Vai al contenuto principale

Argomento del post: Threat intelligence

Salute-ISAC Health Sector Heartbeat – T3 2025

Scritto da Giulia Annaloro on . pubblicato in Risorse e notizie, Threat intelligence, Altro, White Papers.

Health-ISAC Heartbeat fornisce osservazioni su ransomware, tendenze della criminalità informatica e post di malintenzionati nei forum che potrebbero avere un impatto potenziale sulle organizzazioni del settore sanitario. Questo prodotto è pensato per la consapevolezza situazionale.

Temi:

  • Attacchi ransomware nel settore sanitario
  • Analisi degli eventi globali
  • Tendenze di avviso mirate
  • Attività dei forum sotterranei
  • Profili degli attori delle minacce e mitigazioni
  • Raccomandazioni aggiuntive

 

 

Mitigazioni intersettoriali: ragno sparso

Scritto da Giulia Annaloro on . pubblicato in Aggiornamenti speciali, Threat intelligence.

Guida per la difesa proattiva

Prodotto da ISAC per i servizi finanziari, ISAC per le tecnologie dell'informazione, ISAC per l'alimentazione e l'agricoltura, ISAC per la salute, ISAC per l'aviazione, ISAC per l'automotive, ISAC per la vendita al dettaglio e l'ospitalità, ISAC per il sistema di trasporto marittimo, ISAC per l'elettricità e il Consiglio nazionale degli ISAC, con contributi dei partner del settore privato dell'ISAC per le comunicazioni.

Scaricare

Versione testuale:

Analisi della minaccia dei ragni sparsi

Introduzione

I membri del National Council of ISACs (NCI) ritengono con elevata sicurezza che il gruppo di attori Scattered Spider rappresenti una minaccia reale e che la sua capacità di sfruttare le vulnerabilità umane attraverso l'ingegneria sociale renda il gruppo un rischio significativo per le organizzazioni.

Questa analisi descrive in dettaglio l'attività di Scattered Spider in base alle sue attività commerciali osservate nei vari settori a partire da maggio 2025, fornendo:

🔹 Informazioni di base su Scattered Spider in modo che le aziende possano valutare meglio la loro superficie di minaccia

🔹 Procedure tecniche e pratiche culturali per contrastare gli attacchi del ragno sparso

🔹 Analisi del membro del Centro di condivisione e analisi delle informazioni (ISAC) e dell'intelligence dell'FBI e corrispondente MITRE ATT&CK® mitigazioni

Secondo la valutazione di esperti di intelligence, le misure raccomandate si sono dimostrate efficaci contro Scattered Spider e simili attori di minaccia. Le misure di mitigazione incorporano le necessità di base del FS-ISAC. fondamenti informatici, incentrato sulle TTP (tattiche, tecniche e procedure) di Scattered Spider basate sulle minacce note.

Tuttavia, gli autori delle minacce come Scattered Spider sono in continua innovazione, pertanto le organizzazioni devono essere diligenti nel monitorare costantemente i propri processi e le proprie identità per individuare nuovi exploit.

Questi risultati sono stati ottenuti in collaborazione dagli ISAC dei settori Servizi Finanziari, Tecnologie dell'Informazione, Agroalimentare, Sanità, Aviazione, Automotive, Commercio al Dettaglio e Ospitalità e Sistema di Trasporto Marittimo, e dall'NCI. L'NCI comprende 28 organizzazioni ed è progettato per massimizzare il flusso di informazioni tra le infrastrutture critiche del settore privato e le agenzie governative.

Contesto e TTP

Scattered Spider è un gruppo di giovani operatori indipendenti motivati finanziariamente, più che ideologicamente, nel Regno Unito, negli Stati Uniti e in Canada. Secondo i ricercatori, Scattered Spider fa parte di una più ampia comunità di hacker nota come The Community o The Com, che si organizza tramite piattaforme online, tra cui le chat di gruppo Discord e Telegram. Scattered Spider utilizza tecniche di ingegneria sociale altamente efficaci e furto di credenziali per accedere alle reti target, quindi monetizza i suoi attacchi attraverso furto di dati, estorsione o operazioni ransomware di affiliazione. Il gruppo è noto per la sua ampia attività di ricognizione che identifica i profili da adottare o i dipendenti da prendere di mira. Gran parte del successo di Scattered Spider è attribuito alla sua velocità e alla sua capacità di targeting adattabile e a basso sforzo.

