Buon sabato e ben ritrovato caro cyber User.

Gli attacchi informatici continuano a colpire in modo massiccio i dati sensibili e le infrastrutture critiche. Dai recenti incidenti negli USA, che hanno coinvolto informazioni sanitarie e telecomunicazioni, alle nuove minacce di malware che prendono di mira gli utenti di criptovalute, analizziamo i principali eventi cyber della settimana.

Violazione della piattaforma Change Healthcare colpisce 100 milioni di persone

Il gruppo ALPHV/BlackCat ha colpito la piattaforma di pagamento sanitario di UnitedHealth Group a febbraio 2024, esfiltrando informazioni sensibili di circa 100 milioni di pazienti. Secondo il CEO Andrew Witty, “forse un terzo” degli americani è stato colpito, rendendo questo attacco la più grande violazione di dati sanitari mai registrata negli Stati Uniti. UnitedHealth ha pagato un riscatto di 22 milioni di dollari per ripristinare i sistemi, ma il gruppo di ransomware è scomparso con il denaro, spingendo il gruppo affiliato responsabile dell’attacco a formare una nuova operazione e a chiedere un secondo riscatto.

Operazione Magnus: Stop ai malware Redline e Meta

In una massiccia operazione internazionale, la polizia olandese e l’FBI hanno sequestrato server e infrastrutture usate dai malware Redline e Meta, noti per rubare dati sensibili e credenziali di accesso. Conosciuta come Operazione Magnus, l’operazione ha permesso alle autorità di accedere al codice sorgente dei malware e ai dati dei criminali, aprendo la strada a possibili future azioni legali. È stato anche attivato un sito web dedicato con un conto alla rovescia per il rilascio di ulteriori dettagli.

La Cina nel mirino delle telecomunicazioni statunitensi

Il Cyber Safety Review Board (CSRB) degli Stati Uniti ha avviato un’indagine su presunti attacchi cibernetici cinesi contro le reti di telecomunicazione statunitensi. Secondo il New York Times, i cellulari di figure di alto profilo, inclusi l’ex presidente Donald Trump e il senatore JD Vance, sono stati presi di mira in un tentativo di raccolta d’intelligence. La CISA e l’FBI hanno confermato che le indagini sono in corso, segnalando l’ingresso non autorizzato in infrastrutture commerciali di telecomunicazioni da parte di attori cinesi.

Midnight Blizzard colpisce con spearphishing

Midnight Blizzard (noto anche come Cozy Bear o APT29), un gruppo affiliato all’intelligence russa, ha lanciato una nuova campagna di spearphishing utilizzando file RDP firmati per colpire oltre un centinaio di organizzazioni nei settori governativo, accademico e della difesa. Microsoft ha spiegato che i file .RDP consentono agli hacker di accedere ai dispositivi locali e alle risorse di rete delle vittime, mappando bidirezionalmente dispositivi e periferiche locali, e potenzialmente installando malware per mantenere l’accesso anche dopo la chiusura della sessione RDP.

Gli hacker cinesi prendono di mira le reti governative canadesi

Il Canadian Centre for Cyber Security (CCCS) ha rilasciato il suo National Cyber Threat Assessment per il 2025-2026, rivelando che almeno 20 agenzie governative canadesi sono state compromesse da attacchi sponsorizzati dalla Cina. Il rapporto evidenzia che il programma cyber della Repubblica Popolare Cinese è attualmente la minaccia statale più attiva e sofisticata per il Canada, con operazioni che includono spionaggio, furto di proprietà intellettuale e influenza maligna. Tra gli avversari del Canada, il programma cyber cinese è descritto come “senza pari in termini di portata e risorse”.

Malware PyPI prende di mira i trader di criptovalute

Un nuovo pacchetto PyPI malevolo prende di mira utenti di criptovalute tramite un’interfaccia utente grafica (GUI) che imita strumenti di trading legittimi. Checkmarx ha scoperto che il malware si presenta come una suite di strumenti per il trading sicuro, distraendo l’utente con una finta schermata di configurazione. Nel frattempo, il malware esegue operazioni in background, rubando dati e manipolando il sistema. Questo attacco evidenzia l’importanza di verificare attentamente la provenienza degli strumenti utilizzati per il trading di criptovalute.

😋 FunFact

La storia divertente di oggi ce la mette a disposizione Il Fatto Quotidiano con un articolo dirompente sulla situazione attuale della nostra ACN (Agenzia per la Cybersicurezza Nazionale), dopo le recenti polemiche che la vedono protagonista con insider che hanno prodotto materiale per Equalize e attualmente sotto inchiesta.

Secondo l’attuale paradigma le competenze vanno in secondo piano in favore della managerialità: infatti le posizioni sono piene di dirigenti (172 + 61 collaboratori) e invece scarseggiano i dipendenti del CSIRT (80), che sono pure in sciopero. Bene per l’elasticità sui curricula, ma è inutile riempiersi di manager e dirigenti che per trent’anni hanno dormito sogni profondi nell’IT, svegliandosi a novembre 2022 con l’AI, mentre fior fiore di “nerd” studiavano e sperimentavano come si butta giù Internet.

L'articolo mette in evidenza una serie di problematiche significative riguardanti l'Agenzia per la Cybersicurezza Nazionale e la sua gestione attuale. Una delle principali preoccupazioni è il nepotismo che sembra caratterizzare le assunzioni all'interno dell'Agenzia. Si segnala che molti incarichi sono stati assegnati a parenti, ex segretari e collaboratori, piuttosto che a professionisti con una solida esperienza nel campo della cybersicurezza. Questa situazione solleva dubbi sulla competenza del personale e sulla capacità dell'Agenzia di affrontare le sfide sempre più complesse della sicurezza informatica.

Inoltre, la mancanza di trasparenza nelle procedure relative a bonus e promozioni ha generato un clima di insoddisfazione tra i dipendenti, portando i sindacati a minacciare scioperi. Le critiche alla gestione di Bruno Frattasi, attuale direttore dell'Agenzia, si intensificano, con accuse di favoritismi e promozioni basate su relazioni personali piuttosto che su meriti professionali. Questo ha contribuito a una percezione di inefficacia e scarsa professionalità all'interno dell'organizzazione.

La situazione è ulteriormente complicata dalla crescente preoccupazione per la sicurezza nazionale. Nonostante l'Agenzia abbia un ruolo cruciale nella protezione dei dati e della sicurezza informatica in Italia, la sua attuale gestione potrebbe compromettere la sicurezza del paese, soprattutto in un contesto in cui gli attacchi hacker sono in aumento e il sistema appare vulnerabile.

Infine, l'articolo sottolinea anche il conflitto politico che circonda la gestione della cybersicurezza, con divergenze tra le forze politiche su come affrontare i reati cibernetici e sul ruolo dell'Agenzia. Questo scontro potrebbe influenzare negativamente le decisioni e le strategie necessarie per migliorare la sicurezza informatica in Italia. In sintesi, l'Agenzia per la Cybersicurezza Nazionale si trova di fronte a sfide significative che richiedono riforme urgenti per garantire una gestione più efficace e competente della cybersicurezza nel paese.

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

buttondown.com/ninasec/archive…