Ivanti rilascia aggiornamenti di sicurezza per la vulnerabilità dei gateway Connect Secure, Policy Secure e ZTA (CVE-2025-22457). Hacker Stato-Nazione cinesi

Ivanti ha rilasciato aggiornamenti di sicurezza per risolvere le vulnerabilità (CVE-2025-22457) in Ivanti Connect Secure, Policy Secure e ZTA Gateway. Un cyber threat actor potrebbe sfruttare CVE-2025-22457 per prendere il controllo di un sistema interessato.

La CISA ha aggiunto CVE-2025-22457 al suo catalogo delle vulnerabilità note sfruttate. La CISA (Cybersecurity and Infrastructure Security Agency) ha recentemente emesso avvisi riguardanti una vulnerabilità nei prodotti firewall di Ivanti che sta essendo attivamente sfruttata da hacker sospettati di essere di origine cinese. Ecco alcuni punti chiave sulla situazione: Dettagli della vulnerabilità: Il bug colpisce alcune versioni di Ivanti Connect Secure ed è stato collegato a un gruppo di spionaggio informatico con legami con la Cina. 

Nel suo avviso, la CISA ha esortato le organizzazioni che utilizzano questi prodotti Ivanti a intraprendere azioni immediate, tra cui la disconnessione dei dispositivi interessati per mitigare i rischi. 

Minaccia in corso: Questa non è la prima volta che la CISA avvisa le organizzazioni sugli hacker sostenuti dallo stato che sfruttano le vulnerabilità di Ivanti. Dal 2020, ci sono stati numerosi avvisi riguardanti minacce simili. 

Impatto: Lo sfruttamento di questa vulnerabilità potrebbe portare a gravi violazioni della sicurezza, rendendo fondamentale per le organizzazioni rimanere vigili e applicare gli aggiornamenti o le patch necessari. 

Dettagli sulle azioni di difesa:

Per tutte le istanze di Ivanti Connect Secure che non sono state aggiornate entro il 28 febbraio 2025 all'ultima patch di Ivanti (22.7R2.6) e per tutte le istanze di Pulse Connect Secure (EoS), Policy Secure e ZTA Gateway, CISA esorta utenti e amministratori a implementare le seguenti azioni: Condurre azioni di caccia alle minacce: Esegui uno strumento di controllo dell'integrità esterno (ICT). Per ulteriori indicazioni, consulta le istruzioni di Ivanti.

Eseguire azioni di ricerca delle minacce su tutti i sistemi connessi al dispositivo Ivanti interessato o che si sono connessi di recente.

Se le azioni di caccia alle minacce non determinano alcun compromesso: Per il massimo livello di sicurezza, esegui un ripristino delle impostazioni di fabbrica. Per i sistemi cloud e virtuali, eseguire un ripristino delle impostazioni di fabbrica utilizzando un'immagine esterna pulita del dispositivo.

Applicare la patch descritta in Security Advisory Ivanti Connect Secure, Policy Secure e ZTA Gateways (CVE-2025-22457). Si noti che le patch per Ivanti ZTA Gateways e Ivanti Policy Secure saranno disponibili rispettivamente il 19 e il 21 aprile. Si consiglia di disconnettere i dispositivi vulnerabili finché non saranno disponibili le patch.

Monitorare i servizi di autenticazione o di gestione dell'identità che potrebbero essere esposti.

Continuare a controllare gli account con accesso a livello di privilegio.

Se le azioni di ricerca delle minacce determinano un compromesso: Per i dispositivi che sono stati confermati compromessi, isolare tutte le istanze interessate dalla rete. Mantenere isolati i dispositivi interessati fino al completamento delle seguenti istruzioni e all'applicazione delle patch.

Acquisisci un'immagine forense (inclusa l'acquisizione della memoria) o contatta Ivanti per ottenere una copia dell'immagine.

Disconnettere tutte le istanze compromesse.

Per il massimo livello di sicurezza, esegui un ripristino delle impostazioni di fabbrica.Per i sistemi cloud e virtuali, eseguire un ripristino delle impostazioni di fabbrica utilizzando un'immagine esterna pulita del dispositivo.

Revoca e riemette tutti i certificati, le chiavi e le password connessi o esposti, includendo quanto segue: Reimposta la password di abilitazione amministratore.

Reimposta le chiavi API (Application Programming Interface) memorizzate.

Reimposta la password di tutti gli utenti locali definiti sul gateway, inclusi gli account di servizio utilizzati per la configurazione del server di autenticazione.

Se gli account di dominio associati ai prodotti interessati sono stati compromessi: Reimpostare due volte le password per gli account on-premise, revocare i ticket Kerberos e quindi revocare i token per gli account cloud nelle distribuzioni ibride.

Per i dispositivi registrati/collegati al cloud, disabilitare i dispositivi nel cloud per revocare i token del dispositivo.

Applicare la patch descritta nell'avviso di sicurezza Ivanti Connect Secure, Policy Secure e ZTA Gateway (CVE-2025-22457). Si noti che le patch per Ivanti ZTA Gateway e Ivanti Policy Secure saranno disponibili rispettivamente il 19 e il 21 aprile.

Segnalarlo immediatamente a CISA e Ivanti.

Le organizzazioni devono segnalare incidenti e attività anomale al Centro operativo 24 ore su 24, 7 giorni su 7 del CISA all'indirizzo Report@cisa.gov o al numero (888) 282-0870.

https://www.cisa.gov/news-events/alerts/2025/04/04/ivanti-re

Il primo ministro polacco afferma che l'attacco informatico ha preso di mira il suo partito mentre si avvicinano le elezioni

I sistemi online del partito del primo ministro polacco Donald Tusk sono stati colpiti da un attacco informatico all'inizio di questa settimana.

Tusk non ha fornito dettagli sull'attacco o sul suo impatto, ma ha affermato che l'incidente è stato motivato da intromissioni nelle elezioni.

"Inizia l'interferenza straniera nelle elezioni. I servizi [dello Stato] affermano che le tracce puntano a est", ha affermato Tusk, co-fondatore del partito politico Civic Platform, in una dichiarazione di mercoledì.

Il ministro polacco per gli affari digitali, Krzysztof Gawkowski, ha affermato che i servizi statali del Paese stanno indagando sull'incidente.

"La questione è seria e vi terremo aggiornati con tutti i dettagli", ha aggiunto.

Parlando ai media locali giovedì, Gawkowski ha affermato che dietro l'attacco ci sono probabilmente degli hacker legati a Russia e Bielorussia.

Jan Grabiec, capo dell'ufficio del primo ministro, ha dichiarato a un'agenzia di stampa locale che gli aggressori hanno tentato di prendere il controllo dei computer di proprietà sia dei dipendenti degli uffici del partito sia del personale elettorale.

Secondo lui, l'obiettivo era di ottenere l'accesso ai dati o di generare contenuti utilizzando i computer compromessi. Le autorità polacche hanno descritto il cyberattacco come "piuttosto pericoloso".

L'attacco avviene appena un mese prima delle elezioni presidenziali polacche di maggio. Il favorito è il candidato di Civic Platform e sindaco di Varsavia Rafal Trzaskowski, che sostiene legami più stretti con l'Unione Europea.

Il paese ha già lanciato l'allarme su presunte campagne legate a Mosca per intromettersi nelle elezioni. A gennaio, i funzionari polacchi hanno affermato che la Russia stava tentando di reclutare cittadini polacchi tramite la darknet per condurre operazioni di influenza prima delle elezioni.

Secondo quanto riferito, le agenzie di intelligence russe, tra cui il GRU e l'FSB, hanno pubblicato offerte di lavoro in sezioni nascoste di Internet, offrendo compensi a individui disposti a diffondere disinformazione online.

"Mai prima nella storia della Polonia ci siamo trovati in una situazione in cui sapevamo che un paese straniero, apertamente in guerra, stava cercando di influenzare la politica e le elezioni polacche", affermò Gawkowski all'epoca.

Gawkowski ha inoltre affermato che la Polonia è attualmente il paese dell'Unione Europea più preso di mira dagli attacchi informatici, con la maggior parte degli incidenti provenienti dalla Russia.