*****

Sidebar:

Gli autori delle minacce partecipano spesso a chiamate e teleconferenze per la risoluzione e la risposta agli incidenti, probabilmente per identificare il modo in cui i team di sicurezza li stanno braccando e sviluppare proattivamente nuove vie di intrusione in risposta alle difese delle vittime. A volte, questo obiettivo viene raggiunto creando nuove identità nell'ambiente, spesso supportate da falsi profili sui social media per proteggere le nuove identità create. Avviso di sicurezza informatica: ragno sparso – una consulenza congiunta del Federal Bureau of Investigation (FBI) e della Cybersecurity and Infrastructure Security Agency (CISA)

*****

Attivo dall'inizio del 2022, Scattered Spider è stato inizialmente osservato prendere di mira aziende di telecomunicazioni e di outsourcing dei processi aziendali (BPO), probabilmente come trampolino di lancio per operazioni di social engineering volte a ottenere accesso non autorizzato ad altri obiettivi e ai loro stakeholder. Da allora, il gruppo è stato collegato a oltre 100 attacchi in diversi settori verticali di mercato, ma tende a colpire un settore alla volta. Scattered Spider è noto per la compromissione di Caesars Entertainment e MGM Resorts nel 2023 e per l'attacco a Twilio nel 2022, che ha provocato un attacco alla supply chain che ha colpito l'app di messaggistica Signal. Ha preso di mira rivenditori statunitensi e britannici nell'aprile e nel maggio 2025, per poi spostare la sua attenzione sul settore finanziario, in particolare sulle compagnie assicurative, e sul settore dell'aviazione.

  1. Accesso iniziale ottenuto tramite:

    >Attacchi di ingegneria sociale

    >Attacchi di affaticamento MFA

  2. Acquisisce privilegi di amministratore tramite:

    • Dumping delle credenziali
    • Credenziali e segreti memorizzati

 

3. Persistenza ottenuta da:

>Attività pianificate

>Servizi dannosi

>Creazione di utenti locali

>Meccanismi di persistenza del cloud

 

4. Evasione della difesa abilitata da:

>Disattivazione AV/EDR

>Modifica dei GPO di Windows

>Disattivazione di Defender, registrazione o telemetria

>Rimozione dei driver EDR

5. Movimento laterale tramite:

>PsExec

>Comunicazione remota PowerShell

>WMI

>Connessioni VPN o Citrix legittime

 

Una tattica tipica è quella di convincere gli agenti dell'helpdesk IT a eseguire reimpostazioni self-service delle password (SSPR) per gli account presi di mira. Le tecniche di Scattered Spider includono l'uso di messaggi di testo brevi (SMS) — cioè messaggi di testo — e phishing vocale (smishing e vishing) per acquisire credenziali per dashboard Single Sign-On (SSO), Microsoft Office 365/Azure, VPN e dispositivi edge.

Il gruppo è noto anche per dirottare l'autenticazione a più fattori (MFA) tramite lo scambio di SIM (Subscriber Identity Module). Successivamente, riesce a neutralizzare l'MFA sfruttando l'affaticamento delle notifiche o convincendo gli operatori dell'helpdesk a reimpostare il metodo MFA degli account presi di mira.

Dopo aver compromesso con successo l'account di un utente, gli agenti di Scattered Spider registrano altri dispositivi sotto quell'account. Quando riesce a ottenere privilegi amministrativi, crea account controllati dall'aggressore all'interno dell'ambiente della vittima. Quindi, l'autore della minaccia stabilisce la persistenza per l'accesso non autorizzato all'ambiente della vittima e crea ridondanza per contrastare i tentativi di rimozione del malware o di accesso.

Le successive attività di ricognizione includono il tentativo di individuare piattaforme aziendali, tra cui Windows, Linux, Google Workspace, Microsoft Entra ID (in precedenza Azure Active Directory), Microsoft 365, AWS e altri strumenti ospitati nell'infrastruttura cloud, e di spostarsi lateralmente, scaricando gli strumenti appropriati per esfiltrare dati sensibili.

*****

Sidebar:

Health-ISAC ha ricevuto informazioni che collegano la botnet Amadey agli attacchi Scattered Spider. La botnet Amadey è stata utilizzata da autori di ransomware come BlackSuit, BlackBasta e Akira per diffondere malware nelle reti delle vittime. La botnet è riuscita a eludere le azioni delle forze dell'ordine contro le piattaforme malware-as-a-service (MaaS), il che le ha permesso di evolversi dal 2018.

