Security Weekly: le ultime novità cyber 05-09 agosto
Buon sabato e ben ritrovato caro cyber User.
Eccoci al nostro appuntamento settimanale con le notizie più rilevanti dal mondo della sicurezza informatica! Questa settimana ci concentriamo su una serie di eventi che spaziano dalle azioni legali contro TikTok alle ultime minacce ransomware. Esaminiamo insieme questi sviluppi per comprendere meglio il panorama in continua evoluzione della cybersecurity.
TikTok nel mirino del Dipartimento di Giustizia e della FTC
Il Dipartimento di Giustizia degli Stati Uniti e la Federal Trade Commission (FTC) hanno intrapreso un'azione legale contro TikTok e la sua società madre, ByteDance, per presunte violazioni della Children’s Online Privacy Protection Act (COPPA). L'accusa è che TikTok avrebbe raccolto dati personali di minori senza il consenso dei genitori, sia su account standard che in modalità "Kids Mode", una versione ridotta destinata agli utenti sotto i 13 anni. TikTok ha risposto contestando le accuse, sostenendo che molte delle pratiche contestate sono ormai superate o inesatte.
Cyberattacco colpisce Mobile Guardian e scuole a livello globale
Un grave attacco informatico ha colpito Mobile Guardian, una società di gestione dispositivi mobili utilizzata da istituzioni educative in Nord America, Europa e Singapore. L'attacco ha causato l'interruzione dei servizi, con un piccolo numero di dispositivi che sono stati cancellati da remoto. In particolare, 13.000 dispositivi di studenti sono stati cancellati a Singapore, spingendo il Ministero dell'Istruzione a interrompere la collaborazione con Mobile Guardian. Attualmente, l'azienda sta lavorando per risolvere l'incidente, assicurando che non ci sono prove di accesso ai dati degli utenti da parte degli attaccanti.
Analisi dell’incidente CrowdStrike e interruzioni globali
CrowdStrike ha pubblicato un'analisi dettagliata dell'errore nel sensore Falcon EDR che ha causato disservizi globali lo scorso 19 luglio. L'errore è derivato da una discrepanza nel numero di parametri ricevuti da un interprete di contenuti, causando letture di memoria fuori limite e conseguenti crash nei sistemi Windows. Questo errore è sfuggito a vari livelli di test interni, dimostrando come anche piccole anomalie possano avere impatti significativi in ambienti complessi.
BlackSuit: La nuova minaccia ransomware
L'FBI ha aggiornato il proprio avviso sul ransomware BlackSuit, un rebrand del famigerato Royal ransomware. Da quando è emerso a settembre 2022, BlackSuit ha richiesto più di 500 milioni di dollari in riscatti, con richieste che variano tra 1 milione e 10 milioni di dollari. Il gruppo adotta tecniche sofisticate di esfiltrazione e estorsione prima di criptare i dati, utilizzando spesso email di phishing come vettore di attacco iniziale.
Arresto di un facilitatore di lavoratori IT nordcoreani
Il Dipartimento di Giustizia degli Stati Uniti ha arrestato un uomo a Nashville, Tennessee, per aver aiutato lavoratori IT nordcoreani a ottenere lavori remoti presso aziende negli Stati Uniti e nel Regno Unito. Matthew Isaac Knoot è accusato di aver gestito una "laptop farm" per far apparire i lavoratori nordcoreani come se fossero situati negli Stati Uniti, ingannando così le aziende vittime. Questi lavoratori IT, impiegati in remoto, avrebbero guadagnato fino a 300.000 dollari all'anno, generando milioni di dollari per entità legate alla Corea del Nord.
Nuove minacce APT e vulnerabilità emergenti
I ricercatori hanno scoperto un nuovo gruppo APT chiamato Actor240524, che ha preso di mira Azerbaigian e Israele con attacchi di spear-phishing. Il gruppo utilizza documenti Word con macro malevole per distribuire trojan come ABCloader e ABCsync, progettati per eludere le difese dei sistemi target. Inoltre, una grave vulnerabilità XSS è stata individuata in Roundcube, una popolare piattaforma di webmail, che potrebbe consentire agli aggressori di rubare email, contatti e password.
Emergenza ransomware e nuovi attacchi a dispositivi IP
Un nuovo ransomware chiamato CryptoKat è emerso nel dark web, con capacità di cifratura avanzate e tecniche per massimizzare l'impatto, come la mancata memorizzazione della chiave di decrittazione sul dispositivo della vittima. Questo costringe le vittime a pagare il riscatto per sperare di recuperare i propri dati. Parallelamente, Cisco ha emesso un avviso riguardo a cinque gravi vulnerabilità di esecuzione di codice remoto nei telefoni IP delle serie SPA 300 e SPA 500, ormai giunti a fine vita. Gli utenti sono invitati a passare a modelli più recenti e supportati.
😋 FunFact
WordTsar: il Wordstar del 21esimo secolo.
Infine
Il panorama della sicurezza informatica continua a evolversi rapidamente, con nuove minacce che emergono ogni settimana. Le azioni legali, gli attacchi informatici su larga scala e le scoperte di nuove vulnerabilità evidenziano la necessità di una vigilanza costante e di soluzioni tecnologiche all'avanguardia. Restate sintonizzati per ulteriori aggiornamenti e analisi su questo mondo.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.