Rete ospedaliera del Regno Unito ritarda le procedure a seguito di un attacco informatico

Questa settimana, il Wirral University Teaching Hospital (WUTH), parte del NHS Foundation Trust, ha subito un grave attacco informatico che ha interrotto i servizi in tutte le sue strutture. La violazione, resa pubblica lunedì, ha portato alla disattivazione dei sistemi informatici, costringendo l'ospedale a operare manualmente, causando ritardi negli appuntamenti e nelle procedure.

Il WUTH gestisce l'Arrowe Park Hospital, il Clatterbridge Hospital e il Wirral Women and Children's Hospital, offrendo servizi critici come cure d'urgenza, interventi chirurgici e trattamenti oncologici. Il disservizio ha aumentato i tempi di attesa e limitato la disponibilità di servizi diagnostici, tra cui radiografie e trattamenti.

Un portavoce del WUTH ha dichiarato: “È stata rilevata un’attività sospetta e i sistemi sono stati isolati per precauzione. Abbiamo ripristinato i processi manuali per garantire la continuità del servizio, ma i ritardi sono inevitabili.”

Il personale ha descritto le conseguenze come gravi. “Senza sistemi digitali, tutto viene fatto manualmente, rendendo le operazioni estremamente difficili,” ha dichiarato un dipendente al ECHO. I pazienti sono stati informati che gli interventi chirurgici e i trattamenti non sono attualmente disponibili, senza una tempistica per il ripristino.

L’ospedale ha invitato il pubblico a riservare le visite di emergenza solo per reali necessità, al fine di evitare di sovraccaricare i servizi.

Nessun gruppo ransomware ha rivendicato l’attacco, e la natura dell’attacco rimane sconosciuta. Attualmente, gli sforzi di recupero continuano, ma il danno alle operazioni ospedaliere è significativo.

Questo incidente evidenzia la necessità critica di difese informatiche robuste nel settore sanitario, poiché le organizzazioni rimangono obiettivi primari per i cybercriminali.

Operazione Serengeti: arrestati oltre 1.000 sospetti cybercriminali in Africa

Le forze dell’ordine di 19 nazioni africane, coordinate da Interpol e Afripol, hanno arrestato 1.006 individui nell’ambito dell’Operazione Serengeti, mirata a cybercriminali coinvolti in ransomware, compromissione delle email aziendali (BEC), estorsione digitale e truffe online. L’operazione, condotta dal 2 settembre al 31 ottobre, ha smantellato 134.089 infrastrutture dannose collegate a perdite finanziarie globali di quasi 193 milioni di dollari.

Tra i successi principali figurano la repressione in Kenya di un giro di frode con carte di credito da 8,6 milioni di dollari e lo smantellamento in Senegal di uno schema Ponzi da 6 milioni di dollari. La Nigeria ha arrestato un individuo responsabile di truffe in criptovalute per un totale di 300.000 dollari, mentre il Camerun ha interrotto una truffa di marketing che trafficava vittime da sette paesi. L’Angola ha smantellato una frode con casinò virtuali, arrestando 150 persone e sequestrando centinaia di dispositivi.

L’Operazione Serengeti ha recuperato 44 milioni di dollari e sottolinea il ruolo cruciale della collaborazione internazionale nel combattere il cybercrimine, con partner operativi come Fortinet, Kaspersky e Group-IB che hanno fornito intelligence fondamentale.

Attacco ransomware a Blue Yonder interrompe le catene di approvvigionamento

La società statunitense di software SaaS per la gestione delle catene di approvvigionamento, Blue Yonder, ha rivelato un attacco ransomware che ha causato significative interruzioni del servizio, lasciando i clienti alle prese con sfide operative.

L’incidente, segnalato il 21 novembre, ha colpito l’ambiente di servizi gestiti di Blue Yonder. Entro il 23 novembre, l’azienda ha annunciato progressi negli sforzi di recupero insieme a società esterne di sicurezza informatica, ma non ha potuto prevedere quando i sistemi torneranno pienamente operativi.

