Botnet Globale Esposta: NCSC e Alleati Invitano ad Agire Contro le Minacce Cibernetiche Collegate alla Cina

Il National Cyber Security Centre (NCSC) del Regno Unito, insieme ad alleati internazionali come FBI e NSA, ha emesso un avviso invitando individui e organizzazioni a prendere misure protettive immediate dopo l'esposizione di una botnet globale operata da una società legata alla Cina.

L'avviso, rilasciato in collaborazione con Stati Uniti, Australia, Canada e Nuova Zelanda, rivela che una società con sede in Cina, Integrity Technology Group, è responsabile della gestione di una botnet di oltre 260.000 dispositivi compromessi in tutto il mondo. Questi dispositivi compromessi includono router, firewall e dispositivi Internet of Things (IoT) come webcam e telecamere CCTV, utilizzati per scopi dannosi, tra cui la distribuzione di malware e attacchi Distributed Denial of Service (DDoS).

L'avviso identifica Integrity Technology Group come l'entità dietro la botnet, operativa dalla metà del 2021, sfruttata dall'attore delle minacce noto come Flax Typhoon. Sono stati rilevati dispositivi compromessi in Nord e Sud America, Europa, Africa, Sud-est asiatico e Australia.

Europol e una task force globale smantellano la piattaforma criptata 'Ghost' utilizzata dal crimine organizzato

Europol, insieme alle forze dell'ordine di nove paesi, ha smantellato con successo una piattaforma di comunicazione criptata chiamata "Ghost", utilizzata dal crimine organizzato per il traffico di droga e il riciclaggio di denaro.

Ghost vantava funzioni di sicurezza avanzate, comprese le sottoscrizioni basate su criptovalute, la crittografia a tre livelli e i messaggi autodistruggenti che cancellavano le prove dai dispositivi. Aveva una base di utenti globale, con circa 1.000 messaggi scambiati quotidianamente e rivenditori che promuovevano la piattaforma. Le sottoscrizioni costavano $2.350 per sei mesi e includevano uno smartphone modificato e supporto tecnico.

L'indagine, guidata dalla Operational Taskforce (OTF) di Europol, è iniziata nel marzo 2022 e ha coinvolto agenti degli Stati Uniti, Canada, Australia e vari paesi europei. Le autorità hanno rintracciato i server di Ghost in Francia e Islanda, collegando i suoi operatori all'Australia e a beni situati negli Stati Uniti.

L'operazione ha portato a 51 arresti a livello globale, con importanti raid in Australia, Irlanda, Canada e Italia. Le autorità hanno anche smantellato un laboratorio di droga e sequestrato armi, droga e oltre €1 milione.

Cencora paga un riscatto record di $75 milioni nel più grande attacco di estorsione informatica

Cencora Inc., precedentemente AmerisourceBergen, è stata vittima di un grave attacco informatico, pagando un riscatto record di $75 milioni, il più grande pagamento di estorsione informatica noto fino ad oggi. Il riscatto, inizialmente fissato a $150 milioni, è stato pagato in Bitcoin in tre rate entro marzo, a seguito della violazione scoperta a febbraio. Sono stati rubati dati sensibili, ma Cencora ha fornito pochi dettagli oltre ai documenti regolatori.
Nel suo rapporto di luglio, la società ha rivelato $31,4 milioni in "altre" spese per i nove mesi terminati il 30 giugno, principalmente legate all'incidente informatico, coprendo gli sforzi di indagine e mitigazione. Nonostante il pagamento significativo, Cencora ha riconosciuto che i dati rubati potrebbero ancora essere divulgati.
Questo attacco evidenzia una tendenza crescente dei criminali informatici a prendere di mira settori di alto valore come quello sanitario, con il pagamento di Cencora che supera il record precedente di $40 milioni pagato da CNA Financial nel 2021. Gli esperti mettono in guardia contro il fare pagamenti, poiché tali compensi incentivano ulteriori attacchi.

SolarWinds emette una hotfix critica per una vulnerabilità in Web Help Desk che consente l'accesso non autorizzato

SolarWinds ha rilasciato una hotfix per affrontare una vulnerabilità critica (CVE-2024-28987) nel suo software Web Help Desk (WHD), che consentiva agli aggressori di accedere ai sistemi utilizzando credenziali codificate. Web Help Desk è ampiamente utilizzato da agenzie governative, corporazioni e istituzioni sanitarie ed educative per gestire le attività del supporto tecnico IT. La vulnerabilità consentiva agli aggressori non autenticati di modificare i dati e accedere alla funzionalità interna.

SolarWinds non ha ancora emesso un avviso pubblico sulla vulnerabilità e non ha confermato se sia stata sfruttata attivamente. La hotfix, rilasciata questa settimana, deve essere installata dopo l'aggiornamento a Web Help Desk versione 12.8.3.1813 o 12.8.3 HF1. Gli amministratori sono invitati a creare backup prima di applicare la hotfix.

Lo stesso aggiornamento risolve anche una grave vulnerabilità di esecuzione di codice remoto (CVE-2024-28986), sfruttata in attacchi precedenti quest'anno e inclusa nel catalogo delle Vulnerabilità Sfruttate Conosciute (KEV) della CISA.

Se ti preoccupano alcune delle minacce menzionate in questo bollettino o hai bisogno di aiuto per determinare quali passi intraprendere per proteggerti dalle minacce più rilevanti che la tua organizzazione deve affrontare, ti preghiamo di contattare il tuo account manager o, in alternativa, mettiti in contatto per scoprire come puoi proteggere la tua organizzazione.

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.