I peggiori hack del 2021

Se il 2020 fosse l’anno dell’hacking del blocco pandemico, il 2021 è stata la stagione aperta per gli aggressori di tutto il mondo. Le bande di ransomware erano incredibilmente aggressive, prendendo di mira strutture sanitarie, scuole e infrastrutture critiche a un ritmo allarmante. E gli hacker hanno continuato a lanciare attacchi alla catena di approvvigionamento con ampie ricadute. Con la pandemia che ancora infuria sullo sfondo, gli amministratori di sistema, i soccorritori, le forze dell’ordine globali e i professionisti della sicurezza di ogni tipo hanno lavorato instancabilmente per contrastare la raffica. E i governi si sono affrettati a intraprendere azioni più concrete contro le minacce online.

Per ora, però, l’apparentemente infinito gioco del gatto e del topo continua. Come afferma John Scott-Railton, ricercatore senior presso il Citizen Lab dell’Università di Toronto, “Il 2021 è l’anno in cui ci stiamo rendendo conto che i problemi che abbiamo scelto di non risolvere anni o decenni fa stanno tornando uno dopo l’altro a perseguitarci. “

Ecco la retrospettiva di WIRED sulle peggiori violazioni, fughe di notizie, esposizioni di dati, attacchi ransomware, campagne di hacking sponsorizzate dallo stato e caos digitale dell’anno. Senza alcun segno di tregua nel 2022, guardati le spalle e stai al sicuro là fuori.

All’inizio di maggio, il ransomware ha colpito Colonial Pipeline, che gestisce un oleodotto di 5.500 miglia che trasporta quasi la metà del carburante della costa orientale (benzina, diesel e gas naturale) dal Texas fino al New Jersey. A seguito dell’attacco, l’azienda ha chiuso parti della pipeline sia per contenere il malware sia perché l’attacco ha messo offline i suoi sistemi di fatturazione. Con l’aumentare delle linee nelle stazioni di servizio negli Stati Uniti sudorientali, il Dipartimento dei trasporti ha rilasciato un ordine di emergenza per consentire una distribuzione ampliata del carburante tramite camion. L’FBI ha anche nominato la famigerata banda di ransomware collegata alla Russia DarkSide come l’autore dell’attacco.

Colonial Pipelines ha pagato un riscatto di 75 bitcoin, per un valore di oltre $ 4 milioni all’epoca, nel tentativo di risolvere l’incidente. Le forze dell’ordine sono state in seguito in grado di recuperare parte dei fondi, e DarkSide è andato sottoterra per evitare il controllo. A novembre, il Dipartimento di Stato ha annunciato una taglia di 10 milioni di dollari per informazioni sostanziali sui capi del gruppo. L’attacco è stato una delle più grandi interruzioni dell’infrastruttura critica degli Stati Uniti da parte degli hacker e faceva parte di una serie di attacchi allarmanti nel 2021 che alla fine sembrano essere serviti da campanello d’allarme per il governo degli Stati Uniti e i suoi alleati sulla necessità di affrontare e scoraggiare gli attacchi ransomware.

La follia di hacking di SolarWinds è stato l’attacco alla catena di approvvigionamento del software più memorabile del 2020 e del 2021, ma il compromesso della società di software di gestione IT Kaseya è stato un’altra importante aggiunta agli annali degli attacchi alla catena di approvvigionamento di quest’anno. All’inizio di luglio, gli hacker associati alla banda di ransomware con sede in Russia REvil hanno sfruttato una falla nello strumento Virtual System Administrator di Kaseya. VSA è popolare tra i provider di servizi gestiti, le aziende che gestiscono l’infrastruttura IT per le organizzazioni che non vogliono farlo da soli. Grazie a questo ecosistema interdipendente, gli aggressori sono stati in grado di sfruttare il difetto di VSA per infettare con ransomware fino a 1.500 organizzazioni in tutto il mondo. REvil ha stabilito riscatti di circa $ 45.000 per molte vittime a valle e fino a $ 5 milioni per gli stessi fornitori di servizi gestiti. La banda si è anche offerta di rilasciare uno strumento di decrittazione universale per circa 70 milioni di dollari. Ma poi la banda del ransomware è scomparsa, lasciando tutti all’oscuro. Alla fine di luglio, Kaseya ha acquisito un decryptor universale e ha iniziato a distribuirlo agli obiettivi. All’inizio di novembre, il dipartimento di giustizia degli Stati Uniti ha annunciato di aver arrestato uno dei principali presunti autori dell’attentato a Kaseya, un cittadino ucraino che è stato arrestato a ottobre e attualmente è in attesa di estradizione dalla Polonia.

