Organizzazioni sanitarie nel mirino
Le agenzie americane CISA (Cybersecurity and Infrastructure Security Agency), FBI (Federal Bureau of Investigation) e HHS (Department of Health and Human Services) hanno diramato recentemente un bollettino di sicurezza nel quale invitano, in particolare il settore Ospedaliero pubblico e privato, ad alzare l’attenzione verso potenziali minacce quali Ransomware Ryuk/Conti, malware Trickbot e malware BazarLoader.
Tramite una campagna di phishing e spear-phishing i cybercriminali adottano il malware Trickbot e BazarLoader installandolo su un computer vittima e, sfruttando in seguito tool quali Cobalt Strike, eseguono movimenti laterali con lo scopo di accedere ai server critici e compromettere l’infrastruttura interna adottando il ransomware Ryuk/Conti.
Si attendono attacchi imminenti, pertanto si consiglia di intraprendere le azioni di seguito indicate al fine di evitare o ridurre potenziali attacchi verso infrastrutture critiche:
- applicare regolarmente le patch di sicurezza a sistemi operativi, software e apparati hardware
- modificare regolarmente le password utilizzando password complesse nei sistemi e negli account di rete
- utilizzare l’autenticazione multi-fattore, ove possibile
- monitorare attivamente i log degli apparati di sistema e di rete per rilevare comportamenti anomali
- effettuare backup regolari dei dati e mantenere tali backup offline
- applicare sugli apparati di sicurezza (EDR, Firewall, Proxy) gli indicatori di compromissione (IoC) indicati nei bollettini di sicurezza
Di seguito i principali bollettini di sicurezza emessi da CSIRT italiano e CISA:
- https://csirt.gov.it/contenuti/possibili-attacchi-attraverso-ransomware-ryuk-al01-20201029-csirt-ita
- https://us-cert.cisa.gov/ncas/alerts/aa20-302a