Apple conferma attacchi Zero-Day rivolti ai Mac basati su Intel e rilascia aggiornamenti di sicurezza critici

Apple ha rilasciato aggiornamenti di sicurezza urgenti per macOS e iOS per affrontare due vulnerabilità zero-day sfruttate attivamente sui sistemi Mac basati su Intel. Le falle, identificate come CVE-2024-44308 e CVE-2024-44309, si trovano in JavaScriptCore e WebKit, rispettivamente. Lo sfruttamento di queste vulnerabilità potrebbe consentire agli attaccanti di eseguire codice arbitrario o condurre attacchi di cross-site scripting attraverso contenuti web dannosi.

Per mitigare questi rischi, Apple ha rilasciato aggiornamenti per iOS 18.1.1, macOS Sequoia 15.1.1 e iOS 17.7.2 per i dispositivi più datati. Si consiglia vivamente agli utenti di installare questi aggiornamenti prontamente per proteggere i propri sistemi da potenziali attacchi.

Questo sviluppo segue recenti rapporti su attori informatici nordcoreani che prendono di mira gli utenti macOS con campagne malware che coinvolgono email di phishing e applicazioni PDF false. Questi incidenti evidenziano l'attenzione crescente degli attori di minacce sulle piattaforme macOS, sottolineando la necessità per gli utenti di mantenere aggiornate le misure di sicurezza.

La ricorrenza di exploit zero-day rivolti ai sistemi macOS enfatizza l'importanza di una vigilanza continua e aggiornamenti software tempestivi per proteggersi dalle minacce emergenti.

Il gruppo ransomware Akira rilascia una fuga di dati, colpendo 35 vittime in un solo giorno

Il gruppo ransomware Akira ha pubblicato i dati di 35 vittime sul suo sito di fuga dati nel darknet in un solo giorno, segnando un'impennata senza precedenti delle sue attività criminali. Apparso per la prima volta nel marzo 2023, Akira opera come piattaforma ransomware-as-a-service, permettendo agli affiliati di estorcere vittime rubando e criptando dati. Nel suo primo anno, il gruppo ha accumulato 42 milioni di dollari da circa 250 attacchi, secondo l'FBI.

La recente fuga di massa include 32 nuove vittime, prevalentemente nel settore dei servizi aziendali negli Stati Uniti, con obiettivi aggiuntivi in Canada, Germania e Regno Unito. Il ricercatore di sicurezza informatica Adi Bleih ha osservato che questo volume di divulgazioni simultanee è altamente insolito, suggerendo una possibile escalation delle operazioni di Akira. Il sito di fuga del gruppo, progettato come le interfacce dei computer degli anni '80, include sezioni per le vittime recenti e i dati pubblicati, fungendo da strumento per l'estorsione.

Questo sviluppo solleva preoccupazioni sull'aumento della sofisticazione e aggressività dei gruppi ransomware. Le organizzazioni sono invitate a rafforzare le proprie misure di sicurezza informatica per mitigare il rischio di tali attacchi. L'incredibile scala delle recenti fughe di dati di Akira sottolinea la necessità critica di vigilanza e protocolli di sicurezza robusti di fronte alle minacce informatiche in evoluzione.

Il gruppo ransomware Helldown sfrutta vulnerabilità Zyxel VPN per violare reti e criptare dati

Il gruppo ransomware Helldown sta sfruttando vulnerabilità nei firewall Zyxel per infiltrarsi nelle reti aziendali, rubare dati e criptare sistemi. L'azienda francese di sicurezza informatica Sekoia segnala che Helldown si è espanso rapidamente dalla sua comparsa a metà 2024, elencando numerose vittime sul proprio portale di estorsione dati.

Documentato inizialmente da Cyfirma nell'agosto 2024, la variante Windows di Helldown si basa sul costruttore LockBit 3 trapelato, condividendo somiglianze operative con i ransomware Darkrace e Donex. Una variante Linux mirata ai file VMware è stata identificata da 360NetLab in ottobre, indicando sforzi di sviluppo in corso.

