News dall’Italia
Sistemi informatici statali violati: arrestato il responsabile
È stato arrestato il responsabile di innumerevoli violazioni di sistemi informatici del Ministero della Giustizia. L’uomo, che dal 2021 attaccava infrastrutture statali utilizzando server localizzati in tutta Europa, è accusato di aver ripetutamente violato le barriere di sicurezza cibernetica di numerosi database, istituzionali e non. Tra i bersagli dei suoi attacchi figurano anche Tim, Telespazio e la Guardia di Finanza. Le indagini sono state condotte dalla Procura di Napoli per i reati informatici, con il supporto della Procura Nazionale Antimafia e Antiterrorismo. All’uomo vengono contestati accesso abusivo aggravato e la diffusione di malware e software in collaborazione con complici non identificati.
Pur non essendo noti, ad oggi, i metodi da lui utilizzati, si ritiene che il principale modello di attacco sfruttato sia stato il phishing. Dalle notizie trapelate, infatti, risulterebbe un utilizzo di circa 4.000 false identità e account, oltre a collaborazioni con soggetti interni.
Ancora, con riferimento all’attacco sferrato a Tim, l’uomo avrebbe ottenuto illecitamente le credenziali di accesso proprio da un dipendente dell’azienda stessa. Non è noto se quest’ultimo sia stato vittima di phishing o un vero e proprio complice.
Dossieraggio e accesso illegittimo a informazioni riservate
Un’impresa milanese, specializzata in intelligence e cyber-intelligence, avrebbe, secondo la Procura di Milano, effettuato oltre 800.000 accessi non autorizzati alle banche dati strategiche del paese (SDI), grazie alle competenze di un team di hacker ultra-esperti. Le informazioni estratte sarebbero state poi rivendute a diverse entità appartenenti ai settori dell’imprenditoria e della politica italiana. L’obiettivo era raccogliere informazioni su conti bancari, precedenti penali, dati fiscali e sanitari, per influenzare le attività dei “rivali”.
News dal mondo
Vulnerabilità nei modelli di AI: Protect AI rileva falle in ChuanhuChatGPT, Lunary e LocalAI
La piattaforma Protect AI di Huntr ha rilevato numerose vulnerabilità in diversi modelli di intelligenza artificiale, tra cui ChuanhuChatGPT, Lunary e LocalAI. Tali falle potrebbero consentire ad aggressori di ottenere accessi non autorizzati o manipolare informazioni sensibili degli utenti. Tra le problematiche riscontrate, si segnalano criticità nei controlli di sicurezza che potrebbero esporre i dati personali o permettere alterazioni non autorizzate ai contenuti.
A seguito di queste scoperte, le aziende responsabili dei modelli interessati hanno avviato interventi per sanare le vulnerabilità e rafforzare la protezione dei dati. L’attenzione su questi temi evidenzia l’importanza di un monitoraggio continuo per prevenire rischi informatici nei sistemi di intelligenza artificiale.
Attacco informatico a Free: rubati dati di milioni di clienti
Il provider francese Free, seconda società di telecomunicazioni in Francia con oltre 22,9 milioni di abbonati, nonché appartenente al Gruppo Iliad, è stato vittima di un attacco informatico, durante il quale sono stati sottratti dati personali dei clienti. Gli hacker hanno avuto accesso a numerose informazioni, tra cui numeri di conto corrente di milioni di utenti Free Mobile e Freebox. Attualmente, tali informazioni sono presenti ed in vendita sul Dark Web.
La società ha comunicato di aver adottato le migliori misure di sicurezza ed ha avvertito i propri clienti sui potenziali rischi di phishing.
Novità normative / Pillole normative
La NIS2 e le sue implicazioni: una normativa per un cyberspazio europeo più sicuro
Con l’introduzione della direttiva NIS2, l’Unione Europea rafforza significativamente il proprio impegno verso una sicurezza informatica robusta e coordinata a livello continentale, imponendo nuovi standard di resilienza e controllo per aziende e istituzioni. Sostituendo la precedente direttiva NIS del 2016, la NIS2 punta a rendere l’intero cyberspazio europeo meno vulnerabile a cyber attacchi, sempre più sofisticati e frequenti, attraverso un approccio preventivo che richiede l’adozione di misure rigorose.
