero invece eliminare la configurazione della propria app di autenticazione e riconfigurarla con nuovi chiavi MFA recuperate dal sito web.

Ulteriore invito è quello di prestare estrema attenzione alle campagne di phishing. E’ molto probabile che gli utenti DropBox Sign possano subire campagne di phishing. I responsabili di questi data breach molto spesso utilizzano i dati rubati proprio allo scopo di lanciare le campagne di phishing e rubare altri dati (ad esempio le password in chiaro) oppure per rivenderli a soggetti terzi. Un tentativo di phishing piuttosto scontato potrebbe essere infatti quello di inviare agli utenti email apparentemente provenieni da DropBox Sign che invitano a cambiare password. Sconsigliamo assolutamente agli utenti di seguire link contenuti in email simili: l’invio è, al contrario, a loggare su DropBox Sign e procedere al reset della password dal sito web.

 

Dropbox hacked: era già successo nel 2022

Questo non è il primo data breach subito da DropBox. Nel Novembre 2022 l’azienda scoprì che alcuni attaccanti avevano avuto accesso e rubato 130 repository contenenti codice. L’accesso abusivo è avvenuto in conseguenza della violazione di alcuni account GitHub in uso ad una serie di dipendenti che avevano subito il furto di credenziali con campagne di phishing.

“La nostra indagine ci ha permesso di scoprire che il codice sul quale gli attaccanti hanno messo le mani conteneva anche alcune credenziali – principalmente chiavi API – usate dagli sviluppatori di DropBox”

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy