Gravi attacchi informatici, violazioni di dati, truffe digitali e attacchi ransomware si sono protratti a ritmo serrato per tutta la prima metà di questo complicato anno. Con la pandemia di Covid-19, l’instabilità economica, i disordini geopolitici e le aspre controversie sui diritti umani che si susseguono in tutto il mondo, le vulnerabilità a carico della sicurezza informatica e gli attacchi digitali si sono rivelati profondamente connessi a tutti gli aspetti della vita quotidiana. A sei mesi dalla fine dell’anno, tuttavia, c’è da aspettarsene molti altri ancora. Ecco le più colossali débâcle della sicurezza digitale verificatesi finora.
Per anni, la Russia ha sferrato attacchi digitali aggressivi e sconsiderati contro l’Ucraina, causando blackout, tentando di falsare le elezioni, rubando dati e distribuendo malware dannosi che si sono diffusi nel paese e nel mondo. Dall’inizio della guerra a febbraio, tuttavia, la dinamica digitale tra i due paesi è cambiata, e la Russia fatica a sostenere una guerra cinetica su larga scala e costosa a cui l’Ucraina oppone resistenza su tutti i fronti possibili. Ciò significa che mentre la Russia continu a colpire le istituzioni e le infrastrutture ucraine con attacchi informatici, l’Ucraina ha risposto con controffensive dal successo sorprendente. All’inizio della guerra, l’Ucraina ha formato un esercito di hacker volontari che si è concentrato su di attacchi DdoS e di violazioni contro le istituzioni e i servizi russi, per provocare il maggior caos possibile. Anche gli hacktivisti di tutto il mondo hanno rivolto la loro attenzione e la loro potenza di fuoco digitale verso il conflitto. L’Ucraina ha lanciato vari tipi di attacchi contro la Russia, ricorrendo anche a malware personalizzati, mentre la Russia ha subito violazioni dei dati e interruzioni dei servizi su una scala senza precedenti.
La banda di estorsori digitali Lapsus$ ha intensificato sensibilmente le operazioni nei primi mesi del 2022. Il gruppo è emerso a dicembre e ha iniziato a rubare codici sorgente e altri dati preziosi da aziende sempre più importanti e sensibili, tra cui Nvidia, Samsung e Ubisoft, prima di diffonderli dietro ad apparenti tentativi di estorsione. L’ondata ha raggiunto il suo apice a marzo, quando il gruppo ha annunciato di aver violato e fatto trapelare parti del codice sorgente di Microsoft Bing e di Cortana, e di aver compromesso l’account di un ingegnere del supporto clienti che aveva accesso ai sistemi interni del diffusissimo servizio di autenticazione Okta. Gli aggressori, che sembravano avere sede nel Regno Unito e in Sud America, si sono basati in gran parte su attacchi di phishing per ottenere l’accesso ai sistemi degli obiettivi. Alla fine di marzo la polizia britannica ha arrestato sette persone ritenute legate al gruppo e ne ha incriminate due all’inizio di aprile. Sembra che Lapsus$ abbia continuato a operare per breve tempo dopo gli arresti, per poi diventare inattivo.
In uno degli attacchi ransomware più dirompenti di sempre, lo scorso aprile la banda di criminali informatici Conti, legata alla Russia, ha messo in ginocchio il Costa Rica con conseguenze che si sono protratte per mesi. L’attacco del gruppo al ministero delle Finanze del paese ha paralizzato le attività di import/export della Costa Rica, causando perdite di decine di milioni di dollari al giorno. L’attacco è stato così grave che il presidente del Costa Rica ha dichiarato una “emergenza nazionale” – il primo paese a farlo a causa di un attacco ransomware – e un esperto di sicurezza ha descritto la campagna di Conti come “senza precedenti“. Un secondo attacco a fine maggio, questa volta al Fondo di sicurezza sociale del Costa Rica, è stato attribuito al ransomware Hive, collegato a Conti, e ha causato vaste interruzioni al sistema sanitario del paese. Sebbene l’attacco di Conti al Costa Rica sia epocale, alcuni ritengono che sia stato concepito come un diversivo messo in atto per coprire un’operazione di rebranding della banda, necessaria a eludere le sanzioni alla Russia innescate dalla guerra con l’Ucraina.
Con l’evoluzione dell’ecosistema delle criptovalute, gli strumenti e le utility per immagazzinarle, convertirle e gestirle si sono sviluppati a rotta di collo. Questa rapida espansione ha però comportato una serie di sviste e passi falsi. I criminali informatici, ansiosi di sfruttare questi errori, hanno rubato grandi quantità di criptovalute, per un valore di decine o centinaia di milioni di dollari. Alla fine di marzo, per esempio, il Lazarus Group della Corea del Nord ha rubato il valore corrispondente a 540 milioni di dollari di Ethereum e di stablecoin Usdc da Ronin, un popolare ponte blockchain. Nel frattempo, a febbraio, gli aggressori hanno sfruttato una falla nel ponte Wormhole per appropriarsi di una variante di Ethereum di Wormhole del valore di circa 321 milioni di dollari. Ad aprile i criminali informatici hanno preso di mira il protocollo di stablecoin Beanstalk, concedendosi un “prestito lampo” del valore di circa 182 milioni di dollari di criptovaluta.
