Dagli Skyhigh Studios di Skyhigh Security, sono Scott Schlee, è giovedì 12 dicembre 2024, e oggi stiamo contando le 10 principali notizie sulla cybersecurity del 2024. Quest'anno non sono mancate le sfide: dalle violazioni sanitarie che hanno esposto milioni di dati, all'interruzione mondiale di CrowdStrike che ha messo in crisi le aziende di tutto il mondo, e persino una violazione che si è propagata da un'azienda all'altra. Queste storie riflettono le minacce in continua evoluzione che dobbiamo affrontare e alcune delle lezioni critiche apprese lungo il percorso. E ora, in ordine sparso, tuffiamoci nell'anno che è stato, nella cybersecurity".
Nel luglio del 2024, una massiccia raccolta di quasi 10 miliardi di password uniche in chiaro, soprannominata "RockYou2024", è stata divulgata su un popolare forum di hacker. Questo set di dati ha unito le password di migliaia di violazioni precedenti, sia vecchie che recenti, creando un archivio senza precedenti di credenziali compromesse. La fuga di notizie ha aumentato in modo significativo il rischio di attacchi di credential stuffing, in cui i criminali informatici sfruttano le password riutilizzate per ottenere un accesso non autorizzato a vari account. Gli esperti di sicurezza hanno esortato le persone a reimpostare immediatamente le password compromesse, ad adottare password forti e uniche per ogni account, ad utilizzare i password manager e ad attivare l'autenticazione a più fattori per mitigare le minacce potenziali.
Nel gennaio 2024, Microsoft ha rivelato che il gruppo russo sponsorizzato dallo Stato Midnight Blizzard (noto anche come APT29 o Nobelium) si era infiltrato nei suoi sistemi e-mail aziendali. Gli aggressori hanno utilizzato un attacco con password spray per compromettere un account di test legacy non di produzione, privo di autenticazione a più fattori. Questa violazione iniziale ha permesso loro di scalare i privilegi e di accedere a una piccola percentuale di account e-mail aziendali, compresi quelli della leadership senior e del personale di cybersecurity. Il gruppo ha esfiltrato e-mail e allegati, con l'obiettivo di raccogliere informazioni sulla conoscenza di Microsoft delle loro operazioni. Da allora, Microsoft ha implementato misure di sicurezza potenziate in tutti i suoi ambienti, per prevenire simili incidenti futuri.
Nel febbraio 2024, Change Healthcare, una filiale del Gruppo UnitedHealth, ha subito un attacco ransomware da parte del gruppo ALPHV/BlackCat, che ha compromesso le informazioni personali e sanitarie di oltre 100 milioni di persone: la più grande violazione di dati sanitari nella storia degli Stati Uniti. I dati rubati includevano nomi, dettagli di contatto, numeri di previdenza sociale, cartelle cliniche e informazioni finanziarie. La violazione ha interrotto i servizi sanitari a livello nazionale, con ripercussioni sull'elaborazione delle richieste di rimborso e sull'assistenza ai pazienti. UnitedHealth ha pagato un riscatto di 22 milioni di dollari agli aggressori e ha informato le persone colpite, offrendo due anni di monitoraggio gratuito del credito e servizi di protezione dell'identità.
Nell'aprile del 2024, National Public Data, un'azienda di controllo dei precedenti, ha subito una massiccia violazione dei dati che ha esposto circa 2,9 miliardi di record, interessando fino a 170 milioni di persone negli Stati Uniti, nel Regno Unito e in Canada. I dati compromessi includevano nomi completi, numeri di previdenza sociale, indirizzi postali, indirizzi e-mail e numeri di telefono. La violazione è stata attribuita a un hacker di terze parti che ha avuto accesso ai sistemi dell'azienda nel dicembre 2023, con fughe di dati che si sono verificate da aprile all'estate del 2024. Questo incidente ha portato a molteplici azioni legali collettive e a un significativo danno alla reputazione, che alla fine ha portato National Public Data a dichiarare il fallimento in base al Capitolo 11 nell'ottobre 2024.
A metà del 2024, un gruppo di criminali informatici identificato come UNC5537 ha eseguito una serie di attacchi rivolti ai clienti di Snowflake, un'importante piattaforma di dati cloud. Sfruttando le credenziali raccolte attraverso un malware infostealer, gli aggressori hanno avuto accesso a circa 165 account di clienti privi di autenticazione a più fattori (MFA), portando all'esfiltrazione di volumi sostanziali di dati sensibili. Tra le vittime degne di nota figurano Ticketmaster, Santander Bank e AT&T, con la violazione di quest'ultimo che ha esposto i registri delle chiamate di oltre 100 milioni di clienti. Gli aggressori hanno tentato di estorcere denaro alle organizzazioni colpite, chiedendo riscatti per impedire il rilascio pubblico dei dati rubati. In risposta, Snowflake ha collaborato con la società di cybersicurezza Mandiant per indagare sulle violazioni e da allora ha avviato piani per imporre l'MFA a tutti gli account utente, per migliorare la sicurezza.