Il servizio di live streaming Twitch, di proprietà di Amazon, ha confermato di essere stato violato a ottobre dopo che un’entità sconosciuta ha rilasciato una raccolta di 128 GB di dati proprietari rubati alla società. La violazione includeva il codice sorgente completo di Twitch. L’azienda disse nel momento in cui l’incidente è stato il risultato di una “modifica della configurazione del server che ha consentito l’accesso improprio da parte di una terza parte non autorizzata”. Twitch ha negato che le password siano state esposte durante la violazione, ma ha riconosciuto che le informazioni sulle entrate dei singoli streamer sono state rubate. Oltre al codice sorgente stesso e ai dati sui pagamenti degli streamer risalenti al 2019, la raccolta conteneva anche informazioni sui sistemi interni di Twitch Amazon Web Services e sugli SDK proprietari.

Sulla scia della follia di spionaggio digitale di SolarWinds in Russia, il gruppo di hacking sostenuto dallo stato cinese noto come Hafnium è scoppiato in lacrime. Sfruttando un gruppo di vulnerabilità nel software Exchange Server di Microsoft, hanno compromesso le caselle di posta elettronica degli obiettivi e le loro organizzazioni in generale. Gli attacchi hanno colpito decine di migliaia di entità negli Stati Uniti a partire da gennaio e con particolare intensità nei primi giorni di marzo. Gli attacchi hanno colpito una serie di vittime, tra cui piccole imprese e governi locali. E la campagna ha interessato anche un numero significativo di organizzazioni al di fuori degli Stati Uniti, come il Parlamento norvegese e l’Autorità bancaria europea. Microsoft ha rilasciato patch di emergenza il 2 marzo per affrontare le vulnerabilità, ma la follia di hacking era già in atto e molte organizzazioni hanno preso giorni o settimane per installare le correzioni, se lo hanno fatto.

Lo sviluppatore di spyware israeliano NSO Group è diventato sempre più il volto del settore della sorveglianza mirata, poiché i suoi strumenti di hacking sono utilizzati da clienti sempre più autocratici in tutto il mondo. La piattaforma di comunicazione WhatsApp ha citato in giudizio NSO nel 2019 e Apple seguito l’esempio quest’anno a novembre, dopo una serie di rivelazioni secondo cui NSO ha creato strumenti per infettare gli obiettivi iOS con il suo spyware Pegasus di punta, sfruttando i difetti della piattaforma di comunicazione iMessage di Apple. A luglio, un gruppo internazionale di ricercatori e giornalisti di Amnesty International, Forbidden Stories e più di una dozzina di altre organizzazioni hanno pubblicato prove forensi che un certo numero di governi in tutto il mondo, tra cui Ungheria, India, Messico, Marocco, Arabia Saudita ed Emirati Arabi Uniti, potrebbero essere clienti di NSO. I ricercatori hanno studiato un elenco trapelato di 50.000 numeri di telefono associati ad attivisti, giornalisti, dirigenti e politici che erano tutti potenziali obiettivi di sorveglianza. NSO Group ha confutato tali affermazioni. A dicembre, i ricercatori di Google hanno concluso che la sofisticatezza del malware NSO era alla pari con quella degli hacker statali d’élite.