A settembre, i servizi di sicurezza polacchi hanno annunciato di aver smantellato un presunto gruppo di sabotaggio informatico legato a Russia e Bielorussia. Il gruppo avrebbe tentato di "paralizzare" il paese con attacchi informatici e avrebbe estorto informazioni ad agenzie governative locali e aziende statali che si occupavano di questioni militari e di sicurezza.

Nel maggio 2023, la Polonia ha segnalato che degli hacker legati alla Russia avevano preso di mira l'Agenzia di stampa polacca, tentando di diffondere notizie false sul suo sito web.

La Russia ha già negato le accuse di attacchi informatici o di interferenza nelle elezioni in Polonia.

https://therecord.media/poland-prime-minister-cyber-targeted

Farmacista del Maryland ha usato keylogger per spiare i colleghi per un decennio, denuncia la vittima

Un farmacista del Maryland ha installato uno spyware su centinaia di computer di un importante ospedale universitario e ha registrato, nel corso di un decennio, video del personale che pompava il latte materno e allattava al seno.

La causa, depositata il 27 marzo e riportata per la prima volta dal Baltimore Banner, accusa il farmacista Matthew Bathula di aver impiantato keylogger - un tipo di software che registra ciò che una persona digita su una tastiera - su circa 400 computer dell'University of Maryland Medical Center (UMMC).

L'azione collettiva è stata intentata da un'anonima dipendente dell'ospedale contro il suo datore di lavoro, che sostiene di essere stato negligente nel permettere che si verificassero le violazioni della sicurezza e nell'omettere di avvisare le vittime. Non sono state formulate accuse penali nei confronti di Bathula, che secondo la denuncia e una dichiarazione dell'UMMC è oggetto di indagini da parte dell'FBI.

“È nostra sincera speranza e aspettativa che la persona che si presume abbia violato la fiducia dei suoi colleghi e della nostra organizzazione sia ritenuta responsabile nella massima misura della legge, ed è per questo che negli ultimi mesi abbiamo collaborato con l'FBI e l'Ufficio del Procuratore degli Stati Uniti, che sono impegnati in un'indagine penale attiva”, ha dichiarato il centro medico in una dichiarazione pubblicata sul proprio sito web giovedì.

L'azione collettiva è stata presentata da un'anonima dipendente dell'ospedale contro il suo datore di lavoro, che sostiene di essere stato negligente nel permettere che si verificassero le violazioni della sicurezza e nel non aver presumibilmente informato le vittime. Non sono state formulate accuse penali nei confronti di Bathula, che secondo la denuncia e una dichiarazione dell'UMMC è oggetto di indagini da parte dell'FBI.

“È nostra sincera speranza e aspettativa che la persona che si presume abbia violato la fiducia dei suoi colleghi e della nostra organizzazione sia ritenuta responsabile nella massima misura della legge, ed è per questo che negli ultimi mesi abbiamo collaborato con l'FBI e l'Ufficio del Procuratore degli Stati Uniti, che sono impegnati in un'indagine penale attiva”, ha dichiarato il centro medico in una dichiarazione pubblicata sul proprio sito web giovedì.

“Le organizzazioni sanitarie e le persone che vi lavorano sono purtroppo diventate negli ultimi tempi vittime di attacchi informatici da parte di attori minacciosi, e noi continuiamo a prendere misure aggressive per proteggere i nostri sistemi informatici in questo ambiente difficile”.

Attraverso i keylogger, Bathula avrebbe avuto accesso alle password dei colleghi, tra cui quelle dei conti bancari, dei sistemi di sorveglianza domestica, delle e-mail, delle app per incontri e di altri account. Secondo la denuncia, ha scaricato fotografie private, video e informazioni personali e ha persino attivato a distanza le webcam nelle sale esami per le sessioni di teleassistenza.

Le protezioni per impedire a qualcuno di accedere ai dispositivi e installare malware erano inadeguate, sostiene il querelante.