*****

Questa profonda conoscenza dell'infrastruttura nativa della vittima consente a Scattered Spider di eseguire attività nefaste. È grazie a questa profonda conoscenza – ad esempio, la sua capacità di eseguire tecniche di "living-off-the-land" – che il gruppo può eludere i metodi di rilevamento standard. Il gruppo di minacce può anche distribuire malware che rilascia driver firmati dannosi progettati per terminare i processi associati al software di sicurezza ed eliminare file.

Scattered Spider utilizza nomi di dominio di phishing registrati di recente e altamente convincenti che imitano portali di accesso legittimi, in particolare le pagine di autenticazione Okta. Questi domini hanno una durata o un tempo di attività brevi, rendendone difficile il rilevamento.

Dal 2023, Scattered Spider è stato osservato utilizzare cinque distinti kit di phishing, poiché le strategie di distribuzione del gruppo si sono evolute per includere provider di DNS dinamici. Inoltre, il gruppo ha incluso il trojan di accesso remoto (RAT) Spectre nella sua catena di attacco per la distribuzione di malware su sistemi compromessi al fine di ottenere un accesso persistente. Questo malware include meccanismi per la disinstallazione remota e la mediazione di connessioni a server di comando e controllo (C2) aggiuntivi, il che suggerisce che il gruppo potrebbe utilizzare l'infrastruttura C2 per condurre azioni post-sfruttamento sulle reti delle vittime.

*****

Sidebar:

Nomi di dominio noti utilizzati da Scattered Spider

  • targetsname-sso[.]com
  • targetsname-servicedesk[.]com
  • targetsname-okta[.]com
  • targetsname-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Ragno sparso Consulenza sulla sicurezza informatica prodotto congiuntamente dall'FBI, dalla CISA, dalla Royal Canadian Mounted Police, dall'Australian Cyber Security Centre dell'Australian Signals Directorate, dalla Australian Federal Police, dal Canadian Centre for Cyber Security e dal National Cyber Security Centre del Regno Unito

*****

raccomandazioni

Le seguenti raccomandazioni si sono dimostrate efficaci per i membri dell'ISAC. Molte sono tratte dal documento FS-ISAC fondamenti informatici, un approccio di difesa approfondita basato sul rischio delle necessità di base della sicurezza informatica, applicabile alle organizzazioni a qualsiasi livello di maturità informatica.

Utilizzare un processo di verifica multicanale — Nessuna organizzazione dovrebbe affidarsi a un unico canale di comunicazione per le richieste di modifica delle password o di reimpostazione dell'autenticazione a più fattori (MFA) dei dipendenti. Alcune aziende potrebbero trarre vantaggio dall'utilizzo di un elenco predefinito di domande a cui solo il dipendente può rispondere per avviare le reimpostazioni delle password e dell'autenticazione a più fattori (MFA). E i dipendenti IT dovrebbero sempre sentirsi autorizzati a contestare le richieste di verifica di qualsiasi altro dipendente.

Passi d'azione:

  • Il reparto IT dovrebbe utilizzare la verifica multicanale, tra cui:
  • Verifica delle richieste effettuate tramite e-mail, SMS o telefono con una chiamata su un numero di telefono preregistrato e noto come valido
  • PIN statici su un badge fisico
  • Convalida visiva
  • Utilizza una password vocale nota solo ai dipendenti, oppure una serie di risposte a domande difficili da indovinare, ad esempio: "Qual è il cognome da nubile di tua madre? Qual è la tua data di inizio impiego? Qual è il codice identificativo del tuo portatile da lavoro?"

Richiedere a due dipendenti di approvare determinati tipi di richieste, come ad esempio trasferimenti finanziari di importo elevato, o richieste provenienti da dipendenti con privilegi elevati.

  • Contattare il responsabile del dipendente quando il dipendente richiede il ripristino sia delle credenziali che dell'MFA.
  • Promuovere una cultura in cui il personale IT sia tenuto a mettere in discussione qualsiasi richiesta insolita o particolarmente delicata, anche da parte dei dirigenti, e ne abbia la possibilità, senza timore di ripercussioni.

