Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Buon 2022 a tutti i nostri lettori con una cyber sintesi di questo difficile 2021

Il 2021 è stato un anno difficile, che ha portato grandi violazioni e problemi agli esperti di sicurezza informatica di aziende e organizzazioni governative, costretti a far fronte a una varietà di minacce, di attacchi di diversa natura, quali campagne di hacking sponsorizzate dallo stato, cybercrime da profitto e una miriade di fughe di dati attraverso una incessante impennata del ransomware, sempre più aggressivo.

Il cybercrime nel comparto Italia, è letteralmente esploso a partire da agosto 2021, con una serie infinita di violazioni delle infrastrutture pubbliche e private attraverso l’utilizzo del ransomware, che è divenuto una piaga per qualsiasi organizzazione, meccanismo perfetto alimentato anche dai “broker di accesso”.

In questo articolo faremo un rapido sunto di quelli che sono stati gli eventi che hanno delineato la minaccia cyber nel 2021, dividendoli in attacchi italiani, internazionali e infine daremo uno sguardo al futuro e alla consapevolezza al rischio.

Advertisements

Red Hot Cyber italiana.

L’italia questo anno, soprattutto dalla metà dell’anno, ha visto una miriade di incidenti informatici che hanno visto partecipi organizzazioni pubbliche e grandi aziende.

La minaccia del ransomware ha fatto da padrone, iniziando con l’attacco alla regione Lazio di inizio Agosto, e un susseguirsi di attacchi successivi nel mese di settembre, con una progressione impressionante.

L’ospedale San Giovanni Addolorata di Roma, la ASL 3 di Roma, il ministero della salute a seguito di una pubblicazione di un post sul forum underground RaidForum la Regione Lombardia, la ASL 2 di Savona, la ASL 2 di Terni, la ASP di Messina e l’ultimo attacco colossale alla ULSS6 di Padova.

Advertisements

Anche lato Comuni la situazione non è andata per nulla bene. Abbiamo iniziato con il Comune di Brescia, il comune di Perugia, l’unione e terre di pianura, il comune di Coggiola e infine il comune di Torino.

Ma anche il privato non scherza, dove ci sono state grandi violazioni a grande organizzazioni quali Tiscali, il Banca di Credito Cooperativo che ha colpito 188 filiali, la Euronics, la ERG, il sito della CGIL, la SIAE (dove Red Hot Cyber ha intervistato la cyber gang Everest), la San Carlo, MediaWorld, MetaEnergia e Argos Energia.

Altro fronte che abbiamo analizzato a fondo è il fenomeno del green pass, dove abbiamo osservato collection sui Green Pass scaricabili da Emule, oppure le offerte di green pass su Telegram e RaidForums perfettamente funzionanti a prezzi variabili, anche in offerte acquistandone più di uno assieme. Abbiamo anche visto il portale web chiamato Shindler’s list 2.0, contenente un pratico sistema di ricerca e visualizzazione dei QRCode relativi all’archivio dei 1000 green pass italiani su base nome, cognome e data di nascita.

Advertisements

Red Hot Cyber internazionale

La piaga del ransomware e senza ombra di dubbio il fattore di rischio che ha delineato la maggior parte degli attacchi informatici, perché funziona dannatamente bene attraverso la doppia estorsione.

Le cyber gang nel 2021, hanno preso sempre più di mira gli ospedali e le infrastrutture critiche, trasformandosi da criminali informatici che cercano di fare soldi in una minaccia di sicurezza nazionale per ogni paese e questo lo stiamo vivendo da diverso tempo anche in Italia.

Questo lo abbiamo appreso a maggio nell’attacco all’operatore americano Colonial Pipeline, il quale rifornisce il carburante a quasi la metà della popolazione della costa orientale degli Stati Uniti. L’attacco, compiuto dal gruppo russo DarkSide, il quale ha paralizzato per diversi giorni il funzionamento dell’oleodotto, provocando un aumento del prezzo del petrolio e costringendo le autorità statunitensi a imporre lo stato di emergenza nella regione.

Advertisements

Alla fine, Colonial Pipeline ha pagato agli estorsori 4,4 milioni di dollari.

Darkside alla fine chiede scusa per aver attaccato una infrastruttura critica degli stati uniti, ma la macchina anti crimine informatica si è messa in moto.