“L'UMMC è soggetta a numerosi regolamenti statali e federali che le impongono di implementare misure per proteggere le informazioni sensibili conservate nei suoi sistemi informatici”, si legge nella denuncia. “Bathula non avrebbe potuto mettere in atto la sua decennale campagna di cyberspionaggio se le misure di sicurezza dei dati dell'UMMC non fossero state tristemente inadeguate”.

Secondo la denuncia, all'inizio di ottobre l'ospedale ha inviato un'e-mail ai dipendenti per informarli di un “grave incidente informatico” e di un “attacco informatico altamente sofisticato e molto difficile da rilevare che ha portato al furto di dati da computer UMMS condivisi”. L'e-mail riconosceva l'uso di un software di keylogging e diceva che la struttura stava indagando sull'attacco e avrebbe comunicato aggiornamenti “nei prossimi giorni”.

Le vittime affermano di aver scoperto che le loro informazioni erano state compromesse - e in alcuni casi che era stato accesso a materiale altamente personale - solo quando sono state contattate dall'FBI.

Secondo la denuncia, l'ospedale avrebbe “messo in atto protezioni informatiche che erano prontamente disponibili prima degli attacchi di Bathula e che sono ragionevoli e standard nel settore”, tra cui la disabilitazione dell'uso di chiavette e l'implementazione di restrizioni sui download e sul caricamento di applicazioni.

“Queste protezioni minime non erano in vigore durante il decennio di attività informatica criminale di Bathula”.

Il farmacista è stato licenziato nell'ottobre 2024 ma, secondo la causa, si è poi trasferito in un altro sistema sanitario. I tentativi di contattare Bathula non hanno avuto successo.

Un portavoce dell'UMMC ha rifiutato di commentare i dettagli del caso, ma ha dichiarato che “in risposta a questo incidente, abbiamo aumentato la sorveglianza in tutta la nostra rete per individuare meglio gli accessi non autorizzati”.

https://therecord-media.translate.goog/maryland-pharmacist-keylogger-spying-lawsuit?utm_medium=email&_hsenc=p2ANqtz-_KCYbcsxD3sebxX6x5c-A9NJ2k58u9t_Gu2yGhns7b_UtYPK5mGqDl4elB_Kkw1_QzgGCS7_mZDlUszQR_5r_ref4bVA&_hsmi=355462473&utm_content=355464786&utm_source=hs_email&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_hist=true

Il sito di immagini AI GenNomis ha esposto 47 GB di deepfake di minorenni

Un grave incidente di fuga di dati presso GenNomis, una piattaforma gestita dall'azienda sudcoreana di intelligenza artificiale AI-NOMIS, ha sollevato serie preoccupazioni sui rischi derivanti da contenuti generati dall'intelligenza artificiale non monitorati.

Per vostra informazione, GenNomis è una piattaforma di generazione di immagini basata sull'intelligenza artificiale che consente agli utenti di creare immagini illimitate da prompt di testo, generare personaggi basati sull'intelligenza artificiale ed eseguire lo scambio di volti, con oltre 45 stili artistici e un mercato per l'acquisto e la vendita di immagini generate dagli utenti.

Quali dati sono stati esposti?

Secondo il rapporto di vpnMentor, condiviso con Hackread.com, il ricercatore di sicurezza informatica Jeremiah Fowler ha scoperto un database accessibile al pubblico e configurato in modo errato, contenente ben 47,8 gigabyte di dati, tra cui 93.485 immagini e file JSON.

Questa miniera di informazioni ha rivelato una preoccupante raccolta di materiale esplicito generato dall'intelligenza artificiale, immagini con volti scambiati e raffigurazioni che coinvolgono quelli che sembrano essere individui minorenni. Un esame limitato dei registri esposti ha mostrato una prevalenza di contenuti vietati ai minori, tra cui immagini generate dall'intelligenza artificiale che hanno sollevato segnali di allarme sullo sfruttamento dei minori.

L'incidente rafforza gli avvertimenti di un organismo di controllo di Internet con sede nel Regno Unito, che ha segnalato che i pedofili del dark web utilizzano strumenti di intelligenza artificiale open source per produrre materiale pedopornografico (CSAM).

