TfL subisce un attacco informatico, si raccomanda la vigilanza mentre le indagini proseguono

Transport for London (TfL) sta affrontando un attacco informatico e ha richiesto l'assistenza della National Crime Agency (NCA) e del National Cyber Security Centre (NCSC). Nonostante l'incidente in corso, TfL ha assicurato al pubblico che nessun dato dei clienti è stato compromesso e che i servizi non sono stati interessati. Tuttavia, i sistemi amministrativi sono stati colpiti e al personale è stato chiesto di lavorare da casa.

Raccomandiamo ai clienti di rimanere vigili durante incidenti come questo e consigliamo ai viaggiatori di monitorare i propri account per rilevare eventuali attività insolite, assicurandosi che le password e i dati di accesso siano sicuri. Il nostro team sottolinea l'importanza di attivare l'autenticazione a due fattori sugli account collegati a TfL, come le carte Oyster o i servizi online.

Cisco ha corretto una vulnerabilità critica di command injection che consente l'escalation dei privilegi di root

Cisco ha corretto una vulnerabilità di command injection, classificata come CVE-2024-20469, che consente agli aggressori di scalare i privilegi a root sui sistemi vulnerabili. La falla, rilevata nella soluzione Identity Services Engine (ISE) di Cisco, è dovuta a una convalida insufficiente delle informazioni fornite dall'utente. Ciò consente agli aggressori locali di eseguire comandi dannosi attraverso attacchi a bassa complessità che non richiedono l'interazione dell'utente.

Tuttavia, uno sfruttamento efficace è possibile solo se gli aggressori possiedono già privilegi di amministratore su sistemi privi di patch. In un avviso di sicurezza, Cisco ha avvertito che il codice proof-of-concept per sfruttare questa vulnerabilità è pubblicamente disponibile, anche se non sono stati rilevati exploit attivi.

Il gruppo di ransomware RansomHub ha colpito 210 vittime

Secondo il governo degli Stati Uniti, le minacce legate al gruppo di ransomware RansomHub hanno criptato e rubato i dati di oltre 210 vittime dal febbraio 2024. RansomHub ha preso di mira settori come l'assistenza sanitaria, i servizi governativi e le infrastrutture critiche, tra cui i servizi idrici, informatici e di emergenza.

RansomHub, discendente delle varianti Cyclops e Knight, opera come piattaforma ransomware-as-a-service (RaaS), attirando affiliati da grandi gruppi come LockBit e ALPHV. Utilizza un doppio modello di estorsione, esfiltrazione e crittografia dei dati prima di richiedere il riscatto tramite un URL .onion.

Una volta entrati, gli affiliati di RansomHub utilizzano strumenti come Mimikatz per aumentare i privilegi e muoversi all'interno delle reti. Gli esperti consigliano di monitorare le attività di login insolite e di utilizzare soluzioni di rilevamento e risposta degli endpoint (EDR) per identificare tempestivamente le attività sospette.

Con l'evolversi delle tattiche di ransomware, l'adozione di solide strategie di backup e backup offline rimane fondamentale per il recupero in caso di attacco.

Consigliamo alle organizzazioni di dare priorità alla patch delle vulnerabilità in software chiave come Apache ActiveMQ, Atlassian Confluence e Citrix ADC per limitare l'esposizione. L'implementazione della segmentazione della rete e dell'autenticazione a più fattori (MFA) è fondamentale per prevenire i movimenti latenti.

Gli Stati Uniti interrompono un'importante campagna di influenza russa per le elezioni del 2024 con domini falsi e contenuti generati dall'IA

Il governo statunitense ha annunciato l'interruzione di un'importante campagna di influenza russa, denominata in codice “Doppelganger”, che utilizzava domini cybersquattati, contenuti generati dall'intelligenza artificiale, influencer e piattaforme di social media per diffondere disinformazione. La campagna, che mirava a intromettersi nelle elezioni presidenziali statunitensi del 2024, mirava anche a ridurre il sostegno internazionale all'Ucraina e a promuovere le politiche filorusse.

Il Dipartimento di Giustizia ha sequestrato 32 domini creati per imitare siti web di notizie legittime come il Washington Post, diffondendo storie false per ingannare i visitatori. Contenuti generati dall'intelligenza artificiale e falsi profili di giornalisti sono stati utilizzati per diffondere la propaganda russa, soprattutto attraverso i social media.

Due cittadini russi, Kostiantyn Kalashnikov ed Elena Afanasyeva, legati al media controllato dallo Stato RT, sono stati accusati per il loro coinvolgimento. RT ha pagato una società con sede nel Tennessee per diffondere contenuti divisivi sulle piattaforme sociali. Il Dipartimento del Tesoro ha imposto sanzioni anche a 10 persone coinvolte nell'operazione, mentre il Dipartimento di Stato ha offerto ricompense per informazioni su gruppi associati come RaHDit.

Tre uomini si dichiarano colpevoli di aver gestito OTP.Agency e di aver frodato milioni di clienti di banche britanniche

Tre uomini si sono dichiarati colpevoli di aver gestito OTP.Agency, una piattaforma che ha aiutato i criminali a rubare le one-time password (OTP) ai clienti delle banche britanniche. Le OTP sono password temporanee utilizzate nell'autenticazione a più fattori per proteggere i conti. I criminali si sono iscritti al servizio e hanno utilizzato questi codici per accedere ai conti bancari delle vittime.

Il trio, Callum Picari (22), Vijayasidhurshan Vijayanathan (21) e Aza Siddeeque (19), ha preso di mira più di 12.500 persone tra settembre 2019 e marzo 2021, quando la National Crime Agency (NCA) ha chiuso il sito. Picari era il proprietario e lo sviluppatore della piattaforma, mentre Siddeeque la promuoveva e forniva assistenza tecnica.

OTP.Agency offriva abbonamenti che andavano da 30 a 380 sterline, dando accesso agli OTP di oltre 30 servizi, tra cui banche come HSBC e Lloyds. Le autorità ritengono che il gruppo abbia potuto guadagnare fino a 7,9 milioni di sterline. Il trio è ora accusato di associazione a delinquere finalizzata alla frode, fornitura di strumenti fraudolenti e riciclaggio di denaro e sarà condannato il 2 novembre.

Se ti preoccupano alcune delle minacce menzionate in questo bollettino o hai bisogno di aiuto per determinare quali passi intraprendere per proteggerti dalle minacce più rilevanti che la tua organizzazione deve affrontare, ti preghiamo di contattare il tuo account manager o, in alternativa, mettiti in contatto per scoprire come puoi proteggere la tua organizzazione.

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.