Poco dopo l’incidente, il gruppo DarkSide ha annunciato la sua cessazione e a dicembre il Dipartimento di Stato degli Stati Uniti ha offerto una ricompensa di 10 milioni di dollari per informazioni sui leader del gruppo.

Advertisements

Nonostante le misure attive prese dalle forze dell’ordine, dopo diversi mesi di inattività, DarkSide è tornato con una nuova infrastruttura e un nuovo nome: BlackMatter.

Allo stesso tempo, a maggio, il più grande produttore di carne al mondo JBS ha subito un incidente legato al ransomware REvil.

L’attacco ha interrotto le operazioni negli stabilimenti JBS negli Stati Uniti, in Australia e in Canada, causando ritardi nelle spedizioni dei prodotti. L’azienda è stata costretta a chiudere parti della produzione e a restituire il bestiame agli allevatori. JBS ha ripristinato le fabbriche utilizzando sistemi di backup, ma ha deciso di pagare 11 milioni di dollari agli estorsori per evitare ulteriori attacchi.

Advertisements

Apparso per la prima volta sulla scena delle estorsioni due anni fa, il gruppo russo REvil si è dimostrato piuttosto prolifico. Tra le sue vittime ci sono grandi aziende come il gigante spagnolo delle telecomunicazioni MasMovil, una delle più grandi banche del Cile BancoEstado, la principale società di costruzioni giapponese Kajima Corp, il produttore francese di dispositivi elettronici Asteelflash, il gruppo farmaceutico Pierre Fabre, i produttori di apparecchiature Acer e Quanta Computer e altri ancora.

Tuttavia, la più grande risonanza è stata causata da luglio l’attacco informatico distribuito alla americana Kaseya, che fornisce servizi di gestione delle infrastrutture.

Questo incidente, che ha colpito circa 1500 aziende in tutto il mondo, è stato inserito nell’elenco dei più grandi attacchi alla catena di approvvigionamento.

Gli operatori REvil hanno successivamente messo a disposizione, visto il numero elevato di aziende colpite, un universal decryptor, per il recupero dei dati crittografati venduto a 70 milioni di dollari.

Advertisements

Ma poi il gruppo è improvvisamente scomparso. Alla fine di luglio, Kaseya ha annunciato di aver ricevuto la chiave di decrittazione da una “terza parte” non meglio specificato.

A settembre, dopo diversi mesi di assenza, REvil ha ripreso la sua attività, ma in ottobre è divenuto il bersaglio di un’operazione internazionale che lo ha fatto chiudere.

Un altro incidente di alto profilo è stato un attacco ransomware all’Health Service Executive (HSE), che ha costretto l’agenzia a chiudere temporaneamente i suoi sistemi IT. L’attentato è stato organizzato dal gruppo ransomware Conti, che ha chiesto all’HSE un riscatto di 20 milioni di dollari, ma l’agenzia si è rifiutata di pagare il riscatto.

Advertisements

Quest’anno è stato anche un anno teso per il colosso tecnologico americano Microsoft, grazie in parte a una campagna su larga scala che ha consentito di sfruttare le vulnerabilità zero-day nei server di posta di Microsoft Exchange. La campagna è diventata nota nel marzo di quest’anno, quando Microsoft ha annunciato gli attacchi del gruppo di hacker Hafnium affiliato alla Cina, che ha sfruttato una catena di quattro vulnerabilità zero-day (chiamate “ProxyLogon”) per attaccare i server Microsoft Exchange vulnerabili.

Secondo gli esperti, la campagna ha colpito circa 30mila server. Nei mesi successivi, APT e gruppi di criminali informatici hanno ripetutamente sfruttato ProxyLogon in vari attacchi, anche per distribuire ransomware e spam, nonché per estrarre criptovalute.

Ad aprile, il Federal Bureau of Investigation degli Stati Uniti ha annunciato di aver ricevuto un mandato che consente all’agenzia l’accesso a centinaia di server negli Stati Uniti con versioni vulnerabili di Microsoft Exchange Server al fine di rimuovere le backdoor installate dagli hacker.

Advertisements

Un altro evento degno di nota nel 2021 è stata la fuga su larga scala di dati di proprietà del servizio di Amazon Twitch. A ottobre, su uno dei forum è stata pubblicata una serie di 128 GB di dati Twitch proprietari, incluso il codice sorgente della piattaforma e informazioni su progetti inediti e quanto stanno guadagnando i principali streamer. Come ha spiegato l’amministrazione di Twitch, i dati erano disponibili su Internet a causa di un errore durante la modifica della configurazione del server Twitch, utilizzato dagli aggressori.