Immagini Deepfake di Minori (Fonte: vpnMentor)

Fowler ha riferito di aver visto numerose immagini che sembravano raffigurare minorenni in situazioni esplicite, così come celebrità ritratte come bambini, tra cui personaggi come Ariana Grande e Michelle Obama. Il database conteneva anche file JSON che registravano prompt di comando e link a immagini generate, offrendo uno sguardo al funzionamento interno della piattaforma.

Conseguenze e pericoli

Fowler ha scoperto che il database era privo di misure di sicurezza di base, come la protezione tramite password o la crittografia, ma ha dichiarato esplicitamente di non attribuire alcun illecito a GenNomis o AI-NOMIS per l'incidente.

Ha prontamente inviato un avviso di divulgazione responsabile all'azienda e il database è stato eliminato dopo che i siti web GenNomis e AI-NOMIS sono andati offline. Tuttavia, una cartella nel database etichettata "Face Swap" è scomparsa prima che inviasse l'avviso di divulgazione.

Cartelle elencate (Fonte: vpnMentor)

Questo incidente evidenzia il crescente problema della pornografia "nudify" o Deepfake, in cui l'intelligenza artificiale viene utilizzata per creare immagini esplicite realistiche senza consenso. Fowler ha osservato, elaborando che circa il 96% dei Deepfake online sono pornografici, con il 99% di questi che coinvolgono donne che non hanno dato il consenso.

Il potenziale di uso improprio dei dati esposti in scenari di estorsione, danno alla reputazione e vendetta è sostanziale. Inoltre, questa esposizione contraddice le linee guida dichiarate dalla piattaforma, che proibiscono esplicitamente contenuti espliciti che coinvolgono bambini.

Fowler ha descritto l'esposizione dei dati come una "chiamata di sveglia" in merito al potenziale di abuso nel settore della generazione di immagini AI, evidenziando la necessità di una maggiore responsabilità da parte degli sviluppatori. Sostiene l'implementazione di sistemi di rilevamento per segnalare e bloccare la creazione di Deepfake espliciti, in particolare quelli che coinvolgono minori, e sottolinea l'importanza delle tecnologie di verifica dell'identità e di filigrana per prevenire l'uso improprio e facilitare la responsabilità.

Al momento in cui scrivo, il sito web GenNomis era offline.

https://hackread.com/ai-image-site-gennomis-exposed-underage-deepfakes/

Fine del rapporto di lavoro: la corretta gestione dell’indirizzo email aziendale

La mancata disattivazione dell’account di posta elettronica del dipendente ed il reindirizzamento della posta in entrata su altro account aziendale, dopo la cessazione del rapporto di lavoro, è in contrasto con i principi di necessità e minimizzazione del Gdpr. Ecco come bilanciare un equilibrio tra la privacy personale e gli obblighi professionali

Il Garante per la protezione dei dati personali ha recentemente inflitto una sanzione pari a 20.000 euro a una cooperativa, dopo un reclamo presentato da un’ex dipendente, responsabile dell’ufficio amministrativo.

In particolare, a seguito della cessazione del contratto, la società ha mantenuto attivo l’account di posta elettronica aziendale precedentemente assegnato alla dipendente, continuando a ricevere comunicazioni attraverso tale indirizzo per 7 mesi, tramite un reindirizzamento su un altro account aziendale.

La motivazione ufficiale fornita dalla società era quella di non perdere i contatti con soci, clienti e fornitori, nonché di recuperare potenziali “dati sensibili” che la lavoratrice, secondo quanto dichiarato, avrebbe “veicolato all’esterno”.

Dopo aver analizzato la posizione della società, vediamo come l’Autorità Garante ha valutato la situazione.

Le origini del contenzioso

Tutto è iniziato quando l’ex dipendente, l’ultimo giorno di lavoro, ha inviato una comunicazione via email a circa duecento soci della cooperativa, in cui ha esposto le ragioni del suo licenziamento, muovendo alcune accuse nei confronti dei vertici aziendali.

La società, di fronte alla rilevanza delle accuse e all’impatto che la comunicazione aveva avuto sull’immagine aziendale, ha sporto denuncia querela.

Inoltre, per tutelare i propri interessi, ha deciso di mantenere attivo l’indirizzo email della reclamante, operando il reindirizzamento delle comunicazioni in arrivo.