I fornitori di servizi sanitari e gli ospedali sono da tempo tra i bersagli preferiti delle gang di ransomware, che cercano di creare il maggior panico possibile per costringere i morti a pagare nella speranza di poter ripristinare i propri sistemi digitali. Le violazioni dei dati sanitari si sono protratte anche nel 2022, quando i cybercriminali hanno raccolto diversi dati che possono monetizzare attraverso il furto di identità e altri tipi di frode finanziaria. A giugno, il fornitore di servizi Shields Health Care Group, con sede nel Massachusetts, ha rivelato di aver subito una violazione dei dati durata per gran parte del mese di marzo, che ha colpito circa due milioni di persone negli Stati Uniti. I dati rubati includevano nomi, numeri di previdenza sociale, date di nascita, indirizzi e informazioni sulla fatturazione, oltre a informazioni mediche come diagnosi e i contenuti delle cartelle cliniche. In Texas, i pazienti del Baptist Health System e del Resolute Health Hospital hanno ammesso di aver subito una violazione simile a giugno, che ha esposto dati analoghi, tra cui numeri di previdenza sociale e informazioni mediche sensibili dei pazienti. Anche Kaiser Permanente e Yuma Regional Medical Center in Arizona hanno reso note violazioni di dati verificatesi a giugno.
All’inizio di giugno, la US Cybersecurity Infrastructure Security Agency (Cisa, l’Agenzia statunitense per la sicurezza informatica e delle infrastrutture) ha diffuso la notizia che alcuni criminali informatici sostenuti dal governo cinese sono stati in grado di violare una serie di obiettivi sensibili in tutto il mondo, tra cui “importanti società di telecomunicazioni“. Secondo la Cisa, sono state prese di mira le vulnerabilità note dei router e i bug di altri apparati di rete, tra cui quelli di aziende multinazionali specializzate nella fornitura di apparati di networking come Cisco e Fortinet. L’allarme lanciato dalla autorità statunitensi ha lo scopo di spingere le organizzazioni ad aumentare le proprie difese digitali, soprattutto quando gestiscono quantità massicce di dati sensibili degli utenti. “L’avvertimento descrive in dettaglio come importanti società di telecomunicazioni e fornitori di servizi di rete siano state prese di mira e compromesse – ha scritto la Cisa –. Negli ultimi anni, una serie di gravi vulnerabilità dei dispositivi di rete ha fornito ai cybercriminali l’opportunità di sfruttare e ottenere l’accesso a dispositivi critici vulnerabili. Inoltre, la tutela di questi dispositivi è spesso trascurata“.
In un’azione separata, cybercriminali probabilmente coinvolti in attività di spionaggio per conto della Cina hanno violato il gruppo editoriale statunitense News Corp, con un’intrusione scoperta dall’azienda il 20 gennaio. Gli aggressori hanno, tra l’altro, avuto accesso alle e-mail dei giornalisti e ad altri documenti. News Corp possiede una serie di testate giornalistiche di alto profilo, tra cui il Wall Street Journal e il New York Post, oltre a diverse pubblicazioni in Australia.
Menzione d’onore: la diffusione dei dati sulle armi in California
Pochi giorni dopo la decisione della Corte Suprema degli Stati Uniti, che lo scorso giugno ha bocciato le restrizioni al porto d’armi in pubblico, una violazione di dati non correlata ha potenzialmente esposto le informazioni personali di chi ha richiesto il il porto d’armi in California tra il 2011 e il 2021. L’incidente ha diffuso dati come nomi, età, indirizzi e tipi di licenza. La violazione si è verificata dopo che un’errata configurazione di una portale dedicato, il Firearms Dashboard del dipartimento di Giustizia della California, ha esposto dati prima non accessibili al pubblico. “Questa diffusione non autorizzata di informazioni personali è inaccettabile e va ben al di sotto delle mie aspettative per questo dipartimento – ha dichiarato il procuratore generale dello stato Rob Bonta in un comunicato –. Il dipartimento di Giustizia della California ha il compito di proteggere i californiani e i loro dati. Riconosciamo il disagio che questa azione può causare alle persone le cui informazioni sono state esposte. Sono profondamente turbato e arrabbiato“.
Leggi tutto su www.wired.it
di Lily Hay Newman www.wired.it 2022-07-10 05:00:00 ,