Uno dei principali punti di forza della NIS2 è l’allargamento del campo di applicazione a numerosi settori critici, includendo non solo operatori di servizi essenziali, ma anche fornitori di servizi digitali e piattaforme social. Le aziende dovranno adottare misure di sicurezza che spaziano dalla gestione dei rischi alla segnalazione obbligatoria di incidenti informatici entro 24 ore.
Le implicazioni per le imprese sono significative: oltre all’introduzione di sanzioni elevate per chi non rispetta i nuovi requisiti, la NIS2 promuove una maggiore cooperazione tra stati membri e impone l’adozione di framework di sicurezza adattabili e allineati agli standard europei, come l’analisi delle vulnerabilità e la gestione delle crisi. Assistiamo, dunque, ad un cambiamento culturale, che richiede alle aziende di trattare la cybersecurity come un pilastro fondamentale della loro strategia aziendale.
Il Digital Operational Resilience Act (DORA): Un nuovo standard di sicurezza per il settore finanziario dell’UE
Il Digital Operational Resilience Act (DORA), recentemente approvato dall’Unione Europea, rappresenta un tassello cruciale nella normativa per la resilienza informatica del settore finanziario, fornendo alle istituzioni un quadro chiaro e unificato per la gestione dei rischi ICT. La normativa si applica a banche, assicurazioni, fondi di investimento e molti altri attori finanziari, richiedendo loro di sviluppare sistemi robusti per prevenire, rilevare, e rispondere a minacce e interruzioni informatiche.
La normativa contenuta nel DORA impone alle organizzazioni di stabilire piani dettagliati di gestione del rischio ICT, con standard minimi di sicurezza per garantire la continuità operativa anche in caso di attacchi o incidenti informatici. Tra i requisiti più importanti, la normativa stabilisce che i fornitori terzi critici di servizi ICT – come i cloud provider – siano sottoposti a sorveglianza e monitoraggio per minimizzare i rischi connessi all’outsourcing tecnologico. Questo implica che le istituzioni finanziarie devono non solo adottare protocolli interni di sicurezza, ma anche monitorare e valutare la sicurezza dei propri partner esterni.
Inoltre, il DORA introduce obblighi specifici di reportistica per incidenti informatici, rafforzando così la trasparenza e permettendo una risposta rapida e coordinata a livello europeo. Con sanzioni significative per chi non rispetta questi standard, il DORA rappresenta una normativa strategica per rafforzare la resilienza digitale del settore finanziario, riducendo il rischio di interruzioni che potrebbero avere un impatto sistemico.
Attacchi informatici e vulnerabilità
Nel mese di ottobre 2024, in Italia sono state rilevate numerose minacce cyber, mirate principalmente a colpire settori strategici quali Pubblica Amministrazione, telecomunicazioni, sanità, trasporti, università e ricerca, e il comparto tecnologico. Gli attacchi si sono manifestati con modalità diverse, tra cui tentativi di accesso non autorizzato, ransomware e sottrazione di dati sensibili, compromettendo l’operatività e la sicurezza di enti e organizzazioni.
Particolarmente esposti sono stati i sistemi delle strutture sanitarie e delle amministrazioni pubbliche, con episodi che hanno evidenziato vulnerabilità nella protezione dei dati dei cittadini e dei servizi essenziali. Nel settore delle telecomunicazioni, le minacce hanno cercato di intaccare la stabilità delle infrastrutture di rete, con possibili impatti sulla continuità dei servizi. Anche le università e i centri di ricerca sono stati presi di mira, compromettendo dati accademici e progetti innovativi.
Questa ondata di attacchi conferma la necessità di un rafforzamento delle misure di cybersecurity e di una maggiore collaborazione tra le istituzioni per prevenire e mitigare l’impatto delle minacce digitali su settori di importanza strategica per il Paese.
Metodi di attacco
In Italia, tra i principali attacchi informatici registrati di recente spiccano quelli di phishing, Ransomware, DDoS (Distributed Denial-of-Service) e altre forme di malware.