Le difese della società

Nonostante ciò, la società ha giustificato la sua azione, sottolineando che erano state adottate tutte le precauzioni necessarie.

Nonostante la disattivazione immediata della posta in uscita, il reindirizzamento delle comunicazioni in entrata era stato temporaneamente attuato per preservare l’integrità delle informazioni aziendali.

L’intenzione era dichiaratamente quella di non compromettere i contatti con i soci, i clienti e i fornitori. Nonostante ciò, la società ha assicurato di aver limitato il trattamento e di aver disattivato definitivamente l’account della reclamante appena completata la migrazione dei dati aziendali.

Il punto di vista dell’Autorità Garante

L’Autorità Garante per la protezione dei dati personali ha considerato che le azioni intraprese dalla Società violassero i principi generali del trattamento previsti dal GDPR.

Durante l’istruttoria, è emerso che, pur avendo la società dichiarato che l’obiettivo era quello di preservare la comunicazione con clienti e soci, il trattamento del dato non risultava adeguato né proporzionato alle finalità dichiarate.

Il punto centrale, che ha sottolineato la valutazione dell’Autorità, è che l’account della reclamante è rimasto attivo per un periodo significativo di tempo (circa sette mesi), ben oltre il necessario per recuperare eventuali messaggi urgenti o rilevanti.

Inoltre, sebbene la società avesse informato soci e clienti del nuovo indirizzo email aziendale, la prosecuzione del trattamento per un tempo così lungo ha superato i limiti della necessità e della minimizzazione dei dati, violando così i principi fondamentali del Regolamento sulla protezione dei dati.

Anche la questione relativa all’invio dell’email da parte della ex dipendente ai soci, che ha scatenato la denuncia, è apparsa irrilevante ai fini della necessità di mantenere attivo l’account.

L’Autorità ha sottolineato che l’invio di quella comunicazione non giustificava la continuazione del trattamento dei dati personali tramite il reindirizzamento dell’indirizzo email aziendale.

Un altro elemento che ha portato alla condanna della società è stato il fatto che la reclamante non fosse stata adeguatamente informata riguardo alla gestione della sua email aziendale dopo la cessazione del rapporto di lavoro.

La società non aveva infatti previsto nel proprio regolamento interno alcuna informativa sulle modalità di gestione della posta elettronica in ambito lavorativo, violando il principio di trasparenza previsto dal GDPR.

La sanzione e le implicazioni legali

L’Autorità Garante ha quindi dichiarato il trattamento illecito dei dati personali e ha imposto una sanzione amministrativa pecuniaria alla società, valutata sulla base della gravità e della durata della violazione.

In particolare, l’Autorità ha sottolineato che la violazione non poteva essere considerata “minore”, tenendo conto della natura della violazione, dei dati trattati e della durata dell’operazione di reindirizzamento.

L’Autorità ha infine sottolineato che, pur comprendendo le finalità della società di preservare i contatti aziendali, queste potevano essere perseguite con modalità meno invasive, rispettando i principi di necessità e proporzionalità sanciti dal GDPR.

La legittima aspettative di riservatezza

Il caso rappresenta un’importante lezione sulle implicazioni della gestione delle email in contesti aziendali, soprattutto dopo la cessazione del rapporto di lavoro con un dipendente e come bilanciare le legittime esigenze di riservatezza del dipendente e la salvaguardia degli interessi aziendali.

In generale, il contenuto dei messaggi di posta elettronica riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Costituzione), che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali.

Ciò comporta che, anche nel contesto lavorativo pubblico e privato, sussista una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza.

E la tutela della corrispondenza privata è garantita anche dalla Convenzione Europea dei Diritti dell’Uomo (CEDU) là dove all’art. 8 afferma che ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.

La Corte di giustizia europea

Inoltre, la Corte di giustizia UE ha ulteriormente stabilito che le email inviate dal lavoro sono protette in modo simile ai sensi dell’articolo 8, così come le informazioni derivanti dal monitoraggio dell’uso personale di Internet.

