DeepSeek sotto attacco informatico a causa di preoccupazioni per la sicurezza

L'azienda cinese DeepSeek ha scosso i mercati finanziari questa settimana, causando una perdita di circa 1 trilione di dollari di capitalizzazione di mercato. Lunedì, il Nasdaq è crollato del 3,1%, con le azioni di Nvidia in calo del 17% e registrando una perdita record di 593 miliardi di dollari.

Subito dopo, DeepSeek ha annunciato di aver subito un attacco informatico che ha bloccato le registrazioni di nuovi utenti. Contemporaneamente, i ricercatori hanno individuato vulnerabilità nel modello open source R1.

DeepSeek, fondata nel 2023, afferma che R1 è all'altezza di ChatGPT e Gemini, ma richiede meno risorse computazionali rispetto a questi ultimi. Tuttavia, esperti di sicurezza informatica hanno dimostrato che il modello è vulnerabile a jailbreak che consentono la creazione di contenuti dannosi, come ransomware e istruzioni per esplosivi.

DeepSeek ha inoltre avvertito gli utenti di truffe sui social media e non ha ancora fornito dettagli sull'attacco, che sembra essere stato un DDoS. L'incidente solleva dubbi sulla sicurezza dei modelli AI cinesi, con esperti che avvertono dei rischi per la privacy, soprattutto alla luce delle preoccupazioni degli Stati Uniti su piattaforme di proprietà straniera come TikTok.

Gli hacker sfruttano le vulnerabilità di SimpleHelp RMM

I criminali informatici stanno presumibilmente sfruttando vulnerabilità recentemente corrette nel software SimpleHelp Remote Monitoring and Management (RMM) per ottenere l'accesso ai sistemi target.

Le falle di sicurezza (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728) permettono agli attaccanti di scaricare e caricare file ed elevare i privilegi a livello di amministratore. Horizon3 ha segnalato le vulnerabilità due settimane fa, e SimpleHelp ha rilasciato patch tra l'8 e il 13 gennaio.

I ricercatori hanno osservato campagne di attacchi mirate ai server SimpleHelp, anche se non è stato ancora confermato se queste vulnerabilità siano la causa principale.

Secondo Shadowserver, ci sono 580 istanze vulnerabili di SimpleHelp attive online, di cui 345 negli Stati Uniti. Gli aggressori stanno sfruttando installazioni esistenti del software per ottenere l'accesso ai sistemi e raccogliere informazioni.

Si raccomanda agli utenti di aggiornare immediatamente il software o di disinstallarlo se non è più necessario. Maggiori dettagli sono disponibili nel bollettino di sicurezza di SimpleHelp.

Violazione dei dati di UnitedHealth: sono stati colpiti 190 milioni di americani

UnitedHealth ha rivelato che 190 milioni di americani hanno subito il furto dei loro dati sanitari e personali nell’attacco ransomware contro Change Healthcare, quasi il doppio della stima iniziale di 100 milioni.

I dati sottratti includono informazioni sanitarie, registri medici, dettagli di fatturazione e dati sensibili come indirizzi, numeri di telefono e numeri di sicurezza sociale. Sebbene UnitedHealth affermi che non ci siano prove di un uso illecito, l'entità della violazione rende questa la più grande compromissione di dati sanitari nella storia degli Stati Uniti.

L’attacco, avvenuto nel febbraio 2024, è stato condotto dal gruppo ransomware BlackCat, che ha utilizzato credenziali rubate per penetrare nella rete. UnitedHealth ha pagato un riscatto iniziale di 22 milioni di dollari, ma successivamente è stato richiesto un secondo pagamento per evitare la divulgazione dei dati.

L’attacco ha causato gravi disagi al sistema sanitario statunitense, con perdite finanziarie stimate in 2,45 miliardi di dollari.

Smiths Group ha rivelato una violazione informatica

Il colosso ingegneristico britannico Smiths Group ha rivelato di aver subito una violazione della sicurezza, con hacker che hanno ottenuto l'accesso non autorizzato ai suoi sistemi. L’azienda, che opera nei settori dell’energia, della sicurezza, dell’aerospazio e della difesa, ha registrato un fatturato di 3,1 miliardi di sterline nel 2023 e impiega oltre 15.000 persone in 50 Paesi.

In una comunicazione alla Borsa di Londra, Smiths ha confermato di aver isolato i sistemi compromessi e attivato i piani di continuità operativa aziendale. L’azienda sta collaborando con esperti di sicurezza informatica per valutare l’impatto e ripristinare i sistemi compromessi.

Smiths non ha ancora confermato quando l’attacco è stato rilevato né se siano stati rubati dati aziendali o dei clienti. Questo incidente segue attacchi informatici recenti contro aziende come Conduent, Hewlett Packard Enterprise e Nominet, evidenziando una crescente ondata di minacce globali.

L’UE sanziona agenti del GRU russo per spionaggio informatico in Estonia

L’Unione Europea ha sanzionato tre cittadini russi per il loro coinvolgimento in una campagna di spionaggio informatico del 2020 contro le agenzie governative estoni.

I tre individui, Nikolay Korchagin, Vitaly Shevchenko e Yuriy Denisov, fanno parte dell’Unità 29155 del GRU, un’unità dell’intelligence militare russa nota per operazioni cibernetiche e segrete.

Secondo l’UE, gli hacker hanno violato diversi ministeri estoni, tra cui Affari Economici, Affari Sociali ed Esteri, rubando migliaia di documenti classificati contenenti segreti aziendali e dati sanitari.

Le sanzioni impongono il congelamento dei beni e il divieto di viaggio nei paesi dell’UE, con restrizioni sui finanziamenti.

L’Unità 29155 è stata collegata a diverse operazioni destabilizzanti, tra cui l’avvelenamento di Skripal nel 2018 e attacchi informatici come WhisperGate contro l’Ucraina. Gli Stati Uniti offrono una ricompensa fino a 10 milioni di dollari per informazioni che portino alla cattura di Korchagin e Denisov.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.