 

Concentrarsi sulle tattiche di ingegneria sociale — Scattered Spider si affida a exploit di ingegneria sociale ed è molto creativo nell'uso di phishing, vishing e smishing. Il gruppo di minaccia spesso instilla un senso di urgenza nelle sue esche e fa leva sulle paure, l'empatia e il rispetto per l'autorità delle vittime. Includete queste TTP nelle simulazioni e testate le risposte dei dipendenti.

Passi d'azione:
  • Implementare una formazione continua e obbligatoria sulla sicurezza e simulazioni di phishing con esche comuni e attuali.
  • Adattare la formazione al ruolo: l'helpdesk IT, i rappresentanti del servizio clienti, il personale delle risorse umane e i dirigenti C-Suite potrebbero aver bisogno di una formazione più dettagliata e specifica sulle tattiche degli attori delle minacce e sulle campagne in corso.
  • Formare gli addetti al servizio clienti sulle procedure di helpdesk. Ad esempio, ribadire che il loro helpdesk non chiederà mai a un dipendente di installare software di assistenza remota o di aggirare alcun controllo di sicurezza.
  • Utilizzare il privilegio minimo in modo che i dipendenti, in particolare i rappresentanti del servizio clienti, richiedano una verifica aggiuntiva da parte dell'utente finale prima di concedere un accesso più ampio.

 

Esaminare i profili dei social media degli amministratori, in particolare degli amministratori cloud I profili e i post sui social media degli amministratori possono inavvertitamente mostrare informazioni relative al lavoro – ad esempio, responsabilità, storia lavorativa, colleghi, routine quotidiana – che gli autori delle minacce utilizzano per personalizzare gli attacchi (ad esempio, sfruttando gli itinerari di viaggio per stabilire credibilità o urgenza in una campagna di vishing). Gli amministratori cloud sono obiettivi particolari. Ottenere i loro privilegi di accesso fornirebbe agli autori delle minacce l'accesso e il controllo su preziose risorse cloud e la possibilità di causare danni estesi. Le aziende dovrebbero istituire policy sui social media che descrivano le informazioni sfruttate dagli autori delle minacce e proibiscano tali informazioni nei post sui social media. Esaminare regolarmente i social media degli amministratori, in particolare i post degli amministratori cloud, per verificarne la conformità alle policy sui social media.

Passi d'azione:
  • Sviluppare e applicare policy dettagliate e specifiche per l'accesso ai social media, che spieghino i tipi di informazioni che è consentito pubblicare e quelli che non lo sono.
  • Eseguire audit per garantire la conformità.
  • Fornire formazione sui rischi derivanti dalla condivisione di dati professionali sensibili.

 

Valutare i diritti di accesso all'Helpdesk - I diritti di accesso all'helpdesk possono variare nel tempo, a volte assegnando privilegi a tutte le console di amministrazione, come flusso di posta, controlli di sicurezza, ecc. La verifica dei diritti di accesso all'helpdesk garantisce l'allineamento con le esigenze operative, impedendo al contempo accessi non autorizzati che potrebbero essere sfruttati da attori di minacce come Scattered Spider. I sistemi di gestione automatizzati migliorano la supervisione.

Passi d'azione:
  • Implementare sistemi automatizzati per il monitoraggio continuo e la regolazione dei diritti di accesso.
  • Pianificare revisioni di accesso regolari per garantire l'allineamento con le funzioni lavorative.

Monitorare le macchine virtuali negli ambienti cloud – Implementare strumenti di monitoraggio per fornire avvisi su attività non autorizzate delle macchine virtuali (VM), come servizi sospetti, utilizzo anomalo delle risorse e tentativi di escalation dei privilegi, con protocolli per isolare e arrestare rapidamente le VM sospette. Questa capacità di risposta rapida è fondamentale per identificare attività sospette, prevenire potenziali violazioni e mitigare le minacce.

Passi d'azione:
  • Sviluppare un elenco delle attività consentite.
  • Implementare sistemi di monitoraggio e di allerta e individuare eventuali lacune.
  • Stabilire protocolli di risposta rapida per le attività non autorizzate.
  • Eliminare gli strumenti RMM non necessari e incorporare honeytoken nell'utilizzo degli strumenti RMM per il rilevamento precoce e la definizione dell'impronta digitale.
  • Configurare i browser e le attività in modo che eliminino regolarmente i cookie persistenti.
  • Ridurre al minimo il periodo di validità di un cookie web: Scattered Spider li utilizza per stabilire un accesso persistente e l'esfiltrazione dei dati.