Tuttavia, per quanto attiene alla Cedu, la Corte non ritiene vietato un controllo datoriale dell’email aziendale assegnata al dipendente qualora tale controllo sia proporzionato.

E in una discussa sentenza del 2016 Barbulescu contro Romania, la Corte aveva ritenuto che non sia irragionevole per un datore di lavoro volere verificare che i dipendenti stiano svolgendo i propri compiti professionali durante l’orario di lavoro, interpretando il concetto di proporzionalità in relazione alla violazione disciplinare contestata e sul fatto che l’accesso era stato limitato all’account di posta elettronica aziendale, ma non gli altri dati e documenti archiviati sul computer dell’ex dipendente.

Ma i piani di valutazione appaiono diversi e parzialmente complementari, non tengono conto della normativa nazionale e del GDPR.

La necessità di una policy aziendale

Appare necessario per le aziende implementare una politica complessiva sull’uso di Internet sul posto di lavoro, che includa regole specifiche sull’uso delle email, della messaggistica istantanea, dei social network, dei blog e della navigazione web.

Sebbene la politica possa essere personalizzata in base alle esigenze di ogni azienda nel suo complesso e di ciascun settore specifico dell’infrastruttura aziendale, i diritti e le responsabilità dei dipendenti dovrebbero essere chiaramente definiti per garantire un equilibrio tra la privacy personale e gli obblighi professionali.

È importante che i dipendenti siano informati sulla politica, compreso il possibile monitoraggio delle loro comunicazioni, e siano consapevoli delle conseguenze in caso di violazione di queste linee guida.

Una tale politica dovrebbe essere progettata per promuovere un ambiente di lavoro produttivo e sicuro, rispettando al contempo i diritti dei dipendenti in conformità con le leggi e i regolamenti applicabili.

E sebbene le aziende possano avere legittimi interessi nel preservare i propri contatti e nel tutelare l’integrità delle proprie comunicazioni aziendali, è fondamentale che tali azioni siano sempre conformi ai principi generali del trattamento, come quelli di minimizzazione, necessità e trasparenza previsti dal Regolamento europeo.

https://www.cybersecurity360.it/news/fine-del-rapporto-di-lavoro-la-corretta-gestione-dellindirizzo-email-aziendale/

Gli hacker colpiscono le agenzie statali ucraine e le infrastrutture critiche con il nuovo malware "Wrecksteel"

Gli hacker hanno colpito le agenzie statali ucraine e le infrastrutture critiche con il nuovo malware "Wrecksteel"

L'Ucraina ha registrato almeno tre attacchi informatici a marzo contro agenzie governative e infrastrutture critiche con un nuovo malware spia.

Gli attacchi sono stati effettuati utilizzando un malware precedentemente sconosciuto, denominato Wrecksteel, distribuito tramite e-mail di phishing, secondo un rapporto pubblicato giovedì dal team di risposta alle emergenze informatiche dell'Ucraina (CERT-UA).

Gli hacker hanno utilizzato account compromessi per inviare messaggi contenenti collegamenti a servizi di condivisione di file pubblici come DropMeFiles e Google Drive. Quando aperti, i collegamenti eseguivano uno script di PowerShell, consentendo agli aggressori di estrarre documenti di testo, PDF, immagini e presentazioni, nonché di acquisire schermate di dispositivi infetti.

CERT-UA, che ha denominato il gruppo di hacker UAC-0219, ha affermato che la campagna di cyberspionaggio è attiva almeno dall'autunno del 2024.

In un incidente, gli aggressori hanno inviato e-mail di phishing affermando falsamente che un'agenzia governativa ucraina aveva pianificato di tagliare gli stipendi. L'e-mail conteneva un link dannoso che presumibilmente conduceva a un elenco di dipendenti interessati.

Sebbene CERT-UA non abbia attribuito gli attacchi a un paese specifico, la maggior parte delle campagne di spionaggio basate sul phishing che prendono di mira le istituzioni governative ucraine provengono dalla Russia.

All'inizio di questa settimana, i ricercatori della società di sicurezza informatica Cisco Talos hanno riferito che un gruppo di hacker sostenuto dalla Russia, Gamaredon, ha condotto una campagna di spionaggio utilizzando file dannosi che facevano riferimento a movimenti di truppe in Ucraina. La campagna è stata attribuita ai servizi segreti russi.

