Uncategorized

Ransomware, l’impatto degli attacchi in crescita

by

Secondo i report degli ultimi mesi gli attacchi ransomware stanno calando per quantità ed aumentando per impatto. I criminali informatici sono meno interessati agli attacchi indiscriminati con i quali possono puntare a richieste di riscatto di importo ridotto ma puntano sempre di più ad attacchi mirati ad enti studiati spesso a lungo in modo da sferrare attacchi rapidi e puntare a pagamenti rilevanti. Questa tendenza non è solo italiana (si veda anche il rapporto CLUSIT 2020) ma si trova in tutti i principali paesi. Nel sito bleepingcomputer.com, una delle più note testate online in materia di minacce e sicurezza informatica, nel report periodico “The Week in Ransomware” le segnalazioni dei principali attacchi del momento riguardano, come spesso negli ultimi mesi, Istituti Scolastici, Istituti Sanitari e aziende Hi Tech.

Sopra Steria, importante azienda francese di servizi IT, in una nota del 25 novembre ha affermato di attendersi tra 40 e 50 milioni di euro di perdite a causa di un attacco informatico in ottobre. Il sito afferma che l’attacco sia stato effettuato con il medesimo ceppo di ransomware che ha colpito UHS, un gigante della fornitura di servizi per strutture sanitarie con 90.000 dipendenti inserita nella Fortune 500 list. Alla fine di settembre, diversi ospedali in almeno cinque stati degli Stati Uniti sono rimasti senza accesso ai computer ed ai telefoni e sono stati costretti a ridistribuire i pazienti in arrivo e quelli in attesa di cure urgenti in altri ospedali vicini. I dipendenti hanno raccontato che tentando di accendere i computer, questi si spegnevano immediatamente da soli.

Il 28 novembre il costruttore di chip per automazioni industriali e IoT (compresi servizi sanitari) Advantech è stato colpito da un ransomware. I criminali hanno chiesto un riscatto di oltre 12 milioni di dollari per sbloccare i computer e rimuovere dai loro server i dati rubati. Come sempre in questi casi, anche pagando il riscatto non vi è alcuna certezza che i criminali vogliano o siano in grado di mantenere la parola data.

Oltre al danno per l’interruzione delle attività, al danno di immagine ed all’eventuale riscatto, non è immediatamente quantificabile il danno dovuto alla violazione dei dati personali e dei dati aziendali in questi casim, non sempre è chiaro quanti dati sono stati prelevati nel corso degli attacchi né si possono avere certezze su quello che intenderanno fare gli attaccanti con questi dati. Sempre più spesso i dati sottratti vengono rivenduti nel dark web.

Un aspetto sconcertante di questi attacchi è che, almeno nei primi due casi, autorevoli analisti affermano che siano nati da e-mail di phishing, attacchi spesso non irrestistibili contro i quali molte aziende fanno poco.

Sanzione per raccolta dati su credit rating e mancanza di base giuridica

by

L’Autorità di controllo norvegese ha emesso una sanzione contro ODIN FLISSENTER AS (distributore di piastrelle) di circa 14.000 euro per avere effettuato una verifica di solvibilità su un’impresa individuale senza avere le basi giuridiche per questo tipo di trattamento.

Il contesto della sanzione è stato un reclamo successivo ad una verifica di credit rating effettuata da ODIN FLISSENTER su una impresa individuale che non aveva alcun rapporto con l’azienda. L’ammontare della sanzione è stato ridotto tenendo conto delle conseguenze che la pandemia di COVID-19 ha avuto sul titolare del trattamento in questo periodo.

Il provvedimento è interessante in particolare per due motivi (che sono alla base della sanzione):

  • le informazioni creditizie sono considerate dati personali quando riguardano un titolare identificabile e direttamente collegato all’impresa sotto il profilo patrimoniale, come nel caso dell’impresa individuale coinvolta in questa verifica;
  • Non è lecito trattare dati di credit rating (anche se accessibili tramite servizi leciti) quando non vi è una base di legittimità giuridica.

Il credit rating, si basa su dati personali provenienti da diverse fonti e mostra un punteggio che indica la probabilità che una persona fisica o un’impresa individuale sia in grado di onorare i propri impegni economici e mostra anche dettagli sull’impresa quali dati sui pagamenti, garanzie e coefficiente di indebitamento, la sanzione conferma come non si possano trattare tali dati fuori dalle previsioni del Reg. UE 2016/679 anche se riguardano persone giuridiche quando si tratta di enti patrimonialmente collegati ad un titolare identificabile.

(fonte: EDPB)

Instagram, Twitter e attacchi phising

by

I ricercatori di BleepingComputer sono venuti a conoscenza dell’ennesimo attacco di phishing ai danni di utenti di Twitter, Instagram e Tik Tok. Gli utenti ricevono una e-mail che li induce ad aprire una pagina web graficamente molto credibile nella quale si chiede la verifica delle informazioni dell’account per poter ricevere una “spunta blu”, ovvero quel simbolo che attesta che l’account è stato verificato ed è autentico (simbolo utilizzato inizialmente dalle persone famose, dagli influencer, dalle aziende e ora accessibile a tutti). Le pagine sono credibili anche se leggendo gli URL di provenienza (gli indirizzi web riportati in alto nel browser) qualcosa in più di un sospetto dovrebbe nascere. L’utente poi dovrebbe dubitare anche perché la procedura per ricevere la “spunta blu”, per quanto non impossibile, non è così semplice. Gli account sottratti in questo modo vengono poi utilizzati per campagne di disinformazione, per truffe su criptovalute o altro.

Quali possono essere le difese? Se ci si accorge di avere inserito la password di un proprio account in una pagina web sospetta, come prima cosa da fare è entrare nel proprio account e cambiare password. La seconda è attivare un sistema di autenticazione a due fattori (ad es. un OTP da ricevere con una applicazione largamente supportata come Google Authenticator, Duo o Microsoft Authenticator) che può prevenire l’accesso al proprio account da parte di un truffatore che conosce i nostri username e password.

(fonte: bleepingcomputer.com)