Il 2020 sarà ricordato non solo come l’anno del COVID-19, una pandemia globale che ha cambiato il modo in cui comunichiamo, collaboriamo e lavoriamo. Sarà anche ricordato come l’anno degli attacchi informatici, con la superficie di attacco a disposizione degli attori delle minacce in espansione sempre più massiccia durante l’anno.
Negli ultimi 12 mesi, gli esperti di sicurezza hanno osservato un numero enorme di attacchi informatici contro aziende pubbliche e private. Attacchi di ransomware e malware, campagne di phishing, violazioni dei dati e attacchi alla catena di fornitura sono diventati i titoli dei giornali quasi quotidianamente.
Ecco l’elenco dei 6 attacchi più ampi.
# 1 Attacco alla supply chain SolarWinds
Senza dubbio, il più grande attacco informatico del 2020 è stato l’attacco alla supply chain di SolarWinds che ha avuto un impatto sulle principali aziende private, tra cui FireEye, Microsoft, NVidia e Cisco e diverse agenzie governative degli Stati Uniti.
Il 13 dicembre FireEye ha annunciato che un attore di uno stato-nazione, rintracciato come UNC2452, ha compromesso la catena di fornitura del prodotto SolarWinds Orion. Il popolare software è stato utilizzato da numerose agenzie governative e aziende in tutto il mondo.
L’indagine è ancora in corso: le società di sicurezza hanno già identificato la backdoor DLL, tracciata come Solorigate, impiantata negli aggiornamenti di SolarWinds e vari malware di secondo stadio, che hanno consentito agli aggressori di fornire caricatori Cobalt Strike, come Teardrop e Raindrop.
Il livello di sofisticazione dell’attacco, i TTP degli attori della minaccia, la portata e le vittime di alto profilo suggeriscono che questa intrusione potrebbe essere uno dei più grandi attacchi informatici dell’ultimo decennio.
# 2 Marriott International
Nel marzo 2020, Marriott International ha rivelato una violazione dei dati che ha esposto le informazioni personali di circa 5,2 milioni di ospiti dell’hotel. L’incidente è stato rilevato alla fine di febbraio 2020.
Potrebbero essere state coinvolte le seguenti informazioni:
Dettagli di contatto (nome, indirizzo postale, indirizzo e-mail e numero di telefono)
Informazioni sull’account fedeltà (numero di conto e saldo punti fedeltà, ma non password)
Ulteriori dettagli personali (azienda, sesso e data di nascita)
Partnership e affiliazioni (programmi e numeri fedeltà di compagnie aeree collegate)
Preferenze (preferenze soggiorno / camera e lingua preferita)
In risposta all’incidente, la società ha forzato la reimpostazione della password per i membri di Marriott Bonvoy colpiti dalla violazione dei dati e ha richiesto agli utenti di abilitare l’autenticazione a più fattori.
# 3 Twitter
Nel luglio 2020, Twitter ha subito uno dei più grandi attacchi informatici della sua storia. Gli hacker hanno violato una serie di account di alto profilo, inclusi quelli di Barack Obama, Joe Biden, Jeff Bezos, Bill Gates, Elon Musk, Uber e Apple.
Twitter è stato vittima di un “attacco di ingegneria sociale coordinato” contro i suoi dipendenti che hanno fornito agli aggressori l’accesso ai suoi strumenti interni.
Gli aggressori hanno compromesso contemporaneamente tutti gli account e li hanno utilizzati per promuovere una truffa di criptovaluta. Hanno pubblicato messaggi che esortavano i follower degli account hackerati a inviare denaro a uno specifico indirizzo di portafoglio bitcoin per ricevere indietro somme maggiori.
“Tutti mi chiedono di restituire, e ora è il momento”, si legge in un messaggio pubblicato dall’account Twitter di Bill Gates.
“per ogni $1000 che mi inviate, io ve ne mando $2000”
Utilizzando questo schema fraudolento, gli autori delle minacce hanno ottenuto quasi $ 120.000 di bitcoin (circa 12,86 bitcoin sono stati accumulati dagli aggressori nel loro portafoglio) dai pover e ignari followers degli account hackerati.
Gli aggressori hanno inizialmente violato account incentrati sulla criptovaluta, come Bitcoin, Ripple, CoinDesk, Gemini, Coinbase e Binance, che mostravano tutti il seguente Tweet:
“abbiamo siglato una partnership con CryptoForHealth e rimborsiamo 5000 BTC alla community”
Il messaggio includeva ovviamente un collegamento a un sito Web di phishing. Così, gli hacker hanno violato gli account Twitter di Apple, Uber, Elon Musk e Mike Bloomberg, invitando i loro follower a inviare loro bitcoin.
Una volta scoperto l’attacco, Twitter ha bloccato gli aggressori ed eliminato i tweet fraudolenti dagli account compromessi.