L’emergere della criptovalute è diventato una nuova fase nello sviluppo dei servizi finanziari, ma i vecchi rischi non sono scomparsi da nessuna parte: dove ci sono soldi, ci sarà sempre chi vorrà rubarli. Secondo gli esperti, nel 2021 gli hacker hanno rubato un totale di circa 4,25 miliardi di dollari in criptovalute, quasi tre volte di più rispetto allo scorso anno (circa 1,49 miliardi di dollari).

Tra i furti più noti di quest’anno c’è stato l’hacking della piattaforma Poly Network DeFi e il furto di $ 610 milioni in criptovaluta, che è diventato il più grande furto di valute digitali della storia, anche se in seguito l’hacker ha restituito la somma rubata. Anche l’exchange BitMart, ha perso 150 milioni di dollari in vari protocolli di criptovaluta.

Advertisements

Facebook, che ha cambiato nome in Meta in ottobre, è ancora una volta al centro di uno scandalo dopo che l’ex dipendente della società Frances Haugen ha rilasciato informazioni sui meccanismi interni del sito di social network Facebook. La società è stata accusata di non prestare la dovuta attenzione alla moderazione dei contenuti e alla lotta alla disinformazione, dando priorità al profitto rispetto alla sicurezza degli utenti e contribuendo all’incitamento all’odio.

Anche il produttore israeliano di software di spionaggio commerciale NSO Group ha affrontato una raffica di critiche. L’azienda è principalmente nota per il suo prodotto di punta, Pegasus, che è apparso in numerose occasioni nelle indagini di gruppi per i diritti umani. Ad esempio, a luglio, l’ONG francese Forbidden Stories e l’organizzazione per i diritti umani Amnesty International hanno pubblicato dati che mostrano che i governi di dozzine di paesi utilizzano il programma spyware Pegasus per spiare giornalisti, difensori dei diritti umani e dissidenti.

Advertisements

L’evento più eclatante di dicembre è la vulnerabilità di esecuzione di codice remoto (CVE-2021-44228) nella libreria Java Log4j. La notizia della vulnerabilità, soprannominata Log4Shell, ha suscitato scalpore nella comunità della sicurezza informatica per il fatto che la libreria Log4j è presente in quasi tutte le principali applicazioni e server aziendali basati su Java.

Ad esempio, Log4j è implementato in quasi tutti i prodotti aziendali della Apache Software Foundation, oltre ad una infinità di prodotti sia buy che make.

Quindi non sorprende che gli hacker (compresi i gruppi sponsorizzati dal governo) abbiano adottato rapidamente l’exploit di Log4Shell. In particolare, gli esperti hanno osservato casi di sfruttamento di vulnerabilità per installare malware Mirai, Muhstik e Dridex , strumento Cobalt Strike o ransomware .

Advertisements

E la consapevolezza al rischio?

In questo lungo anno abbiamo assistito sempre più ad un indebolimento della consapevolezza al rischio. Questo derivato anche dalle infinite violazioni informatiche che non fanno più notizia. Quando ci si abitua al male, spesso si rischia di retrocedere e di non combattere più e generare meno attenzione e forse è quello che stiamo assistendo in questo anno di divulgazione.

Questo lo possiamo vedere negli utenti comuni anche in Italia con la superficialità da parte delle persone nel trattamento del Green Pass, ma anche da parte degli addetti IT con le continue violazioni che utilizzano RDP, tutte cose che sembrano paradossali da vedere ancora.

Ma una cosa che ancora non riusciamo a fare è collaborare, ovvero condividere le minacce e le tattiche tecniche e processi di aggressione in modo da fare fronte comune. Su questo occorre lavorare molto e risultiamo ancora indietro rispetto ad altre nazioni.

Advertisements

Sicuramente non è un mestiere facile divulgare consapevolezza. Abbiamo molta strada da fare, ma occorre combattere per poter far avviare il cambiamento. Per fortuna che si sta iniziando a pensare al cambiamento anche con la neonata Agenzia di Cybersicurezza Nazionale, sinonimo che il problema sta diventando importante e occorre assieme collaborare per una inversione di tendenza.

Noi continueremo a combattere per questo obiettivo e auguriamo a tutti i nostri lettori un buon 2022!