I gruppi ransomware mietono vittime tra le multinazionali americane

Articolo di AJ Vicens per CyberScoop

All’inizio di questo mese, il colosso americano della difesa Boeing si è unito a uno dei club aziendali in più rapida crescita in America: le aziende che sono state violate da una nuova generazione di criminali informatici sempre più sfacciati.

La scorsa settimana, la squadra di hacker che si fa chiamare LockBit ha postato circa 43 gigabyte di dati aziendali appartenenti alle attività di distribuzione e componentistica di Boeing, ma quella era solo una di una serie di violazioni che hanno colpito le principali società statunitensi – aziende che in teoria dovrebbero avere difese abbastanza mature – perpetrati da hacker legati al mondo criminale informatico clandestino noto come Com , ALPHV , LockBit e Lapsus$ .

Tra le loro vittime ci sono Boeing, Clorox, Caesars Entertainment, Microsoft, MGM Resorts, Nvidia, Samsung, Okta e la Banca industriale e commerciale cinese (ICBC).

Reclamando vittime dopo vittime nel panorama aziendale americano, questi gruppi di hacker riescono a violare aziende dotate di risorse quasi a piacimento, rubando dati, estorcendo vittime e svergognandole lungo il percorso.

“È una specie di colpo di fulmine, nel senso che se vogliono inseguirti, probabilmente avranno un bel po’ di successo, per la maggior parte delle aziende”, ha affermato Tom Uren , ex membro dell’Australian Signals Directorate e attuale redattore. con notizie sulla sicurezza informatica di Seriously Risky Business. “Il problema è solo se ti hanno nel mirino.”

Martedì, la Cybersecurity and Infrastructure Security Agency, l’FBI e l’agenzia australiana di intelligence dei segnali hanno pubblicato un avviso redatto con il contributo di Boeing che descrive come LockBit sia riuscito a penetrare nell’appaltatore della difesa.

Secondo l’avviso, gli affiliati LockBit hanno sfruttato una vulnerabilità di Citrix tracciata come CVE-2023-4966 e “Citrix Bleed” che è stata sfruttata per la prima volta in agosto, secondo Mandiant . Secondo il ricercatore Kevin Beaumont, questa vulnerabilità è stata ampiamente sfruttata da diversi gruppi di ransomware per prendere di mira un importante studio legale e un’importante compagnia di spedizioni australiana ed è stata utilizzata per violare l’ICBC .

La violazione della ICBC ha provocato interruzioni nel mercato del Tesoro statunitense, un perno del sistema finanziario globale.

Citrix ha rivelato la vulnerabilità il 10 ottobre e ha rilasciato le patch poco dopo, ma la vulnerabilità continua ad essere sfruttata. La CISA ha notificato quasi 300 organizzazioni potenzialmente vulnerabili all’exploit, ha detto martedì un alto funzionario della CISA, anche se probabilmente ci sono altre organizzazioni vulnerabili.

Secondo i dati raccolti da GreyNoise, una società che tiene traccia delle attività dannose online, a partire da martedì ci sono quasi 360 host attivi che potrebbero lavorare per sfruttare la vulnerabilità .

L’incapacità di correggere vulnerabilità diffuse come queste ha creato un panorama criminale informatico redditizio per gruppi come LockBit, che si riferisce al nome collettivo della variante ransomware, al gruppo che la sviluppa e la mantiene e ai loro affiliati. Il gruppo ha effettuato più di 1.400 attacchi contro vittime negli Stati Uniti e in tutto il mondo da gennaio 2020, ha detto martedì un alto funzionario dell’FBI, chiedendo almeno 100 milioni di dollari in richieste di riscatto e raccogliendo decine di milioni di riscatti dalle vittime.

In assenza di azioni da parte delle forze dell’ordine contro questi hacker criminali, non c’è motivo di credere che questi attacchi cesseranno presto. L’FBI ha intrapreso “alcune azioni fino ad oggi specificatamente contro LockBit e continua a perseguire opportunità di applicazione delle norme quando e dove possiamo intraprenderle”, ha affermato l’alto funzionario dell’FBI.

Da anni gli esperti di sicurezza informatica consigliano alle aziende di seguire i protocolli igienici di base della sicurezza informatica e, dicono gli esperti, la situazione è migliorata. Ma i maggiori successi di LockBit e altri negli ultimi tempi dimostrano che c’è ancora molta strada da fare per quanto riguarda gli aspetti fondamentali, come l’applicazione di patch a software e sistemi vulnerabili.

“I controlli messi in atto dalla maggior parte delle organizzazioni per proteggere i propri dati, come [la prevenzione della perdita di dati], sembrano fallire con gravi conseguenze”, ha affermato Allan Liska, analista di intelligence di Recorded Future. “Ma non sono solo i dati all’interno della rete di un’organizzazione a preoccupare. I gruppi ransomware sono in grado di estrarre dati dal tuo cloud, dai cloud dei tuoi fornitori, dai cloud dei tuoi fornitori e così via.”

Le organizzazioni devono migliorare il monitoraggio e il controllo dell’intera catena di fornitura dei dati, ha affermato, perché “ai gruppi di ransomware non interessa da dove ottengono i tuoi dati, si preoccupano solo di averli e di poterli utilizzare per estorcerti”.

Anche se le aziende hanno migliorato le proprie difese, una serie di recenti attacchi di alto profilo sono attacchi di ingegneria sociale che i moderni sistemi di sicurezza faticano a prevenire. Questi attacchi comportano chiamate a strutture come gli help desk IT, dove le persone che controllano l’accesso a un sistema o a una rete vengono convinte telefonicamente a rinunciare alle credenziali.

Un recente rapporto di Coveware , un’azienda specializzata nella risposta agli incidenti di estorsione informatica, ha rilevato che gli help desk IT sono progettati per risolvere rapidamente i problemi dei clienti e che questo sta creando una via facile per gli aggressori.

“In molti dei casi che abbiamo studiato, era chiaro che gli incentivi del team di supporto IT (velocità di risoluzione) favorivano l’ingegneria sociale”, ha scritto Coveware. “Questo non è un problema facile da risolvere, ma elogiamo le imprese che hanno mitigato i rischi. Queste soluzioni hanno comportato un aumento dei costi e una lieve svalutazione dell’esperienza dei dipendenti e delle parti interessate, per motivi di sicurezza”.

Jon DiMaggio, il capo stratega della sicurezza di Analyst1 che ha scritto ampiamente sul funzionamento interno di LockBit , ha affermato che mentre ci sono solo pochi gruppi con “abilità, talento e capacità creativa per eseguire alcuni di questi attacchi più avanzati”, questi equipaggi , in particolare quelli associati agli attacchi AlphV, stanno diventando molto più bravi nell’ingegneria sociale.

Molte grandi aziende hanno ancora problemi con le basi della sicurezza informatica, ha affermato DiMaggio, per non parlare della creazione di help desk difficili da manipolare. “È dura, ma devono cambiare”, ha detto DiMaggio. “Cercare di concentrarsi sull’aiutare le persone e aiutare i propri clienti non può più essere sempre il numero uno.”

Ciò potrebbe rallentare i tempi di risposta, ha osservato, ma è “molto meglio che dover perdere enormi quantità di denaro, vedere la propria reputazione distrutta e tutto il resto”.

Link a Post Originale di AJ Vicens

Pagina Greynoise sul sito DotForce

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...