Consigli londinesi colpiti da un attacco informatico con gravi interruzioni dei servizi

Tre consigli comunali di Londra sono stati costretti ad attivare misure di emergenza dopo che un attacco informatico ha causato gravi interruzioni dei servizi sui sistemi IT condivisi. Il Royal Borough of Kensington and Chelsea e il Westminster City Council hanno confermato che diversi sistemi interni sono stati colpiti, comprese le linee telefoniche e i servizi di contatto online, portando a spegnimenti precauzionali per limitare ulteriori danni e proteggere i dati dei residenti. A causa dell’infrastruttura condivisa, anche il London Borough of Hammersmith and Fulham ha implementato misure di sicurezza aggiuntive, causando ulteriori disagi operativi.

Le autorità hanno dichiarato di stare lavorando a stretto contatto con team specializzati nella risposta agli incidenti informatici e con il National Cyber Security Centre. Le indagini sull’attacco sono in corso e, sebbene nessun gruppo di minacce abbia rivendicato pubblicamente la responsabilità, gli esperti di sicurezza ritengono che l’incidente possa coinvolgere ransomware collegati a un fornitore di servizi terzi. L’Information Commissioner’s Office è stato informato e i residenti vengono tenuti aggiornati mentre i sistemi vengono gradualmente ripristinati.

L’attacco alla catena di fornitura Shai-Hulud passa da npm a Maven, esponendo migliaia di sviluppatori

Una seconda ondata dell’attacco alla catena di fornitura Shai-Hulud si è estesa oltre npm e ha ora raggiunto l’ecosistema Maven, evidenziando il rischio crescente per le catene di distribuzione del software open source. I ricercatori hanno identificato un pacchetto Maven malevolo, org.mvnpm:posthog-node:4.18.1, che rispecchia gli stessi componenti furtivi utilizzati in precedenza nelle librerie npm compromesse. Sebbene il pacchetto non sia stato pubblicato direttamente dal progetto originale, è stato generato automaticamente da un sistema che riconfeziona i moduli npm come artefatti Maven. Tutte le copie infette conosciute sono state rimosse.

L’attacco è progettato per sottrarre dati sensibili, incluse credenziali cloud, chiavi API e token GitHub e npm, consentendo al contempo una compromissione più profonda degli ambienti di sviluppo. Oltre 28.000 repository sono stati colpiti, con migliaia di segreti esposti. Il malware utilizza tecniche avanzate di evasione, workflow CI malevoli e auto-replicazione per diffondersi rapidamente. I team di sicurezza stanno sollecitando la rotazione immediata delle chiavi, audit delle dipendenze e il rafforzamento degli ambienti CI/CD.

Attacco informatico al fornitore CodeRED lascia città statunitensi senza servizio di allerta d’emergenza

Città e comuni in tutti gli Stati Uniti hanno perso l’accesso al sistema di allerta d’emergenza CodeRED in seguito a un attacco informatico al fornitore Crisis24. La piattaforma viene utilizzata per inviare messaggi di pubblica sicurezza in tempo reale, comprese allerte meteo, segnalazioni di persone scomparse e incidenti di sicurezza. Numerose amministrazioni locali hanno pubblicato avvisi quasi identici confermando le interruzioni del servizio dopo la violazione.

La contea di Douglas, in Colorado, ha rescisso il contratto ed è alla ricerca di un fornitore alternativo, mentre altre autorità stanno aspettando che Crisis24 completi i lavori su una nuova piattaforma che, a quanto dichiarato, opera in un ambiente separato e non compromesso. Diverse regioni sono passate temporaneamente a notifiche tramite social media o comunicazioni porta a porta.

Crisis24 ha confermato che sono stati accessi dati personali, inclusi nomi, indirizzi, dettagli email, numeri di telefono e password. Ai residenti è stato consigliato di cambiare le password, in particolare se riutilizzate altrove. Il gruppo ransomware INC ha rivendicato la responsabilità, pubblicato campioni dei dati rubati e minacciato di vendere le informazioni rimanenti dopo il fallimento delle negoziazioni per il riscatto.

CISA avverte di campagne di spionaggio che prendono di mira le app di messaggistica con spyware

La Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha emesso un avviso segnalando che attori delle minacce stanno utilizzando attivamente spyware commerciali e trojan di accesso remoto per colpire gli utenti delle più diffuse applicazioni di messaggistica mobile. Secondo l’agenzia, gli attaccanti stanno impiegando tecniche di social engineering altamente mirate per dirottare gli account e ottenere accesso alle comunicazioni private, prima di distribuire ulteriore malware per compromettere completamente i dispositivi delle vittime.

Le campagne recenti includono tentativi di prendere il controllo degli account Signal tramite la funzione dei dispositivi collegati, operazioni di spyware Android come ProSpy, ToSpy e ClayRat, e lo sfruttamento mirato di vulnerabilità precedentemente sconosciute in dispositivi iOS, WhatsApp e Samsung. Questi attacchi spesso si basano su codici QR per il collegamento dei dispositivi, exploit “zero click” e versioni false di app affidabili.

L’attività è rivolta principalmente a individui di alto profilo, inclusi funzionari governativi, personale militare e figure della società civile negli Stati Uniti, in Europa e in Medio Oriente. La CISA ha invitato gli utenti a rischio ad adottare autenticazioni più robuste, proteggere gli account mobili e aggiornare regolarmente i dispositivi per ridurre l’esposizione.

L’FBI avverte di un forte aumento delle frodi di account takeover legate a truffe di impersonificazione bancaria

L’FBI ha segnalato un aumento significativo delle frodi di account takeover, con criminali che hanno rubato oltre 262 milioni di dollari dall’inizio dell’anno impersonando istituti finanziari. L’Internet Crime Complaint Center ha ricevuto oltre 5.100 segnalazioni di questi attacchi, che hanno colpito individui, aziende e organizzazioni in numerosi settori.

In questi schemi, gli attori delle minacce utilizzano phishing, siti web falsi e social engineering per indurre le vittime a fornire credenziali di accesso e codici di accesso monouso. Una volta ottenuto l’accesso, i criminali trasferiscono rapidamente i fondi su conti collegati a portafogli di criptovalute, quindi modificano le password per bloccare i legittimi proprietari. Il recupero è spesso estremamente difficile a causa della velocità dei trasferimenti e dell’uso delle criptovalute.

L’FBI ha esortato gli utenti a monitorare attentamente i conti finanziari, utilizzare password forti e uniche, abilitare l’autenticazione a più fattori e accedere ai siti bancari solo tramite segnalibri affidabili. Alle vittime è stato consigliato di contattare immediatamente la propria banca, richiedere il recupero dei fondi e segnalare gli incidenti tramite i canali ufficiali.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.