Nel maggio 2024, Ticketmaster ha subito una significativa violazione dei dati che ha esposto le informazioni personali di circa 560 milioni di clienti in tutto il mondo. Il gruppo di hacker ShinyHunters ha rivendicato la responsabilità, offrendo 1,3 terabyte di dati rubati - tra cui nomi, indirizzi, numeri di telefono e dettagli parziali di carte di credito - per 500.000 dollari sul dark web. Ticketmaster ha rilevato un'attività non autorizzata il 20 maggio e da allora ha collaborato con le forze dell'ordine e gli esperti di sicurezza informatica per indagare sulla violazione. L'azienda ha assicurato ai clienti che i loro conti rimangono sicuri e ha offerto alle persone colpite 12 mesi di servizi gratuiti di monitoraggio dell'identità. Si consiglia ai clienti di monitorare i loro conti finanziari per rilevare attività sospette e di essere vigili contro potenziali tentativi di phishing.
Nel luglio 2024, AT&T ha rivelato una significativa violazione dei dati che ha compromesso le registrazioni delle chiamate e degli SMS di quasi tutti i suoi clienti wireless. La violazione ha riguardato circa 110 milioni di persone, esponendo metadati come numeri di telefono, durata delle chiamate e posizione delle torri cellulari associate. Anche se il contenuto delle comunicazioni e le informazioni personali sensibili come i numeri di previdenza sociale non sono stati inclusi, i dati esposti potrebbero essere sfruttati per attacchi di phishing mirati e altre attività dannose. Da allora AT&T ha messo in sicurezza la violazione, ha informato i clienti interessati e sta collaborando con le forze dell'ordine, con il risultato di almeno un arresto legato all'incidente.
Nel maggio 2024, Ascension, un importante sistema sanitario statunitense, ha subito un attacco ransomware iniziato da un dipendente che ha scaricato inavvertitamente un file dannoso. Il gruppo Black Basta, legato alla Russia, è stato identificato come l'autore dell'attacco. La violazione ha interrotto le operazioni nei 140 ospedali di Ascension, causando deviazioni di ambulanze, procedure mediche posticipate e un'interruzione di sei settimane delle cartelle cliniche elettroniche (EHR). Dal punto di vista finanziario, l'attacco ha contribuito a una perdita netta di 1,1 miliardi di dollari per l'anno fiscale conclusosi il 30 giugno 2024, a causa dei ritardi nei processi del ciclo delle entrate e dell'aumento dei costi di riparazione. Da allora, Ascension ha ripristinato l'accesso all'EHR e sta collaborando con esperti di sicurezza informatica per rafforzare le sue difese e prevenire incidenti futuri.
Nel giugno 2024, CDK Global, fornitore leader di software per le concessionarie automobilistiche, è stato vittima di un attacco ransomware da parte del gruppo BlackSuit, che ha causato interruzioni operative diffuse in circa 15.000 concessionarie in Nord America. La violazione ha costretto molte concessionarie a tornare ai processi manuali, rallentando in modo significativo le operazioni di vendita e di assistenza. Per accelerare il ripristino del sistema, CDK Global avrebbe pagato un riscatto di 25 milioni di dollari agli aggressori. L'incidente non solo ha evidenziato le vulnerabilità dell'infrastruttura digitale del settore automobilistico, ma ha anche sottolineato i notevoli rischi finanziari e operativi associati ai cyberattacchi.
Nel luglio 2024, un aggiornamento software difettoso della società di cybersicurezza CrowdStrike ha causato un'interruzione globale dell'IT, interrompendo numerosi settori. L'aggiornamento difettoso ha provocato crash di sistema diffusi, in particolare la visualizzazione della "schermata blu della morte" sui dispositivi Windows. L'incidente ha colpito oltre 8,5 milioni di dispositivi in tutto il mondo, mettendo a terra migliaia di voli, bloccando le transazioni finanziarie e compromettendo i servizi sanitari. Il processo di ripristino è stato complesso, richiedendo interventi manuali e riavvii del sistema, che hanno prolungato i tempi di inattività per molte organizzazioni. L'interruzione ha evidenziato la necessità critica di un robusto test del software e le vulnerabilità insite nelle soluzioni di cybersecurity centralizzate.
E questi sono i titoli principali per l'anno 2024. Grazie ancora per aver ascoltato Skyhigh CloudCast. Se ha apprezzato questo episodio, si assicuri di abbonarsi sulla sua piattaforma podcast preferita per non perdere mai un aggiornamento. Se le è piaciuta la trasmissione, ci lasci una recensione. Aiuterà gli altri a trovare il podcast. Per maggiori informazioni su Skyhigh Security o CloudCast, visiti SkyhighSecurity.com.
Nota bene: tutte le trascrizioni sono generate utilizzando un software di riconoscimento vocale e una trascrizione umana e possono contenere errori. La preghiamo di controllare l'audio corrispondente prima di citare in stampa.