Ci stiamo già avvicinando alla fine del 2024 e ci sono stati numerosi incidenti informatici che hanno fatto notizia. Con solo due mesi e mezzo alla fine dell'anno e con la stagione natalizia alle porte, è purtroppo probabile che ne vedremo altri prima della fine dell'anno. In questo blog, il team di Incident Response di Integrity360 esamina alcuni dei maggiori attacchi informatici del 2024.
Nel gennaio 2024, Microsoft ha rilevato un attacco sponsorizzato da uno Stato nazione contro i suoi sistemi aziendali, avviando immediatamente una risposta per indagare e mitigare la violazione. L'indagine della Microsoft Threat Intelligence ha identificato l'attore della minaccia come Midnight Blizzard, il gruppo sponsorizzato dallo Stato russo noto anche come NOBELIUM. Gli aggressori hanno utilizzato tecniche come attacchi di password spray e sfruttamento delle applicazioni OAuth per ottenere accesso non autorizzato a dati aziendali sensibili, inclusi email interni.
Questo incidente sottolinea l'evoluzione del panorama delle minacce e l'importanza di bilanciare la sicurezza con il rischio aziendale. Utilizzando i log di audit, Microsoft ha monitorato l'attività degli aggressori attraverso i servizi web di Exchange (EWS) e ha iniziato a notificare altre organizzazioni colpite. L'incidente è ancora sotto indagine, con un'analisi continua delle tattiche di Midnight Blizzard per migliorare la protezione e la risposta a minacce simili in futuro.
La guerra tra Russia e Ucraina continua a imperversare con attacchi informatici lanciati da entrambe le parti. A gennaio 2024, la Direzione principale dell'intelligence del Ministero della Difesa ucraino ha riferito che hacktivisti pro-ucraini hanno violato il Centro Russo per l'Idrometeorologia Spaziale, noto come "Planeta", cancellando 2 petabyte di dati. Planeta, un centro di ricerca statale, utilizza dati satellitari e terrestri per prevedere il meteo, monitorare i disastri naturali e fornire approfondimenti climatici. Affiliato a Roscosmos, supporta settori come quello militare, l'aviazione civile e l'agricoltura.
Le autorità ucraine hanno dichiarato che i cyber volontari del "BO Team" hanno preso di mira la sede della filiale orientale di Planeta, la più grande delle tre sedi. Si stima che abbiano distrutto 280 server contenenti 2 petabyte (2.000 terabyte) di dati.
Il servizio di intelligence ucraino ha stimato i danni a 10 milioni di dollari, con un impatto su cluster di supercomputer e anni di ricerca. Dato l'embargo sulla Russia, ripristinare sistemi informatici sofisticati si è rivelato difficile, rappresentando una sfida significativa per le operazioni di Planeta.
A seguito della divulgazione, a gennaio, di due vulnerabilità zero-day di alta gravità, le VPN Connect Secure di Ivanti, ampiamente utilizzate, sono state oggetto di massicce operazioni di sfruttamento da parte di attori malintenzionati. I ricercatori hanno segnalato che migliaia di dispositivi Ivanti VPN sono stati compromessi, con vittime come l'Agenzia per la Sicurezza delle Infrastrutture e la Cybersecurity degli Stati Uniti (CISA) e Mitre, un importante fornitore di ricerca e sviluppo finanziato dal governo federale. Sebbene siano state successivamente identificate altre vulnerabilità, Mandiant, una società di sicurezza informatica di proprietà di Google Cloud, ha notato che le due vulnerabilità iniziali sono state ampiamente sfruttate da un gruppo di minacce legato alla Cina noto come UNC5221 e da altri gruppi non identificati. La ricerca di Mandiant ha indicato che gli attacchi di UNC5221 risalgono al 3 dicembre.
In risposta agli attacchi diffusi, CISA ha emesso una direttiva urgente, richiedendo alle agenzie esecutive civili di scollegare le loro VPN Ivanti Connect Secure entro 48 ore. Il 31 gennaio, Ivanti ha rilasciato la prima patch per alcune versioni del suo software VPN, tre settimane dopo la divulgazione iniziale della vulnerabilità. L'azienda ha dichiarato di aver dato priorità al rilascio delle mitigazioni durante lo sviluppo delle patch, in linea con le migliori pratiche del settore.
Il 22 febbraio è stato reso noto che l'attacco informatico a Change Healthcare ha causato gravi disagi nel sistema sanitario statunitense per settimane. In risposta all'attacco ransomware, è stata avviata un'interruzione dei sistemi IT, impedendo a numerose farmacie, ospedali e altre strutture sanitarie di elaborare richieste e ricevere pagamenti. Il gruppo di criminali informatici di lingua russa noto come BlackCat o ALPHV ha rivendicato la responsabilità dell'attacco. Il CEO di UnitedHealth Group, Andrew Witty, ha confermato nella sua testimonianza al Congresso di maggio che l'azienda ha pagato un riscatto di 22 milioni di dollari dopo l'attacco.
Successivamente, un altro gruppo di criminali informatici, chiamato RansomHub, ha pubblicato dati che sosteneva di aver rubato da Change Healthcare. A fine aprile, UnitedHealth ha rivelato che i dati di una "proporzione significativa" di americani potrebbero essere stati rubati nell'attacco a Change Healthcare, una divisione della sua controllata Optum. Witty ha dichiarato che "forse un terzo" di tutti gli americani è stato colpito. A giugno, Change Healthcare ha rivelato che sono stati esposti dati medici sensibili dei pazienti, inclusi potenzialmente diagnosi, farmaci, risultati di test, immagini, cure e trattamenti.