Si ritiene che il gruppo sfrutti vulnerabilità critiche nei firewall Zyxel, come CVE-2023-33009 e CVE-2023-33010, entrambe legate a problemi di overflow del buffer che permettono agli attaccanti non autenticati di eseguire codice da remoto o causare condizioni di denial-of-service. Zyxel ha rilasciato patch per queste vulnerabilità nel maggio 2023, invitando gli utenti ad aggiornare prontamente i propri sistemi.

Questo sviluppo sottolinea l'importanza di aggiornamenti software tempestivi e misure di sicurezza informatica robuste per proteggersi dalle minacce ransomware in evoluzione. Si consiglia alle organizzazioni di rivedere i propri protocolli di sicurezza di rete e assicurarsi che tutti i dispositivi siano aggiornati per mitigare i rischi potenziali.

Gang ransomware russe reclutano Penetration Tester per rafforzare le operazioni criminali

Le gang ransomware russe, tra cui Apos, Lynx e Rabbit Hole, stanno attivamente reclutando penetration tester per migliorare le loro operazioni criminali. Queste bande pubblicano annunci di lavoro su forum in lingua russa, cercando individui con competenze nell'identificazione delle vulnerabilità dei sistemi.

I penetration test simulano attacchi informatici per individuare debolezze di sicurezza, una pratica tradizionalmente utilizzata da organizzazioni legittime per rafforzare le difese. Tuttavia, questi gruppi ransomware stanno sfruttando tali competenze per migliorare l'efficacia delle loro attività maligne. Questa tendenza evidenzia la crescente professionalizzazione nell'ecosistema criminale informatico, dove il reclutamento strutturato e i ruoli specializzati stanno diventando più comuni.

T-Mobile conferma una violazione tra una serie di attacchi alle telecomunicazioni legati ad attori di minaccia cinesi

T-Mobile ha confermato il proprio coinvolgimento in una serie di recenti violazioni delle telecomunicazioni attribuite ad attori di minaccia cinesi, mirate ad accedere a comunicazioni private, registri di chiamate e richieste di informazioni da parte delle forze dell'ordine. L'azienda ha dichiarato che, nonostante la violazione, non ci sono prove di impatti significativi sui suoi sistemi o sui dati dei clienti. T-Mobile sta monitorando attivamente la situazione e collaborando con colleghi del settore e le autorità competenti per affrontare il problema.
Questo incidente fa parte di una campagna più ampia che prende di mira diverse aziende di telecomunicazioni negli Stati Uniti, tra cui AT&T, Verizon e Lumen Technologies. Le violazioni hanno sollevato preoccupazioni sulla sicurezza delle informazioni sensibili nel settore delle telecomunicazioni.
La pronta risposta di T-Mobile sottolinea l'importanza della vigilanza e di misure di sicurezza robuste per proteggere i dati dei clienti da minacce informatiche sofisticate. L'azienda continua a lavorare a stretto contatto con le autorità per mitigare eventuali rischi derivanti da questa violazione.

Il colosso fintech Finastra indaga su una violazione dei dati dopo l'hack del sistema SFTP

Finastra, un leader nella tecnologia finanziaria, sta indagando su una violazione dei dati in seguito all'accesso non autorizzato alla sua piattaforma di trasferimento file sicuri (SFTP) avvenuto il 7 novembre 2024. La violazione ha coinvolto credenziali compromesse, consentendo agli attaccanti di accedere al sistema SFTP.
Finastra serve oltre 8.000 istituzioni in 130 paesi, tra cui 45 delle 50 principali banche mondiali. L'azienda ha coinvolto esperti esterni di cybersecurity per assistere nell'indagine e ha notificato i clienti coinvolti. Un attore di minaccia, identificato come "abyss0", ha rivendicato la responsabilità, sostenendo di essere in possesso di 400GB di dati rubati. Finastra non ha confermato la validità di questa affermazione. L'incidente evidenzia l'importanza critica di misure di sicurezza robuste per proteggere dati finanziari sensibili.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.