Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’italiana Prima Sole Components violata da Conti ransomware

Redazione RHC : 1 Aprile 2022 11:36

Era qualche settimana che la famigerata cybergang Conti ransomware non proponeva all’interno del data leak site violazioni di aziende italiane. Ma ecco che il primo giorno di Aprile inizia all’insegna di una violazione ai danni di una azienda privata: La Prima Sole Components Spa.

Si tratta di una azienda di una azienda italiana, con sedi in tutto il mondo, la quale si occupa di produzione di componenti in plastica per l’automotive.

Conti riporta nell’avviso riportato sul suo sito quanto segue:

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La P.S.C. Components ha l’obiettivo di creare un concetto di “business”, interconnesso con il territorio in cui opera. La gestione del gruppo si basa sull’idea del riconoscimento dell’importante ruolo sociale che l’azienda stessa ha all’interno e all’esterno della comunità, sia essa locale, nazionale o internazionale, e tale idea è evidente nel modo in cui porta nuove soluzioni con l’obiettivo di migliorare la qualità della vita e portare a opportunità di carriera e lavoro insieme agli stipendi per i nostri dipendenti.”

RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Qualora l’azienda volesse effettuare una dichiarazione su come sta affrontando l’incidente informatico, saremo lieti di pubblicarla all’interno di questo articolo.

Chi è Conti Ransomware

Conti è una cyber gang che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.

È probabile che i vertici dell’organizzazione di Conti paghino degli sviluppatori di malware con uno stipendio fisso anziché una percentuale dei proventi utilizzati dagli attori informatici affiliati, ricevendo una quota dei proventi di un attacco riuscito.

Gli attori Conti spesso ottengono l’accesso iniziale alle reti attraverso:

  • Campagne di spearphishing che utilizzano e-mail personalizzate che contengono allegati dannosi o collegamenti dannosi. Gli allegati di Word spesso contengono script incorporati che possono essere utilizzati per scaricare o rilasciare altro malware, come TrickBot e IcedID e/o Cobalt Strike, per poi effettuare dei movimenti laterali nelle fasi successive dell’attacco;
  • Credenziali RDP (Remote Desktop Protocol) rubate o deboli oppure acquistate dai broker di accesso;
  • Chiamate telefoniche;
  • Software falso promosso tramite l’ottimizzazione dei motori di ricerca;
  • Altre reti di distribuzione di malware (ad es. ZLoader);
  • Vulnerabilità comuni negli asset ICT.

Nella fase di esecuzione, gli attori eseguono un payload getuid prima di utilizzare un malware più aggressivo per ridurre il rischio di attivare i motori antivirus.

La CISA e l’FBI hanno osservato Conti utilizzare dei Router Scan, telecamere e dispositivi di archiviazione collegati alla rete con interfacce web per effettuare l’accesso illecito alle infrastrutture. Inoltre, gli attori utilizzano anche attacchi Kerberos per tentare di ottenere l’hash di amministrazione e condurre attacchi di forza bruta.

È noto che gli attori Conti sfruttano software di monitoraggio e gestione remoti legittimi e software desktop remoto come backdoor per mantenere la persistenza sulle reti delle vittime. Gli attori utilizzano strumenti già disponibili sulla rete delle vittime e, se necessario, aggiungono strumenti aggiuntivi , come Windows Sysinternals e Mimikatz, per ottenere gli hash e le credenziali di testo non crittografato degli utenti, che consentono agli attori di aumentare i privilegi all’interno di un dominio ed eseguire altre attività post-sfruttamento e di spostamento laterale.

In alcuni casi, gli attori utilizzano anche il malware TrickBot per svolgere attività successive di sfruttamento.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, anche se in assenza di un backup dei dati, sono molte le volte che il ripristino è stato impossibile.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono:

  • Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware; i backup critici devono essere isolati dalla rete per una protezione ottimale;
  • Formare il personale con attraverso corsi di Awareness;
  • Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
  • Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
  • Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
  • Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
  • Non seguire i collegamenti Web non richiesti nelle e-mail. Per ulteriori informazioni, fare riferimento alle risorse di phishing presenti su questo sito Web.
  • Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
  • Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda. Oggi occorre cambiare mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006