L’impatto è stato ampio. Starbucks ha riportato problemi con i sistemi di buste paga e pianificazione del personale, ma continua a operare. Nel Regno Unito, importanti rivenditori come Morrisons e Sainsbury’s sono tornati ai processi di backup, con Morrisons che ha riconosciuto disagi nelle catene di approvvigionamento che influenzano le consegne nei negozi.

Blue Yonder ha dichiarato di aver implementato "protocolli difensivi e forensi" ma ha fornito pochi dettagli aggiuntivi.

L’incidente sottolinea la vulnerabilità delle catene di approvvigionamento ai ransomware, ricordando crisi passate come l’attacco al Colonial Pipeline. Fortunatamente, questa interruzione sembra improbabile che influenzi le stagioni di vendita al dettaglio di punta negli Stati Uniti o nel Regno Unito.

Le aziende britanniche perdono 44 miliardi di sterline a causa degli attacchi informatici in cinque anni

Gli attacchi informatici hanno causato perdite di circa 44 miliardi di sterline (55,08 miliardi di dollari) in ricavi per le aziende britanniche negli ultimi cinque anni, con oltre la metà (52%) delle aziende del settore privato che ha segnalato almeno un incidente, secondo il broker assicurativo Howden.

In media, gli attacchi informatici rappresentano l'1,9% dei ricavi di un'azienda, con le organizzazioni più grandi—quelle che generano oltre 100 milioni di sterline annualmente—che risultano essere i bersagli più frequenti. I metodi di attacco più comuni sono stati le email compromesse (20%) e il furto di dati (18%).

Allarmante il dato secondo cui solo il 61% delle aziende intervistate utilizza software antivirus e appena il 55% ha implementato firewall di rete. I vincoli di costo e la mancanza di competenze IT interne sono stati indicati come barriere a difese informatiche più solide.

“Il crimine informatico è in aumento, con attori malintenzionati che sfruttano le vulnerabilità man mano che le aziende diventano sempre più dipendenti dalla tecnologia,” ha affermato Sarah Neild, capo del settore cyber retail di Howden nel Regno Unito.

Questi risultati si basano su un sondaggio condotto a settembre su 905 responsabili IT del settore privato britannico da YouGov.

Il gruppo di cybercriminali RomCom sfrutta due vulnerabilità zero-day in una campagna diffusa

Il gruppo di cybercriminali russi RomCom ha recentemente sfruttato due vulnerabilità zero-day in attacchi coordinati che hanno preso di mira utenti di Firefox e Tor Browser in Europa e Nord America.

La prima vulnerabilità (CVE-2024-9680), un errore di tipo use-after-free nella timeline delle animazioni di Firefox, ha permesso l'esecuzione di codice all'interno del sandbox del browser. Mozilla ha risolto il problema il 9 ottobre 2024. La seconda falla (CVE-2024-49039), un problema di escalation dei privilegi nel Task Scheduler di Windows, ha consentito agli aggressori di eseguire codice al di fuori del sandbox di Firefox. Microsoft ha affrontato questa vulnerabilità il 12 novembre.

RomCom ha combinato questi exploit per ottenere l'esecuzione remota del codice senza interazione dell'utente. Le vittime che visitavano siti web controllati dagli aggressori venivano compromesse, portando all'installazione del backdoor RomCom. Le analisi hanno rivelato che la campagna ha preso di mira anche gli utenti di Tor Browser tramite exploit JavaScript dannosi.

La telemetria di ESET indica che gli attacchi sono stati ampiamente diffusi, colpendo fino a 250 vittime per paese. RomCom continua a prendere di mira organizzazioni in Ucraina, Europa e Nord America in settori come governo, difesa ed energia, dimostrando capacità sofisticate e in evoluzione.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.