 

Esaminare i controlli di sicurezza dell'infrastruttura desktop virtuale - Assicurare che gli ambienti VDI (Virtual Desktop Infrastructure) siano protetti con MFA e monitorare costantemente le attività degli utenti.

Passi d'azione:
  • Controllare l'elenco degli utenti VDI per assicurarsi che sia aggiornato.
  • Applicare l'MFA.
  • Non consentire ai dispositivi personali di accedere direttamente a Office 365, Enterprise Google Workspace, VPN aziendali, ecc.
  • Richiedi MFA resistenti al phishing, come YubiKeys, Windows Hello for Business, ecc. Non fidarti che gli utenti approvino le richieste MFA o forniscano codici.
  • Se un'organizzazione dispone di VDI per consentire l'accesso a terze parti, assicurarsi che tali VDI non possano accedere a Secure Shell (SSH) o protocolli di scrivania remota (RDP) o raggiungere siti Web non necessari all'utente per svolgere il proprio lavoro.
  • Eseguire audit regolari e monitorare in tempo reale tutte le sessioni utente.
  • Verificare che non vi siano MFA tramite SMS in nessuna applicazione, comprese quelle dei fornitori. L'MFA basata su SMS può comportare rischi significativi perché:
      • I messaggi SMS possono essere intercettati perché non sono crittografati
      • Gli aggressori possono aggirare l'MFA tramite l'ingegneria sociale
      • Gli autori delle minacce possono ottenere il controllo di un numero di telefono, intercettare messaggi SMS e ottenere l'accesso non autorizzato tramite lo scambio di SIM
      • Le interruzioni possono impedire agli utenti di ricevere i codici di autenticazione

 

Identificare i punti di accesso e bloccare gli accessi ad alto rischio – Molte organizzazioni devono consentire a dipendenti, enti regolatori, fornitori terzi e altri soggetti di accedere alle proprie infrastrutture digitali. È necessario proteggere tutti i punti di accesso, in particolare quelli ad alto rischio, con controlli o blocchi e dare per scontato che tutti i fornitori di servizi gestiti siano compromessi.

Passi d'azione:
  • Non concedere a terzi l'accesso illimitato alla rete aziendale.
  • Sostituisci le VPN site-to-site con VDI utilizzando MFA resistenti al phishing e zero trust ove possibile.
  • Identifica e blocca i domini appena creati che sembrano potenziali siti di phishing (ad esempio, nomi di dominio che effettuano typosquatting).
  • Impedisce l'esecuzione di qualsiasi eseguibile RAT sui dispositivi gestiti.
  • Bloccare i siti web di tutti gli strumenti di assistenza remota commerciali conosciuti.
  • Implementare il blocco geografico ove possibile.
  • Blocca le VPN commerciali che si connettono alla VPN aziendale o VDI con un servizio come ip2proxy o Spur.
  • Blocca i tipi di dispositivi sulla VPN se non sono utilizzati dagli addetti al servizio clienti. (Gli aggressori hanno spesso utilizzato dispositivi Android x86.)

 

Autorizzazioni di audit concesse alle risorse umane - L'allineamento rigoroso delle autorizzazioni delle risorse umane alle necessità operative protegge i dati sensibili dei dipendenti e quelli finanziari.

Passi d'azione:
  • Eseguire un audit completo delle autorizzazioni di accesso delle risorse umane.
  • Rivedere i diritti di accesso dei fornitori e dei provider.
  • Formare il personale delle risorse umane sui rischi legati alla sicurezza informatica e sulla corretta gestione dei dati.

 

Utilità di spostamento dei dati di ricerca nelle applicazioni SaaS - Il monitoraggio e il tracciamento dei movimenti dei dati all'interno dei sistemi SaaS (Software-as-a-Service) (ad esempio Salesforce o ServiceNow) sono fondamentali perché le applicazioni SaaS spesso dispongono di utilità di movimento dati (di terze parti) disponibili per vari scopi e possono contenere informazioni sensibili.

Passi d'azione:
  • Integrare il monitoraggio dell'utilità di spostamento dei dati nei dati di registro.
  • Imposta avvisi e controlli automatici per attività insolite sui dati.