Phishing
Il Phishing è un attacco informatico che mira, a sottrarre dati sensibili (come username, password, numeri di carte di credito, PIN) attraverso l’invio di e-mail fraudolente a un ampio numero di destinatari. Queste e-mail sono studiate per persuadere i destinatari ad aprire un allegato o a visitare siti web contraffatti. Il truffatore usa le informazioni raccolte per acquistare beni, trasferire fondi o come base per ulteriori attacchi.
Si possono, inoltre, citare due sottocategorie:
- Spear Pshishing: attacco mirato a specifici individui, che consiste nell’invio di un messaggio da un account di posta elettronica che sembra familiare alla vittima, sempre allo scopo di sottrarre informazioni sensibili. Lo spear-phishing si distingue dal phishing tradizionale per l’utilizzo di tecniche come l’analisi delle relazioni e delle abitudini sui social media della persona presa di mira;
- Smishing: termine nuovo, adottato anche dal garante della privacy. Gli obiettivi rimangono quelli già descritti ma, in questo caso, il metodo prediletto è l’invio di messaggi fraudolenti che invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (es: blocco di utenze, blocco della carta di credito o del conto) o sanzioni.
Gli attacchi di phishing si sono evoluti, sfruttando tecnologie avanzate come i deepfake generati dall’intelligenza artificiale per impersonare figure dirigenziali fidate. Questo metodo consente agli attaccanti di ottenere facilmente l’accesso alle reti aziendali e rubare dati sensibili. Spesso, il phishing è solo la prima fase, che apre la strada a infezioni ransomware, permettendo la diffusione del malware nei sistemi compromessi.
Ransomware
Il ransomware è un tipo di malware che impedisce l’accesso ai file sul computer della vittima, solitamente criptandoli, per poi richiedere un riscatto per poterli decriptare. Solitamente si tratta di trojan diffusi tramite siti web compromessi o malevoli, oppure tramite e-mail. Questi malware si presentano sotto forma di allegati che sembrano innocui, come file .pdf, e provengono da mittenti che appaiono legittimi (come enti pubblici o privati). Questo aspetto induce gli utenti a fidarsi e ad aprire l’allegato, il cui oggetto spesso fa riferimento a fatture, bollette, richieste di pagamento e simili. Come menzionato pocanzi, una delle tecniche più utilizzate per distribuire questo tipo di malware è proprio il phishing. Nel mese corrente, svariate aziende sono state colpite da questo tipo di attacchi, per esempio Avio e Sforza e Navarra e Marzano. In Italia, il gruppo più attivo è stato Sarcoma, con tre attacchi attuati con successo, come quello ai danni di Auxit Srl.
Denial of Service (DoS)
Attacco informatico finalizzato a rendere indisponibile un sistema esaurendone le risorse di rete, di elaborazione o di memoria. Nel caso attacco proviene da molti dispositivi contemporaneamente, tutti puntati su un unico obiettivo, di parla di Distributed Denial of Service (DDoS). In questo secondo caso, lo strumento maggiormente utilizzato sono le botnet, ovvero una rete di computer utilizzata per attacchi da remoto, o per altre finalità, formata da computer infetti (bot o zombie) che, all’insaputa dei legittimi utenti, sono controllati da un utente malevolo (botmaster).
Gli attacchi DDoS sono stati particolarmente intensi e, in alcuni casi, guidati da motivazioni politiche. Gruppi come Killnet hanno mirato a sovraccaricare le reti, causando gravi interruzioni di servizio. L’obiettivo era spesso quello di destabilizzare l’infrastruttura e creare disagi significativi. Killnet, nello specifico, avrebbe collaborato con Anonymous Sudan (nelle persone di Ahmed Salah Yousif Omer e Alaa Salah Yusuuf Omer) durante la messa in atto di gravi attacchi informatici contro Israele durante l’attacco terroristico di Hamas del 7 ottobre. Non solo, nel presente mese è stato desecretato un atto d’accusa della giuria federale della Corte della California dove è possibile leggere di come i due avrebbero più volte preso di mira anche numerose infrastrutture degli Stati Uniti D’America.
