Gli attacchi informatici e le violazioni dei dati stanno creando scompiglio tra le organizzazioni e gli utenti di tutto il mondo.
Dagli attacchi ransomware e DDoS (Distributed Denial-of-Service) alle esposizioni accidentali e di dati di terze parti, le aziende devono affrontare rischi continui e complessi per la sicurezza informatica.
Ecco un'analisi di alcuni degli attacchi informatici e delle violazioni dei dati più importanti che hanno fatto notizia questo mese.
Il fornitore di sicurezza CloudSEK ha scoperto una grave violazione che ha preso di mira Oracle Cloud, con 6 milioni di record esfiltrati tramite una sospetta vulnerabilità non divulgata. Sono stati colpiti più di 140.000 tenant, con l'aggressore che ha chiesto un riscatto e ha commercializzato dati sensibili online. I dati includono file JKS, password SSO crittografate, file chiave e chiavi JPS del gestore aziendale.
"Sebbene l'autore della minaccia non abbia precedenti, i suoi metodi indicano un'elevata sofisticatezza, CloudSEK valuta questa minaccia con un livello di sicurezza medio e la classifica come di gravità elevata", ha affermato CloudSEK.
Un'app bancaria falsa prende di mira gli utenti Android tramite Telegram
È stato individuato un sofisticato malware dropper che imitava l'app IndusInd Bank e prendeva di mira gli utenti Android in uno schema di phishing per rubare informazioni finanziarie sensibili. Visualizzando un'interfaccia bancaria falsa, l'app dannosa inganna gli utenti inducendoli a immettere informazioni come i numeri PAN e Aadhaar, nonché le credenziali bancarie.
Dopo che le vittime hanno inviato i dati, questi vengono inviati sia a un server di phishing sia a un canale di comando e controllo (C2) controllato da Telegram.
Attacco informatico colpisce le ferrovie ucraine
Un attacco informatico "su larga scala" alle ferrovie ucraine ha costretto i servizi online offline. Ukrzaliznytsia, la compagnia ferroviaria nazionale del paese, ha descritto l'attacco come "molto sistematico, complesso e multilivello". Ha bloccato il suo portale online, rendendo impossibile la vendita online dei biglietti per un periodo di tempo, sebbene i treni fossero ancora in grado di funzionare.
"L'obiettivo principale del nemico è fallito: il traffico ferroviario rimane stabile, procede secondo programma senza ritardi e tutti i processi operativi sono stati commutati in modalità di backup", si legge nell'ultimo aggiornamento di Ukrzaliznytsia. "La ferrovia continua a funzionare nonostante gli attacchi fisici all'infrastruttura e persino gli attacchi informatici più subdoli non riescono a fermarla. Poiché Ukrzaliznytsia è stata in precedenza un bersaglio di attacchi informatici nemici, sono stati implementati protocolli di backup all'interno dell'azienda".
Siti Web attendibili sfruttati per reindirizzamenti dannosi
Un'altra campagna esposta da ANY.RUN ha visto gli aggressori abusare delle funzioni di reindirizzamento su domini affidabili e di lunga data per reindirizzare gli utenti a pagine di phishing. Sfruttando una debole convalida del reindirizzamento, gli autori della minaccia hanno trasformato URL dall'aspetto sicuro in una rampa di lancio per siti dannosi. Poiché gli utenti credevano di essere ancora su pagine legittime o di spostarsi tra di esse, era molto più probabile che cadessero nella truffa.
L'attacco alla supply chain compromette GitHub Action
Un attacco alla supply chain ha compromesso la popolare GitHub Action tj-actions/changed-files, con un impatto su oltre 23.000 repository. Gli aggressori hanno modificato retroattivamente più tag di versione per fare riferimento a un commit dannoso, esponendo i segreti CI/CD nei log del flusso di lavoro. La vulnerabilità è esistita tra il 14 e il 15 marzo 2025 e da allora è stata mitigata.
L'attacco ha comportato la modifica della GitHub Action tj-actions/changed-files per eseguire uno script Python dannoso. Questo script ha estratto i segreti dalla memoria del processo Runner Worker e li ha stampati nei log di GitHub Actions, rendendoli accessibili al pubblico nei repository con log di workflow pubblici.
"Questo CVE ha un impatto sui repository GitHub pubblici con GitHub Actions abilitate. Tutte le versioni sono state interessate", ha affermato Dimitri Stiliadis, CTO e co-fondatore di Endor Labs. "Per le organizzazioni che creano software, sarà probabile che dovranno riconfigurare le proprie pipeline se utilizzano l'Azione compromessa".
Migliaia di fascicoli giudiziari del Nuovo Galles del Sud trapelati
Circa 9.000 fascicoli giudiziari, tra cui documenti sensibili come ordini di violenza e dichiarazioni giurate, sono trapelati in una violazione dei dati del registro online del sistema giudiziario del Nuovo Galles del Sud (NSW). La polizia è stata avvisata della violazione del sito Web del registro online del NSW con i detective della criminalità informatica del NSW State Crime Command che hanno avviato un'indagine che ha coinvolto il Department of Communities and Justice (DCJ) dello stato.
È stato riferito che i documenti esposti potrebbero contenere nomi e indirizzi di vittime e autori di reati, nonché resoconti di presunti reati.
Il procuratore generale del NSW Michael Daley ha affermato che il dipartimento e la polizia stanno prendendo l'incidente seriamente e stanno lavorando per garantire l'integrità del sistema in seguito alla perdita significativa. "Stanno anche lavorando per identificare e contattare urgentemente gli utenti interessati e il pubblico verrà tenuto aggiornato man mano che saranno disponibili maggiori informazioni", ha aggiunto.
Nessun commento:
Posta un commento