 

Esamina gli indirizzi IP attendibili esenti da MFA - Le organizzazioni possono ridurre il rigore dell'MFA per quanto riguarda le richieste provenienti da una rete attendibile, come una VPN, una rete aziendale, ecc. Ridurre al minimo queste esenzioni MFA rafforza i controlli di accesso alla rete, un passaggio fondamentale per proteggere i dati finanziari e sensibili.

Passi d'azione:
  • Rivedere e aggiornare l'elenco degli indirizzi IP attendibili nell'ambiente.
  • Sostituisci l'inserimento di IP statici nella whitelist con criteri di accesso condizionale dinamico.

 

Riconoscere la minaccia interna rappresentata dai rappresentanti del servizio clienti — Scattered Spider spesso ottiene l'accesso iniziale ai sistemi aziendali ingannando i rappresentanti del servizio clienti, ma li recluta anche. Esegui regolarmente scansioni per individuare attività potenzialmente dannose.

Passi d'azione:
  • Esaminare l'attività degli addetti al servizio clienti per individuare segnali di potenziale compromissione, come:
    • Un numero elevato di reimpostazioni di password o visualizzazioni di account in un breve periodo di tempo
    • Accedere agli account dei clienti senza eseguire i passaggi di verifica corrispondenti (ad esempio, inserendo il PIN del cliente, abbinandolo all'ANI, ecc.)
    • “Credential juggling”, ovvero l’accesso alla VPN con credenziali diverse da quelle utilizzate per accedere agli strumenti CSR
  • Cerca nei registri di testo di supporto chat/email i tentativi di reclutamento utilizzando ricerche di stringhe che fanno riferimento a termini comuni utilizzati nelle richieste, come "Telegram", "Wickr" o "Diventa ricco".
  • Implementare un accesso a tempo limitato per i rappresentanti del servizio clienti per le credenziali e la VPN e avvisare in caso di accessi al di fuori del normale orario di lavoro degli agenti.

 

Tattiche e misure di mitigazione contro i ragni sparsi

La tabella seguente include l'analisi degli esperti di sicurezza informatica dell'ISAC sulle informazioni condivise da migliaia di organizzazioni affiliate. Molte delle tattiche sono state scoperte dall'FBI durante le indagini su Scattered Spider, descritte nel rapporto congiunto. Avviso di sicurezza informatica CISA e FBI Scattered SpiderLe mitigazioni MITRE ATT&CK sono tratte dalla sua analisi dei TTP, basata sulle osservazioni del mondo reale dell'organizzazione.

VISUALIZZA IL PDF SOPRA.

 

 

Health-ISAC 2025: Panorama delle minacce informatiche nel settore sanitario – ora in portoghese

Scritto da Giulia Annaloro on . pubblicato in In The News, Aggiornamenti speciali, Threat intelligence, White Papers.

Aggiornato l'30 maggio 2025.

uma tradução em português deste relatório foi adicionada abaixo.
(Una traduzione in portoghese di questo rapporto è stata aggiunta di seguito)

 

Rapporto annuale sulle minacce – 2025

Il 2024 è stato un anno impegnativo per la sicurezza informatica dei sistemi sanitari di tutto il mondo.

Il panorama delle minacce informatiche del settore sanitario Health-ISAC 2025 evidenzia una continua escalation degli attacchi informatici. I risultati principali includono un'impennata degli attacchi ransomware, con tecniche sempre più sofisticate impiegate dagli attori delle minacce.

Il rapporto sottolinea inoltre la crescente minaccia degli attori nazionali e dello spionaggio informatico, che prendono di mira i dati sensibili dei pazienti e la proprietà intellettuale. Inoltre, l'ascesa dei dispositivi Internet of Medical Things (IoMT) ha introdotto nuove vulnerabilità, mentre il panorama delle minacce in evoluzione richiede un continuo adattamento delle misure di sicurezza per le organizzazioni del settore sanitario a livello globale.

Include quanto segue, oltre a informazioni chiave tratte dai dati del sondaggio:
  • Le cinque principali minacce informatiche che le organizzazioni del settore sanitario hanno dovuto affrontare nel 2024
  • Le cinque principali minacce informatiche che le organizzazioni del settore sanitario dovranno affrontare nel 2025
  • Le tre principali sfide segnalate dai produttori di dispositivi medici nello sviluppo di dispositivi medici sicuri
  • I tre principali impatti sulle organizzazioni di fornitura di assistenza sanitaria

Rapporto annuale sulle minacce sanitarie ISAC 2025
Dimensione : 7.1 MB formato: PDF

Rapporto annuale di Ameaças – 2025

Il 2024 è stato un anno devastante in termini di sicurezza cibernetica per i sistemi del settore della salvezza in tutto il mondo.

anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 destaca uma escalada contínua de ataques cibernéticos. Le principali conclusioni includono un aumento degli attacchi di ransomware, con tecniche ogni volta più sofisticate impiegate da agenti di attacco.

