Come sempre nell’arte della guerra, saper anticipare le mosse del nemico è una cosa fondamentale. Nel mondo cyber, viene chiamata “intelligence delle minacce”. Si tratta di analisi delle fonti OSINT/CLOSINT che consente agli analisti di comprendere la minaccia che ruota attorno ad una organizzazione, magari mentre i criminali si stanno organizzando per condurre un attacco.
Advertising
Oggi scopriremo come mai questa materia sta diventando così importante e che con buone probabilità, l’incidente informatico al Fatebenefratelli di Milano poteva essere evitato.
Nella giornata di oggi abbiamo riportato dell’incidente informatico al Fatebenefratelli di Milano, che al momento sta lavorando con “carta e penna” in quanto i sistemi informatici non permettono la gestione dell’ospedale nel modo consueto.
Molti degli incidenti informatici dei quali sentiamo parlare nei giornali o nei telegiornali la sera, si sono consumati molto ma molto prima. Infatti, spesso ci capita di trovare tracce di queste informazioni nei covi dei criminali informatici e nelle underground.
Nello specifico, il 10 gennaio 2022, l’attore di minacce che risponde al soprannome di “SubComandanteVPN” ha offerto in vendita degli accessi VPN appartenenti a delle grandi organizzazioni.
Advertising
Questo attore di minacce viene chiamato “broker di accesso”, e si tratta nello specifico di un canale underground, un negozio, normalmente frequentato da altri criminali informatici che approvvigionano gli accessi (banalmente user e password di accesso ad infrastrutture di sicurezza o falle di sicurezza per fare breccia su un sistema) per poi utilizzarle e quindi sferrare un attacco informatico e inoculare all’interno delle infrastrutture IT dell’azienda il ransomware.
Nello specifico, questo attore ha venduto in modo riservato degli accessi a dei gruppi criminali e tra le organizzazioni incluse era possibile acquistare l’accesso alle credenziali per l’ospedale Fate Bene Fratelli Sacco, rispondendo all’FQDN asst-fbf-sacco.it
Di seguito i dettagli completi delle vittime che Cluster25 è riuscita a recuperare:
Banner che mostra gli accessi in vendita nelle underground da parte di SubComandanteVPN (fonte Cluster25)
Siccome il broker di accesso risulta molto vicino ai gruppi ransomware quali LockBit, Conti e Hive, si potrebbe ipotizzare che in questo momento, all’interno dei loro backend, si stia parlando proprio di questo.
Lo sfruttamento di una credenziale VPN rubata/trapelata potrebbe consentire la diffusione di varianti di ransomware e, in base ai settori interessati, potrebbe avere pesanti ricadute sui servizi e sui cittadini, come nel caso di un ospedale e di un pronto soccorso.
Questo vuol dire che effettuando analisi costanti all’interno delle underground, conoscendo i circoli criminali, le infiltrazioni, le fonti pubbliche e le fonti chiuse, è possibile “anticipare” le minacce e quindi correre ai ripari prima che queste si scaraventino contro una organizzazione ed infliggano ingenti danni al suo business.
Prendiamo in considerazione oggi più che mail la Threat intelligence. Oggi deve far parte del tuo business.
RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso in cui l’azienda volesse effettuare una dichiarazione, saremo lieti di pubblicarla all’interno di questa pagina, magari avendo informazioni di cosa si sta facendo per rispondere all’attacco informatico.
Potete contattarci tramite la sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
Aree di competenza:Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.