Due settimane dopo, le autorità statunitensi hanno annunciato l’arresto del diciassettenne Graham Ivan Clark di Tampa, in Florida, che si sospetta abbia orchestrato l’hack di Twitter. L’arresto è il risultato di un’operazione coordinata dall’FBI, dall’IRS e dai servizi segreti. Il procuratore dello stato di Hillsborough Andrew Warren ha presentato accuse contro Clark per essere la “mente” dietro l’attacco che ha compromesso 130 account.
# 4 Garmin
Il 23 luglio 2020, il produttore di smartwatch Garmin ha chiuso diversi dei suoi servizi a causa di un attacco ransomware che ha preso di mira la rete interna dell’azienda e alcuni sistemi di produzione.
L’attacco informatico ha avuto un impatto anche sui call center Garmin, rendendo impossibile per l’azienda fornire informazioni ai propri utenti.
La maggior parte dei servizi utilizzati dai clienti dell’azienda si basano sul servizio Garmin Connect per sincronizzare i dati sulle loro corse e sui giri in bicicletta con i suoi server. Inizialmente, la società non ha rivelato alcun dettaglio sull’attacco, ma diversi dipendenti hanno condiviso alcune informazioni sul presunto attacco ransomware sui social media.
Alcuni dipendenti hanno successivamente dichiarato al sito web di sicurezza BleepingComputer che la richiesta di riscatto era di $ 10 milioni. Gli esperti ipotizzano che l’attacco abbia coinvolto un nuovo ceppo di ransomware chiamato WastedLocker.
Il 27 luglio, Garmin ha annunciato che le sue reti di computer sarebbero tornate dopo l’attacco ransomware.
Poche settimane dopo, BleepingComputer ha confermato che la famiglia di malware coinvolta nell’attacco era il ransomware WastedLocker, dopo che la pubblicazione ha ottenuto l’accesso a un eseguibile creato dal reparto IT di Garmin per decrittografare una workstation.
Ciò significa che la società avrebbe pagato gli operatori di ransomware per ottenere i decryptor per i suoi file.
Per ottenere una chiave di decrittazione funzionante, Garmin deve aver pagato il riscatto agli aggressori. Non si sa quanto sia stato pagato, ma pare che la richiesta di riscatto originale fosse di $ 10 milioni
# 5 Software AG
A ottobre, il gigante tedesco del software Software AG è stato vittima di un attacco ransomware che ha anche causato una grave violazione dei dati.
Il sito web ZDNet ha riferito in esclusiva che la società tecnologica tedesca Software AG è stata colpita dal ransomware Clop, la banda criminale ha chiesto più di $ 20 milioni di riscatto.
Software AG è una società di software aziendale con oltre 10.000 clienti aziendali in oltre 70 paesi. L’azienda è il secondo più grande fornitore di software in Germania e il settimo in Europa.
Gli screenshot condivisi dagli operatori del ransomware Clop mostravano passaporti dei dipendenti e scansioni di documenti d’identità, e-mail dei dipendenti, documenti finanziari e directory dalla rete interna dell’azienda.
L’azienda ha rifiutato di pagare il riscatto e la banda di ransomware ha pubblicato dati riservati rubati dai suoi sistemi.
Il gigante del software ha rivelato che il malware ha interrotto parte della sua rete interna, mentre i servizi ai suoi clienti, compresi i servizi basati su cloud, rimangono inalterati.
# 6 EasyJet
A maggio, EasyJet ha annunciato che un attacco informatico “altamente sofisticato” ha esposto indirizzi e-mail e dettagli di viaggio di circa 9 milioni di clienti.
“A seguito di discussioni con l’Ufficio del Commissario per le informazioni (” ICO “), il consiglio di amministrazione di easyJet annuncia di essere stato l’obiettivo di un attacco da una fonte altamente sofisticata”, si leggeva in una dichiarazione dell’azienda.
“Da una nostra investigazione abbiamo rilevato che gli attaccanti sono riusciti ad accedere a indirizzi email e dettagli di viaggio di circa 9 milioni di clienti”
Gli autori delle minacce hanno anche avuto accesso a un piccolo sottoinsieme di account dei clienti e ottenuto i dettagli della carta di credito per 2.208 persone. Nessun dettaglio del passaporto è stato esposto.
Secondo Reuters, che ha citato due persone che hanno familiarità con le indagini, gli strumenti e le tecniche di hacking utilizzati dagli aggressori indicano un gruppo di sospetti hacker cinesi che negli ultimi mesi hanno preso di mira più compagnie aeree.
Gli attacchi sono sempre più complessi, evoluti, non-conosciuti e zero day.. quindi per difendersi non bastano le difese informatiche di base ma bisogna adottare soluzioni innovative che seguano metodologia, come ZERO TRUST
Komentar