JBS SA, la più grande azienda di lavorazione della carne al mondo, ha subito un grave attacco ransomware alla fine di maggio. La sua controllata JBS USA ha dichiarato in una dichiarazione all’inizio di giugno che “era l’obiettivo di un attacco di sicurezza informatica organizzato, che ha colpito alcuni dei server che supportano i suoi sistemi IT nordamericani e australiani”. JBS ha sede in Brasile e conta circa un quarto di milione di dipendenti in tutto il mondo. Sebbene i suoi backup fossero intatti, JBS USA è stata costretta a mettere offline i sistemi interessati e ha lavorato freneticamente con le forze dell’ordine e una società di risposta agli incidenti esterna per raddrizzare la nave. Le strutture JBS in Australia, Stati Uniti e Canada hanno subito interruzioni e l’attacco ha causato una cascata di impatti nell’industria della carne che ha portato alla chiusura degli impianti, ai dipendenti che sono stati rimandati a casa e al bestiame che ha dovuto essere restituito agli agricoltori. L’incidente è avvenuto solo un paio di settimane dopo l’attacco alla Colonial Pipeline, sottolineando la fragilità delle infrastrutture critiche e delle catene di approvvigionamento globali vitali.

Il fornitore di firewall Accellion ha rilasciato un toppa a fine dicembre, e poi altre correzioni a gennaio, per affrontare un gruppo di vulnerabilità in una delle sue offerte di apparecchiature di rete. Tuttavia, le patch non sono arrivate o installate abbastanza rapidamente per dozzine di organizzazioni in tutto il mondo. Molti hanno subito violazioni dei dati e hanno subito tentativi di estorsione a causa delle vulnerabilità. Gli hacker dietro la follia sembravano avere connessioni al gruppo di crimini finanziari FIN11 e alla banda di ransomware Clop. Le vittime includevano la Reserve Bank of New Zealand, lo stato di Washington, la Australian Securities and Investments Commission, la società di sicurezza informatica Qualys, la società di telecomunicazioni di Singapore Singtel, lo studio legale di alto profilo Jones Day, la catena di negozi di alimentari Kroger e l’Università del Colorado. .

Tutto ciò che è vecchio era di nuovo nuovo nel 2021, poiché un certo numero di aziende già note per le violazioni dei dati passate ne hanno subito di nuove quest’anno. L’operatore wireless T-Mobile ha ammesso ad agosto che i dati di oltre 48 milioni di persone erano stati compromessi in una violazione quel mese. Di questi, più di 40 milioni di vittime non erano nemmeno attuali abbonati a T-Mobile, ma piuttosto ex o potenziali clienti che avevano chiesto credito all’azienda. Il resto erano per lo più clienti attivi “postpagati” che vengono fatturati alla fine di ogni ciclo anziché all’inizio. Alle vittime sono stati rubati i nomi, le date di nascita, i numeri di previdenza sociale e i dettagli della patente di guida. Inoltre, a 850.000 clienti con piani prepagati sono stati rubati nomi, numeri di telefono e PIN durante la violazione. La situazione era particolarmente assurda, perché T-Mobile aveva Due violazioni nel 2020, uno in 2019, e un altro in 2018.

Un altro recidivo è stata la catena di grandi magazzini Neiman Marcus, a cui sono stati rubati i dati di circa 4,6 milioni di clienti in una violazione del maggio 2020. La società ha rivelato l’incidente a ottobre, che ha rivelato nomi, indirizzi e altre informazioni di contatto delle vittime, oltre a credenziali di accesso e domande/risposte di sicurezza da account Neiman Marcus online, numeri di carta di credito e date di scadenza e numeri di carte regalo. È noto che Neiman Marcus ha subito una violazione dei dati nel 2014 durante la quale gli aggressori hanno rubato i dati della carta di credito da 1,1 milioni di clienti in tre mesi.


Altre fantastiche storie WIRED

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.