Skyhigh Security Digest dell'intelligence

L'anno scorso è stato un costante gioco di briscola con le vulnerabilità delle VPN, lasciando le organizzazioni che utilizzano sistemi di accesso remoto obsoleti molto aperte a potenziali cyberattacchi.

Le recenti notizie di violazioni di Microsoft e di Hewlett Packard Enterprise (HPE) attraverso le loro infrastrutture di posta elettronica basate sul cloud hanno fatto il giro del settore della cybersicurezza; francamente, per più di un motivo!

Ricorda la minaccia informatica QakBot (altrimenti nota come Qbot o Pinkslipbot)? Questa minaccia è stata bloccata come parte di uno sforzo coordinato delle forze dell'ordine nell'agosto 2023 - e sta tornando in auge!

La recente intrusione informatica che ha preso di mira MGM Resorts International ha sottolineato le questioni urgenti che riguardano la salvaguardia dei dati sensibili e le vulnerabilità esposte che le organizzazioni moderne devono affrontare nell'attuale panorama delle minacce.

HCA Healthcare, un importante fornitore di servizi sanitari con una presenza capillare in Florida e in altri 19 Stati, è stato recentemente vittima di una grave violazione dei dati che potrebbe interessare fino a 11 milioni di persone. L'inquietante incidente è venuto alla luce quando le informazioni personali dei pazienti sono emerse su un forum online.

Un recente avviso rilasciato congiuntamente dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA) e dall'Australian Cyber Security Centre (ACSC) illustra in dettaglio l'aumento delle minacce poste dal gruppo di ransomware ed estorsione BianLian. Con il gruppo di criminali informatici attivo dal giugno 2022, sembra che la crittografia più convenzionale dei file delle vittime per il pagamento del ransomware sia ora passata all'esfiltrazione dei dati compromessi a scopo di ricatto ed estorsione.

Secondo una recente ricerca di settore, sono state osservate campagne e strumenti multipli eseguiti dal gruppo APT MERCURY (alias MuddyWater, Static Kitten) - ampiamente considerato affiliato agli interessi del Ministero iraniano dell'Intelligence e della Sicurezza (MOIS) - che hanno lanciato attacchi dannosi negli ambienti cloud di Microsoft Azure.

Nato come mezzo per generare risate attraverso brevi video clip durante la pandemia di coronavirus, TikTok ha preso il formato video breve che cattura l'attenzione e ha consolidato il suo posto tra le app di social media più popolari. Ma proprio come altre app di proprietà straniera che diventano virali, TikTok, di proprietà cinese, continua a subire controlli sulle sue pratiche di raccolta dati e privacy. Questa volta, però, non sono solo gli Stati Uniti a suonare il campanello d'allarme.

Mentre le organizzazioni proseguono la loro dilagante ascesa verso il cloud, OneNote rappresenta un utile ponte per l'annotazione e la gestione delle attività tra la sede aziendale, il BYOD e il cloud aziendale, tuttavia gli aggressori hanno rivolto la loro attenzione all'applicazione come una strada percorribile per la distribuzione di malware.

L'ultima nascita di attacchi di phishing è all'orizzonte. Con la pervasività delle app cloud e l'evoluzione delle modalità di utilizzo, dalle integrazioni di token single-sign-on, agli utenti viene richiesto di autorizzare l'accesso in quello che è diventato un vettore di attacco trascurato per facilitare la fuga di dati.

L'e-mail è stata la linfa vitale della comunicazione e della collaborazione aziendale per decenni; non c'è dubbio. Tuttavia, l'e-mail è anche uno dei modi più efficaci per distribuire malware o ransomware, responsabile di oltre il 90% delle consegne e delle infezioni da malware.

Sulla scia di numerose violazioni di alto profilo ad opera di bande di criminali informatici, Cisco non è certo contenta di confermare una violazione della sua rete aziendale in un recente attacco di estorsione da parte del gruppo ransomware Yanluowang.

Un'idea sbagliata comune tra le aziende e i loro utenti porta a credere che gli ambienti cloud siano immuni dalle minacce di ransomware. Tuttavia, in una recente scoperta fatta dai ricercatori di Proofpoint, gli attori malintenzionati possono istigare attacchi ransomware sfruttando i backup della versione dei file di Microsoft 365 - resi disponibili grazie alla funzione di "salvataggio automatico" dei file nativa della piattaforma.

Un server non sicuro ha esposto dati sensibili appartenenti a dipendenti di aeroporti in Colombia e Perù. I bucket AWS S3 contenenti circa 3 TB di dati risalenti al 2018 consistevano in registri di dipendenti aeroportuali, foto di carte d'identità e informazioni di identificazione personale (PII), tra cui nomi, foto, occupazioni e numeri di identificazione nazionale.

Il nuovo nome caldo negli attacchi ransomware è Lapsus$. Se non ne ha mai sentito parlare prima, probabilmente ha sentito parlare di alcune delle aziende che hanno attaccato, tra cui Nvidia, Samsung, Okta e Microsoft, solo per citarne alcune. Per i non informati, Lapsus$ è un gruppo di hacker che si concentra sul furto di dati e sull'estorsione.

Secondo quanto riportato da Bleeping Computer, gli attori delle minacce stanno intensificando i loro sforzi contro Microsoft Teams per la distribuzione di malware, impiantando documenti dannosi nei thread di chat, che alla fine portano le vittime ad eseguire Trojan che dirottano i loro sistemi aziendali.