L'operatore ferroviario statale ucraino, Ukrzaliznytsia, ha subito un grave attacco informatico la scorsa settimana che ha interrotto i suoi sistemi online. I funzionari informatici ucraini hanno affermato che gli hacker hanno distribuito malware personalizzati specificamente progettati per l'infrastruttura ferroviaria, il che suggerisce che l'operazione ha richiesto risorse e pianificazione significative.

Le autorità hanno definito l'attacco informatico all'operatore, che serve milioni di ucraini, "un atto di terrorismo".

Date le somiglianze tra le tattiche utilizzate nell'operazione contro Ukrzaliznytsia e le precedenti attività informatiche legate alla Russia, l'Ucraina ha ipotizzato che dietro la campagna ci fosse la Russia, ma non ha attribuito l'attacco a un gruppo di hacker specifico.

https://therecord.media/hackers-ukraine-critical-infrastructure-malware

La Russia condanna a due anni di carcere un hacker per l'attacco informatico a un'azienda tecnologica locale

Un cittadino russo è stato condannato a due anni in una colonia penale per aver lanciato un attacco DDoS (distributed denial-of-service) contro un'azienda tecnologica locale.

L'uomo, residente nella regione di Rostov, è stato condannato per aver organizzato un attacco DDoS a pagamento nell'aprile 2024 contro un'azienda classificata come parte dell'infrastruttura informatica critica della Russia, secondo una dichiarazione del Servizio di sicurezza federale (FSB). Oltre alla pena detentiva, è stato multato di 500.000 rubli (circa $ 5.400).

L'agenzia russa non ha specificato chi ha pagato il sospettato per l'attacco, ma in casi precedenti ha accusato le agenzie di intelligence ucraine di aver reclutato cittadini russi per condurre campagne di sabotaggio, spionaggio e informatica all'interno del paese.

Le agenzie di sicurezza russe hanno segnalato sempre più casi che coinvolgono hacker locali che presumibilmente lavorano contro lo stato o collaborano con entità straniere.

A ottobre, l'FSB ha arrestato un residente di Mosca di 61 anni accusato di aver utilizzato software di fabbricazione ucraina per condurre attacchi DDoS durante le elezioni regionali. Le autorità hanno affermato che gli attacchi hanno interrotto le infrastrutture a Mosca e nelle aree circostanti.

Un mese prima, gli investigatori hanno aperto un caso di tradimento contro uno scienziato di Mosca accusato di aver collaborato con i servizi segreti ucraini per portare a termine attacchi informatici. Se condannato, potrebbe affrontare l'ergastolo.

Le forze dell'ordine russe hanno anche arrestato uno studente di tecnologia lo scorso ottobre per aver presumibilmente aiutato il gruppo di hacker ucraino noto come Cyber ​​Anarchy Squad. In un caso separato, un uomo di 49 anni è stato accusato a febbraio di aver causato un blackout regionale tramite un attacco informatico a una centrale elettrica.

Nonostante questo aumento delle azioni penali per reati informatici nazionali, i procedimenti legali contro i principali gruppi di hacker legati alla Russia sono progrediti più lentamente.

Il processo a diversi presunti membri di REvil, un gruppo ransomware accusato di attacchi di alto profilo all'estero, si trascina da oltre due anni. Delle 14 persone inizialmente detenute, solo otto sono comparse in tribunale, accusate di transazioni finanziarie illegali. Durante un'udienza questa settimana, alcuni imputati si sono dichiarati colpevoli mentre altri hanno sostenuto la loro innocenza.

Nel frattempo, il governo russo ha respinto gli sforzi internazionali per colpire i gruppi di hacker russi. Dopo che gli Stati Uniti hanno sanzionato i membri del Cyber ​​Army of Russia Reborn (CARR) filo-Cremlino, Mosca ha liquidato la mossa come parte di una "campagna di propaganda" occidentale.

https://therecord.media/russia-jails-hacker-over-cyberattack-on-tech-firm