Attacchi ransomware 2021 cover Giacomo Lanzi

I più recenti attacchi Ransomware nel 2021

Estimated reading time: 5 minuti

Siamo solo a metà del 2021, e il mondo ha subito attacchi ransomware da record su infrastrutture critiche, scuole e reti sanitarie.

Anche le organizzazioni che offrono prodotti per aiutare il recupero da attacchi ransomware, come le compagnie di assicurazione informatica e i fornitori di backup dei dati, non sono rimaste al sicuro. Massicce richieste di riscatto sono state segnalate a pochi giorni di distanza l’una dall’altra, e una era senza precedenti.

Molte aziende hanno ceduto a queste richieste, nonostante avessero backup e anche se questo non garantiva un recupero completo dei dati. In molti casi, la portata completa dell’attacco non è stata rivelata, ma l’impatto dei dati esposti, dei tempi di inattività e delle interruzioni è chiaro.

Mentre questa lista veniva compilata, si è verificato un altro grande attacco: Kaseya è stata violata. Gli attori del ransomware REvil hanno usato il fornitore di software per violare e infettare centinaia di altre organizzazioni in uno dei più grandi attacchi ransomware del 2021 e di sempre. Abbiamo già parlato di questo gruppo in un altro articolo.

Questi attacchi e la reazione di alcune delle vittime, sono la chiara dimostrazione che ormai i dati hanno valore maggiore del denaro per molte aziende.

Attacchi ransomware 2021

Ecco 10 dei più grandi attacchi ransomware del 2021:

1. Scuole pubbliche di Buffalo

Nel 2020, gli attacchi al settore dell’istruzione sono aumentati significativamente. Questa attività non è cessata.

Molte scuole sono state colpite da attacchi ransomware nel 2021. In particolare, il sistema della Buffalo Public School di New York serve 34.000 studenti e contiene informazioni altamente sensibili che potrebbero essere trapelate. L’attacco ransomware si è svolto il 12 marzo e ha spento l’intero sistema scolastico, sospendendo didattica a distanza e in presenza per una settimana. Il sovrintendente delle scuole di Buffalo, Kriner Cash, ha rilasciato una dichiarazione il 15 marzo. Ha detto che la scuola stava “lavorando attivamente con gli esperti di sicurezza informatica, così come le forze dell’ordine locali, statali e federali per indagare pienamente su questo attacco di sicurezza informatica”.

Il sistema scolastico ha ripreso le operazioni il 22 marzo.

2. Acer

Un attacco al produttore di PC con sede a Taiwan, Acer, ha portato alla più alta richiesta di riscatto a seguito di un ransomware del 2021 e di sempre. 50 milioni di dollari è stata la cifra richiesta, senza precedenti.

Il 18 marzo, si è visto in modo indipendente un post sul sito nel dark web di REvil, che conteneva una lunga lista di documenti finanziari che presumibilmente provenivano dal fornitore. Successivamente, la pubblicazione LeMagIT, ha trovato un campione del ransomware REvil sul sito di analisi del malware, Hatching Triage. Conteneva un link a una richiesta di REvil ransomware per 50 milioni di dollari in criptovaluta Monero.

Acer ha fornito una dichiarazione:

Le aziende come noi sono costantemente sotto attacco, e abbiamo segnalato le recenti situazioni anomale osservate alle forze dell’ordine competenti e alle autorità di protezione dei dati in più paesi”.

Non è chiaro se il produttore di PC abbia pagato il riscatto.

3. CNA Financial

Uno delle più grandi compagnie assicurative negli Stati Uniti è stata colpita da un attacco ransomware il 21 marzo 2021, causando un’interruzione della rete. In una dichiarazione pubblicata sul suo sito web, CNA Financial lo ha definito un “sofisticato attacco informatico” e ha detto che per eccesso di cautela, ha preso “un’azione immediata disconnettendo proattivamente i [suoi] sistemi” dalla rete CNA.

Il ripristino non è stato completamente ultimato fino al 12 maggio. CNA ha detto che l’indagine “ha identificato la portata dei dati colpiti nell’incidente, così come i server su cui risiedevano i dati”. La compagnia ha detto che non crede che le richieste e i sistemi di sottoscrizione, dove la maggior parte dei dati degli assicurati sono memorizzati, siano stati colpiti dall’attacco.

Tuttavia, Bloomberg ha riferito che CNA ha pagato un riscatto di 40 milioni di dollari agli attori della minaccia. CNA non ha confermato il pagamento.

4. Applus Technologies

Applus Technologies, che fornisce attrezzature di prova alle stazioni di controllo dei veicoli statali, ha subito un attacco ransomware che ha interrotto i suoi sistemi per settimane nella primavera del 2021. L’attacco ha messo fuori uso i servizi di ispezione in diversi stati.

Nel solo Massachusetts, dove Applus è utilizzato in migliaia di siti di ispezione, il Registro di Stato dei veicoli a motore (RMV) è stato costretto a estendere le scadenze per gli adesivi di ispezione del veicolo a tempo indeterminato. Una dichiarazione di Applus si riferiva al servizio come solo “temporaneamente interrotto”, ma settimane dopo, le ispezioni dei veicoli hanno continuato ad essere posticipate.

La causa dietro il lungo tempo di inattività non è chiara perché nella sua dichiarazione iniziale, Applus ha detto di aver rilevato e fermato un attacco malware a fine marzo. Ulteriori dettagli sull’attacco e il tipo di ransomware non sono stati rivelati. Il Massachusetts RMV ha ripreso i servizi di controllo degli adesivi nella maggior parte delle sedi il 17 aprile, mentre i servizi in altri stati sono ripresi più tardi nello stesso mese.

Attacchi ransomware 2021 cover

Conclusioni

Questi sono solo alcuni degli attacchi che sono andati a segno nel 2021. Come suggerito anche in apertura, ormai è chiaro che il reale prodotto di valore sulla rete siano i dati, per cui le aziende sono disposte a pagare cifre veramente considerevoli.

Per difendere la tua azienda da un attacco ransomware, non abbassare la guardia, perché nel 2021 sono ancora attacchi molto comuni. SOD può aiutare a difendere gli asset aziendali in vari modi, il più diretto è il servizio Acronis Cyber Protect per la gestione dei backup e la difesa dei dati. Ma anche il SOCaaS può aiutare nell’individuare i segnali di attacco ransomware prima che sia sferrato. Infine, anche un servizio di phishing etico potrebbe essere una valida scelta per investire nel capitale umano e fornir gli strumenti per riconoscere le minacce.

Contattaci per sapere come SOD può aiutare la tua azienda nella difesa dei dati.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

  • Rilevato sfruttamento in rete di vulnerabilità relative a OpenMetadata (AL03/240422/CSIRT-ITA) Aprile 22, 2024
    Rilevato lo sfruttamento attivo in rete di 5 vulnerabilità, di cui una con gravità “critica” - già sanate dal vendor il 15 marzo 2024 - in carichi di lavoro Kubernetes di OpenMetadata, piattaforma open source per la gestione di metadati. Tali vulnerabilità, potrebbero consentire a un attaccante remoto l'esecuzione arbitraria di codice sulle istanze Kubernetes […]
  • Sanate vulnerabilità su GitHub Enterprise Server (AL02/240422/CSIRT-ITA) Aprile 22, 2024
    Rilasciati aggiornamenti di sicurezza che risolvono 3 vulnerabilità, di cui 2 con gravità “alta”, in GitHub Enterprise Server, nota piattaforma di sviluppo software.
  • Vulnerabilità in prodotti Solarwinds (AL01/240422/CSIRT-ITA) Aprile 22, 2024
    Rilevate 2 vulnerabilità di sicurezza con gravità “alta” in SolarWinds Platform. Tali vulnerabilità, qualora sfruttate, potrebbero permettere l’accesso e la manipolazione di informazioni sensibili sui dispositivi interessati.
  • La Settimana Cibernetica del 21 aprile 2024 Aprile 22, 2024
    Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 15 al 21 aprile 2024.
  • Risolte vulnerabilità in prodotti Cisco (AL04/240418/CSIRT-ITA) - Aggiornamento Aprile 19, 2024
    Aggiornamenti di sicurezza Cisco sanano alcune vulnerabilità, di cui 2 con gravità “alta” presenti nell'interfaccia web e nell'interfaccia a linea di comando (CLI) del prodotto Integrated Management Controller (IMC). Tali vulnerabilità qualora sfruttate, potrebbero permettere l’esecuzione di codice arbitrario sui dispositivi interessati.
  • Aggiornamenti per ClamAV (AL05/240418/CSIRT-ITA) Aprile 18, 2024
    Sanata vulnerabilità di sicurezza con gravità “alta” in ClamAV, noto software antivirus multipiattaforma open source. Tale vulnerabilità, qualora sfruttata, potrebbe permettere la compromissione della disponibilità del servizio sui dispositivi interessati.
  • Ivanti: risolte vulnerabilità nel prodotto Avalanche (AL03/240418/CSIRT-ITA) Aprile 18, 2024
    Ivanti rilascia aggiornamenti di sicurezza che risolvono molteplici vulnerabilità, di cui 2 con gravità “critica” e 17 con gravità “alta”, relative al prodotto Avalanche, soluzione di Enterprise Mobility Management (EMM) e Mobile Device Management (MDM). Tali vulnerabilità, qualora sfruttate, potrebbero permettere, a un utente malintenzionato remoto, la compromissione della disponibilità del servizio, l’esecuzione di codice […]
  • Rilevate vulnerabilità in prodotti Atlassian (AL02/240418/CSIRT-ITA) Aprile 18, 2024
    Aggiornamenti di sicurezza sanano 6 vulnerabilità con gravità “alta”, presenti nei propri prodotti.
  • Vulnerabilità in prodotti Solarwinds (AL01/240418/CSIRT-ITA) Aprile 18, 2024
    Rilevata vulnerabilità di sicurezza in SolarWinds Serv-U, software per il trasferimento dati sicuro (Managed File Transfer - MFT). Tale vulnerabilità, qualora sfruttata da un utente remoto con privilegi elevati, potrebbe permettere l’esecuzione di codice arbitrario sui sistemi interessati, attraverso la manipolazione impropria dei percorsi delle directory (Directory Traversal)
  • Aggiornamenti di sicurezza per prodotti Mozilla (AL03/240417/CSIRT-ITA) Aprile 17, 2024
    Mozilla ha rilasciato aggiornamenti di sicurezza per sanare alcune vulnerabilità, di cui 9 con gravità “alta”, nei prodotti Firefox e Firefox ESR.

RSS darkreading

RSS Full Disclosure

  • BACKDOOR.WIN32.DUMADOR.C / Remote Stack Buffer Overflow (SEH) Aprile 19, 2024
    Posted by malvuln on Apr 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2024 Original source: https://malvuln.com/advisory/6cc630843cabf23621375830df474bc5.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Dumador.c Vulnerability: Remote Stack Buffer Overflow (SEH) Description: The malware runs an FTP server on TCP port 10000. Third-party adversaries who can reach the server can send a specially […]
  • SEC Consult SA-20240418-0 :: Broken authorization in Dreamehome app Aprile 19, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Apr 19SEC Consult Vulnerability Lab Security Advisory < 20240418-0 > ======================================================================= title: Broken authorization product: Dreamehome app vulnerable version:
  • MindManager 23 - full disclosure Aprile 19, 2024
    Posted by Pawel Karwowski via Fulldisclosure on Apr 19Resending! Thank you for your efforts. GitHub - pawlokk/mindmanager-poc: public disclosure Affected application: MindManager23_setup.exe Platform: Windows Issue: Local Privilege Escalation via MSI installer Repair Mode (EXE hijacking race condition) Discovered and reported by: Pawel Karwowski and Julian Horoszkiewicz (Eviden Red Team) Proposed mitigation:...
  • CVE-2024-31705 Aprile 14, 2024
    Posted by V3locidad on Apr 14CVE ID: CVE-2024-31705 Title : RCE to Shell Commands" Plugin / GLPI Shell Command Management Interface Affected Product : GLPI - 10.X.X and last version Description: An issue in Infotel Conseil GLPI v.10.X.X and after allows a remote attacker to execute arbitrary code via the insufficient validation of user-supplied input. […]
  • SEC Consult SA-20240411-0 :: Database Passwords in Server Response in Amazon AWS Glue Aprile 14, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Apr 14SEC Consult Vulnerability Lab Security Advisory < 20240411-0 > ======================================================================= title: Database Passwords in Server Response product: Amazon AWS Glue vulnerable version: until 2024-02-23 fixed version: as of 2024-02-23 CVE number: - impact: medium homepage: https://aws.amazon.com/glue/ found:...
  • [KIS-2024-03] Invision Community <= 4.7.16 (toolbar.php) Remote Code Execution Vulnerability Aprile 11, 2024
    Posted by Egidio Romano on Apr 10------------------------------------------------------------------------------ Invision Community
  • [KIS-2024-02] Invision Community <= 4.7.15 (store.php) SQL Injection Vulnerability Aprile 11, 2024
    Posted by Egidio Romano on Apr 10-------------------------------------------------------------------- Invision Community
  • Multiple Issues in concretecmsv9.2.7 Aprile 11, 2024
    Posted by Andrey Stoykov on Apr 10# Exploit Title: Multiple Web Flaws in concretecmsv9.2.7 # Date: 4/2024 # Exploit Author: Andrey Stoykov # Version: 9.2.7 # Tested on: Ubuntu 22.04 # Blog: http://msecureltd.blogspot.com Verbose Error Message - Stack Trace: 1. Directly browse to edit profile page 2. Error should come up with verbose stack trace […]
  • OXAS-ADV-2024-0001: OX App Suite Security Advisory Aprile 11, 2024
    Posted by Martin Heiland via Fulldisclosure on Apr 10Dear subscribers, We&apos;re sharing our latest advisory with you and like to thank everyone who contributed in finding and solving those vulnerabilities. Feel free to join our bug bounty programs for OX App Suite, Dovecot and PowerDNS at YesWeHack. This advisory has also been published at https://documentation.open-xchange.com/appsuite/security/advisories/html/2024/oxas-adv-2024-0001.html. […]
  • Trojan.Win32.Razy.abc / Insecure Permissions (In memory IPC) Aprile 11, 2024
    Posted by malvuln on Apr 10Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2024 Original source: https://malvuln.com/advisory/0eb4a9089d3f7cf431d6547db3b9484d.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Razy.abc Vulnerability: Insecure Permissions (In memory IPC) Family: Razy Type: PE32 MD5: 0eb4a9089d3f7cf431d6547db3b9484d SHA256: 3d82fee314e7febb8307ccf8a7396b6dd53c7d979a74aa56f3c4a6d0702fd098 Vuln ID: MVID-2024-0678...

Customers

Newsletter

{subscription_form_2}