Aggiornamento sull’attacco informatico all’italiana Advanced System

Redazione RHC : 31 Dicembre 2022 07:59

Come abbiamo riportato recentemente, l’azienda italiana Advanced System è stata colpita da un attacco informatico.

Essendo tale azienda fornitrice di servizi della pubblica amministrazione, l’attacco informatico, si è propagato con un effetto domino su diverse PA.

Infatti sono andati in disservizio una serie di servizi del comune di Sarno, il comune di Campobasso e il comune di Recale come abbiamo riportato nei precedenti articoli.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Si è quindi trattato di un attacco informatico che si è poi rivelato essere più precisamente un attacco alla supply chain, in quante molte aziende clienti della Advanced System, si sono ritrovate a fare i conti con l’indisponibilita’ dei servizi dell’azienda.

La Advanced System, dobbiamo dire che sta effettuando un ottimo lavoro di comunicazione, in quanto ha riportato subito dopo l’incidente di essere stata vittima della cyber gang PHOBOS.

Inoltre, sta pubblicando degli aggiornamenti regolari che descrivono lo stato dell’arte della gestione dell’incidente informatico. A parte le eventuali carenze nella gestione informatica delle infrastrutture, che non è compito nostro analizzare, sicuramente a livello di comunicazione l’azienda si sta comportando diversamente rispetto a molte altre aziende italiane.

Quanto abbiamo riportato in calce è l’aggiornamento del 30/12 che potete visionare a questa pagina web dell’azienda

Aggiornamento sull'attacco informatico avvenuto il 27 Dicembre 2022
 
A seguito dell'attacco informatico avvenuto il 27 dicembre 2022, Advanced Systems S.p.A. ha provveduto a riattivare e rendere operativi in sicurezza i seguenti principali servizi SaaS: IMU++ • TARI++ • IUC++ • PAGOPA • LINKMATE • TOURIST TAX++ • PRUNES++ • IDRICO++ • CUP++ • COSAP++ • H2H

I piani di Incident Response Management e Disaster Recovery aziendale - attuati assieme al supporto degli specialisti dell’Incident Response Team Swascan - hanno permesso di ripristinare entro 48 ore dall’attacco i servizi colpiti riducendo al minimo il disservizio causato dall’attacco in questione.

Si precisa che l’intera operazione è stata condotta nel pieno rispetto delle best practice e standard di sicurezza. In dettaglio, i sistemi interessati sono stati:
- verificati, controllati e bonificati da possibili ed eventuali elementi malevoli;
- isolati, segregati e compartimentati.

Inoltre, come anticipato nella precedente comunicazione pubblicata, il Security Operation Center (SOC) di Swascan è stato incaricato di garantire il presidio 24h/7gg dell’intera infrastruttura per prevenire, identificare e bloccare eventuali azioni malevole. 

Si segnala che le operazioni di ripristino stanno procedendo e nel dettaglio sono forniti gli aggiornamenti delle seguenti attività:

Identificazione
- Attività di Cyber Investigation per determinare l’attore malevolo e le modalità e relativo vettore di attacco (in fase di analisi)
- Attività di analisi dei log per verificare possibile esfiltrazione dati (in fase di analisi, ma si ribadisce che dalle prime evidenze non si hanno riscontri di esfiltrazione).

Contenimento
- Questa attività avviene tramite azioni di mappatura delle macchine e dei sistemi infettati con una compartimentazione dell’area interessata per mitigare gli effetti malevoli affinché il danno non si propaghi ulteriormente (attività completata)

Eradication
Attività di rimozione della minaccia. Lo sradicamento degli elementi malevoli è supportato dall’attività di monitoraggio del Security Operation Center (SOC) di Swascan. Aggiornamento: Da “attività in fase di completamento” passa a: - Completato per i sistemi principali indicati precedentemente - Attività in fase di completamento per il resto dell’infrastruttura

Recovery
Attività di ripristino dei sistemi, database e servizi. Aggiornamento: da in fase di analisi passa a: - Ripristino dei servizi indicati precedentemente - In fase di completamento per il resto dell’infrastruttura.

Cogliamo l’occasione per esprimere ancora una volta il nostro rammarico circa la presente situazione che vede la società Advanced Systems come parte danneggiata da questo atto criminale

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli