Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Human Risk Roundup: Un worm autoreplicante, un arresto nel Regno Unito e un allarme per un account Facebook

    Oltre 180 pacchetti NPM sono stati colpiti, due adolescenti sono stati arrestati e gli utenti di Facebook sono stati ingannati.

    by Cheryl Zupan
    roundup-Blog.jpg

    Key Points

    • Un malware autoreplicante chiamato "Shai-Hulud" ruba le credenziali degli sviluppatori, le utilizza per modificare e ripubblicare pacchetti popolari ed espone i dati rubati sui repository pubblici di GitHub.
    • Due adolescenti, legati al gruppo di hacker Scattered Spider, sono stati arrestati nel Regno Unito per il loro coinvolgimento nel cyberattacco 2024 ai Trasporti di Londra.
    • Gli utenti sono stati indotti a scaricare un malware attraverso e-mail di phishing che sostenevano che il loro account Facebook sarebbe stato cancellato se non avessero presentato un appello.

    In questa edizione di Human Risk Roundup, ci immergiamo in tre eventi recenti di alto profilo e degni di nota - continui a leggere per maggiori informazioni.

    Il worm autoreplicante colpisce oltre 180 pacchetti software

    Un malware autoreplicante chiamato "Shai-Hulud" ha infettato oltre 180 pacchetti NPM, rubando le credenziali degli sviluppatori e diffondendosi incorporando se stesso in altri pacchetti utilizzando token di autenticazione rubati. L'attacco, che sfrutta i repository JavaScript, evidenzia le vulnerabilità negli aggiornamenti automatici dei pacchetti e sottolinea la necessità di misure di sicurezza più severe, come l'autenticazione a due fattori a prova di phish.

    Cosa è successo

    Questo worm ruba le credenziali degli sviluppatori, le utilizza per modificare e ripubblicare pacchetti popolari ed espone i dati rubati sui repository pubblici di GitHub. Il malware si propaga sfruttando i token di autenticazione NPM rubati e strumenti come TruffleHog per cercare informazioni sensibili. L'attacco si rivolge principalmente agli ambienti Linux e macOS, saltando i sistemi Windows, ed è stato descritto come una minaccia vivente "" in grado di riattivarsi se innescata. Gli esperti sottolineano la necessità di misure di sicurezza più severe, come l'autenticazione a due fattori verificata dall'uomo, per prevenire attacchi simili alla catena di approvvigionamento in futuro.

    Perché è importante

    Il worm Shai-Hulud rappresenta una minaccia significativa per il personale della cybersecurity, sfruttando la catena di fornitura del software. Questo attacco evidenzia le vulnerabilità nei processi di pubblicazione automatica dei pacchetti, sottolineando la necessità di misure di sicurezza più severe, come una robusta autenticazione a due fattori. La capacità del worm di diffondersi rapidamente e di creare archivi pubblici con le credenziali rubate sottolinea i rischi dell'esposizione delle credenziali e degli attacchi alla catena di approvvigionamento. I team di sicurezza informatica devono agire rapidamente per contenere tali minacce, poiché anche un single sviluppatore compromesso può riaccendere la diffusione del worm. Questo incidente serve come campanello d'allarme per il settore, che deve dare priorità alla sicurezza dei repository dei pacchetti e degli ambienti degli sviluppatori.

    Quattro consigli pratici per i leader della sicurezza

    1. Richiedere il consenso umano esplicito per ogni richiesta di pubblicazione, utilizzando un metodo 2FA robusto.
    2. Si assicuri che gli sviluppatori ruotino frequentemente i loro token di autenticazione NPM, GitHub e altri per ridurre al minimo il rischio che le credenziali rubate vengano utilizzate per scopi dannosi.
    3. Monitorare continuamente i pacchetti di codice e le dipendenze per individuare eventuali segni di compromissione.
    4. Conduce una formazione regolare per aiutare gli sviluppatori a riconoscere ed evitare i tentativi di phishing, come le false richieste di aggiornamento delle impostazioni di autenticazione a più fattori, che sono state utilizzate in questo attacco.

    Per saperne di più sull'attacco.

    Il Regno Unito arresta gli adolescenti di 'Scattered Spider' legati all'hacking di Transport for London

    Due adolescenti, legati al gruppo di hacker Scattered Spider, sono stati arrestati nel Regno Unito per il loro coinvolgimento nel cyberattacco 2024 contro Transport for London, che ha causato interruzioni significative e perdite finanziarie. I sospetti sono accusati di abuso di computer, frode e altri attacchi informatici, tra cui il bersaglio di organizzazioni sanitarie statunitensi e schemi di estorsione in tutto il mondo.

    Cosa è successo

    Owen Flowers e Thalha Jubair sarebbero stati coinvolti nel cyberattacco dell'agosto 2024. Entrambi sono ritenuti membri del gruppo di hacking Scattered Spider, con Flowers che è anche collegato ad attacchi a società sanitarie statunitensi. L'attacco di TfL ha messo in crisi i sistemi interni e i servizi online, rivelando in seguito i dati compromessi dei clienti. Jubair deve affrontare ulteriori accuse negli Stati Uniti per oltre 120 violazioni di rete e attacchi di estorsione, con le vittime che hanno pagato almeno 115 milioni di dollari in riscatti. La National Crime Agency ha sottolineato la significativa interruzione causata dall'attacco a TfL, parte dell'infrastruttura critica del Regno Unito. Questo caso sottolinea la crescente minaccia del crimine informatico da parte di gruppi come Scattered Spider.

    Perché è importante

    Gli arresti evidenziano la crescente minaccia di cyberattacchi che colpiscono le infrastrutture critiche. Questo caso sottolinea l'importanza di solide misure di cybersecurity, poiché l'attacco ha causato interruzioni significative ed esposto i dati dei clienti. Il coinvolgimento di giovani nel crimine informatico sofisticato dimostra l'accessibilità degli strumenti di hacking e la necessità di un'educazione proattiva e di una deterrenza. Inoltre, le presunte connessioni dei sospetti con gli attacchi alle organizzazioni sanitarie statunitensi rivelano la portata e l'impatto globale di questi gruppi di criminali informatici. Il caso sottolinea anche l'importanza della collaborazione internazionale nella lotta al crimine informatico, in quanto sono coinvolte sia le autorità del Regno Unito che quelle degli Stati Uniti. Per il personale della cybersecurity, questo incidente serve a ricordare di dare priorità al rilevamento delle minacce, alle strategie di risposta e alla protezione dei dati sensibili.

    Quattro consigli pratici per i leader della sicurezza

    1. Implementare misure di sicurezza solide, tra cui valutazioni regolari della vulnerabilità e piani di risposta agli incidenti, per proteggere questi servizi essenziali.
    2. Rimanga informato sui collettivi attivi di criminalità informatica, come Scattered Spider, e sulle loro tattiche, che possono aiutare ad anticipare le potenziali minacce e ad adattare le difese di conseguenza.
    3. Assicuri una crittografia forte, controlli di accesso e audit regolari per salvaguardare le informazioni sensibili.
    4. Collabori strettamente con le agenzie governative e condivida l'intelligence e le prove, perché questo può aiutare a rintracciare e perseguire efficacemente i criminali informatici.

    Per saperne di più sugli arresti.

    La campagna di FileFix utilizza la sospensione di Facebook come esca

    La campagna di FileFix sfrutta l'ingegneria sociale, inducendo gli utenti a scaricare un malware con il pretesto di risolvere la sospensione di un account Facebook. Questo attacco sofisticato utilizza e-mail di phishing, steganografia e payload offuscati per distribuire l'infostealer StealC, prendendo di mira le credenziali del browser, i portafogli di criptovalute e altro ancora in diversi Paesi.

    Cosa è successo

    Le vittime sono state adescate tramite e-mail di phishing che sostenevano che il loro account Facebook sarebbe stato cancellato se non avessero presentato un appello. Il sito di phishing chiede agli utenti di aprire un falso File Explorer e di incollare un comando dannoso, che esegue uno script PowerShell in background. Questo script scarica un'immagine contenente codice maligno nascosto tramite steganografia, che poi estrae ed esegue ulteriori payload. Il payload finale, StealC, è un infostealer avanzato che mira alle credenziali del browser, ai portafogli di criptovalute e ad altri dati sensibili. La campagna utilizza tecniche di offuscamento e opera a livello globale, indicando attacchi opportunistici piuttosto che targeted attack.

    Perché è importante

    La campagna FileFix rappresenta un'evoluzione significativa negli attacchi di ingegneria sociale, sfruttando la paura della sospensione dell'account Facebook per manipolare le vittime e indurle a eseguire il malware. Questo dimostra come gli aggressori stiano affinando le tecniche, come l'uso della steganografia per nascondere i payload malevoli nelle immagini, rendendo più difficile il rilevamento. L'utilizzo da parte della campagna di e-mail di phishing e di falsi messaggi di "Meta Help Support" evidenzia la continua minaccia del phishing come vettore di attacco primario. Prendendo di mira le credenziali, i portafogli di criptovalute e i servizi cloud, l'attacco rappresenta un ampio rischio sia per gli individui che per le organizzazioni. La sua portata globale e la capacità di adattare i metodi di offuscamento la rendono una minaccia versatile e pericolosa. I team di cybersecurity devono rimanere vigili, migliorare le capacità di rilevamento ed educare gli utenti per mitigare i rischi posti da campagne così sofisticate.

    Quattro consigli pratici per i leader della sicurezza

    1. Istruisca i dipendenti a riconoscere le e-mail di phishing e i messaggi sospetti, come quelli che imitano "Meta Help Support" o che li esortano a intraprendere azioni immediate per evitare la sospensione dell'account.
    2. Utilizzi strumenti in grado di identificare i payload steganografici e il malware che elude le sandbox, poiché queste tecniche sono sempre più utilizzate negli attacchi sofisticati.
    3. Rimanga vigile per gli IoC legati a campagne come FileFix, che prendono di mira gli utenti a livello globale con payload offuscati e esche di phishing.
    4. Assicurarsi che i sistemi di protezione degli endpoint siano in grado di rilevare e bloccare gli script dannosi, come i comandi PowerShell, e di impedire l'esecuzione di file non autorizzati.

    Per saperne di più sulla campagna.

    roundup-Blog.jpg
    Up Next
    Security Awareness Training |
    Riassunto dei rischi per gli esseri umani: Bombe via e-mail, attacchi basati sul browser e aziende di droni

    Related Articles

    Security Awareness Training
    Come misurare l'Human Risk: 7 metriche chiave
    Security Awareness Training
    Semplificare le strategie di cybersecurity: Il ruolo dell'Human Risk Management
    Security Awareness Training
    Riassunto dei rischi per gli esseri umani: Bombe via e-mail, attacchi basati sul browser e aziende di droni

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top