Il rapporto ha anche favorito un crescente numero di agenti statali e di cyberspionaggio, visto e di cyberspionaggio, visto da dati sensibili di pazienza e proprietà intellettuale. Inoltre, l'aumento dei dispositivi Internet delle Cose Mediche (IoMT) ha introdotto nuove vulnerabilità, mentre il panorama delle misure in evoluzione richiede un continuo adattamento delle misure di sicurezza per le organizzazioni del settore della salute in tutto il mondo.

Include il seguente, oltre ad approfondimenti importanti estratti dai dati dell'indagine:

  • Le cinque principali ameaças cibernéticas si sono confrontate con le organizzazioni del settore della salvezza nel 2024
  • Le cinque principali amiche cibernetiche che le organizzazioni del settore della salvezza stanno affrontando nel 2025
  • Le tre principali sfide legate ai produttori di dispositivi medici non legate al coinvolgimento di dispositivi medici sicuri
  • I tre principali impatti sulle organizzazioni di servizi di salute

 

Salute ISAC Setor De Saúde 2025 Panorama De Ameaças Cibernéticas
Dimensione : 2.6 MB formato: PDF

Il rischio per la sicurezza di DeepSeek è un promemoria fondamentale per i CIO

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, In The News.

Aggiornato il 31 gennaio 2025, 12:12 EST
 

Questo articolo di Forbes tratta i seguenti argomenti:

  • Difetti critici di sicurezza nel sistema DeepSeek
  • Insegnare e monitorare
  • Firma del contratto CIO
  • Risposta alle violazioni della pratica

Citazione estratta da Health-ISAC:

Una risposta rapida è particolarmente critica quando si ha a che fare con violazioni che coinvolgono tecnologie non supportate. La proposta recente HIPAA la norma richiede alle organizzazioni sanitarie di ripristinare i sistemi entro 72 ore. Errol Weiss, responsabile della sicurezza presso Salute-ISAC, ha affermato che le tre aree sottostanti sono fondamentali.

  • La velocità è fondamentale: Quanto più rapidamente si reagisce a un incidente informatico, tanto minore sarà il danno che l'aggressore potrà infliggere.
  • Segui il tuo piano di risposta agli incidenti: Se hai un piano predefinito di risposta agli incidenti, seguilo scrupolosamente.
  • Richiedere l'assistenza di esperti: Se non disponi di competenze interne, valuta la possibilità di coinvolgere professionisti esterni in materia di sicurezza informatica.

Leggi l'articolo su Forbes. Clicca qui

Bollettino sulle minacce: il software SimpleHelp RMM sfruttato nel tentativo di sfruttamento per violare le reti

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, Risorse e notizie, Threat intelligence.

TLP BIANCO –

Aggiornamento 30 gennaio 2025

Health-ISAC, in collaborazione con AHA, ha identificato tentativi e attacchi ransomware in corso potenzialmente dovuti alle vulnerabilità del software di monitoraggio e gestione remota (RMM) SimpleHelp. Sulla base della potenziale minaccia e dell'impatto sull'assistenza ai pazienti, AHA ha collaborato con Health-ISAC per garantire che questo bollettino venga ampiamente distribuito al settore sanitario.  
 
Si raccomanda vivamente di identificare tutte le istanze dell'applicazione SimpleHelp, in particolare all'interno delle organizzazioni sanitarie, e di applicare le patch appropriate in base alle linee guida del bollettino. Si raccomanda inoltre vivamente alle organizzazioni sanitarie di garantire che anche tutti i partner commerciali e terzi che utilizzano SimpleHelp applichino le patch appropriate.

Gennaio 29, 2025

Recente segnalazione indica che gli attori della minaccia stanno sfruttando vulnerabilità patchate nel software SimpleHelp Remote Monitoring and Management (RMM) per ottenere accesso non autorizzato a reti private. Queste vulnerabilità, tracciate come CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, sono state scoperte dai ricercatori di Horizon3 a fine dicembre 2024 e divulgate a SimpleHelp il 6 gennaio, spingendo l'azienda a rilasciare patch. I difetti sono stati resi pubblici comunicati dopo il rilascio delle patch il 13 gennaio 2025.

Questa campagna sottolinea l'importanza della gestione delle patch, poiché gli autori delle minacce sfruttano gli exploit entro una settimana dalla divulgazione al pubblico. 

Le vulnerabilità identificate in SimpleHelp RMM potrebbero consentire agli aggressori di manipolare i file e aumentare i privilegi a livello amministrativo. Un autore di minacce potrebbe concatenare queste vulnerabilità in un attacco per ottenere l'accesso amministrativo al server vulnerabile e quindi utilizzare tale accesso per compromettere il dispositivo che esegue il software client SimpleHelp vulnerabile. 

TLPWHITE Cb3ee67f Simplehelp Rmm Software sfruttato nel tentativo di sfruttamento per violare le reti
Dimensione : 139.4 kB formato: PDF

 

Potenziali minacce per i dirigenti sanitari circolano online

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, In The News.

 

In seguito alla tragica sparatoria del CEO di UnitedHealthcare avvenuta a New York City il 4 dicembre, il 9 dicembre Health-ISAC ha diramato un avviso ai membri, individuando undici misure precauzionali che le organizzazioni del settore sanitario dovrebbero adottare.

Health-ISAC ha ricevuto segnalazioni di molteplici post online che minacciano dirigenti nel settore sanitario. I forum sono stati identificati come una fonte di minacce che prendono di mira i CEO nel settore sanitario, in particolare quelli che guidano le principali compagnie di assicurazione sanitaria e le aziende farmaceutiche. Health-ISAC ha pubblicato un bollettino sulle minacce per informare il settore sanitario globale su cosa tenere presente e consigliare misure di mitigazione che le organizzazioni devono adottare immediatamente. Si prega di leggere e condividere all'interno del settore sanitario.

TLPWHITE Da2c7f6d Potenziali minacce ai dirigenti sanitari circolano online
Dimensione : 3.6 MB formato: PDF

 

Queste minacce, che vanno dall'intimidazione generica a specifici appelli alla violenza, sono emerse in seguito al recente omicidio di un CEO di UnitedHealthcare. È importante notare che l'autore di questo recente assassinio non è ancora stato arrestato e che l'indagine sui possibili moventi è ancora in corso.

Sebbene queste minacce circolanti non siano state verificate, Health-ISAC raccomanda una maggiore consapevolezza della sicurezza tra i dirigenti sanitari e misure di sicurezza più rigorose per garantire la salvaguardia dell'incolumità. 

Le richieste di violenza potrebbero estendersi al dominio informatico, portando gli hacktivisti a effettuare attacchi DDoS e altri attacchi dirompenti al settore sanitario. Health-ISAC raccomanda ai membri di rimanere vigili sulla salvaguardia di tutte le infrastrutture e che le organizzazioni condividano qualsiasi dettaglio possibile sulle minacce ai dirigenti, in modo da poter tenere informata la comunità.

La raccolta di metriche sulla vulnerabilità informatica è fondamentale

Scritto da Giulia Annaloro on . pubblicato in In The News.

Raccogliere dati sulla vulnerabilità informatica è fondamentale, ma comunicarli alle parti interessate in modo chiaro e convincente è fondamentale, afferma il rapporto H-ISAC

Poiché il settore sanitario sta diventando sempre più dipendente dai sistemi digitali interconnessi, l'importanza di una gestione solida delle vulnerabilità non è mai stata così pronunciata. Un recente rapporto da Salute-ISAC, Metriche e reportistica sulla vulnerabilità, fa luce sulle migliori pratiche e strategie per rafforzare la sicurezza informatica nei sistemi sanitari.

Leggi l'articolo completo su HealthSystemCIO.com Clicca qui

 

Guida per CTI in a Box

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, Risorse e notizie, White Papers.

Questo white paper presenta un'analisi di un sondaggio condotto tra i membri Health-ISAC dal Cyber ​​Threat Intelligence (CTI) Program Development Working Group. Il sondaggio mirava a fornire approfondimenti critici sullo stato attuale dei programmi CTI nel settore sanitario, identificando punti di forza e opportunità di crescita.

 

Missione

I risultati del sondaggio sono stati determinanti nel guidare gli sforzi del Working Group per dare priorità ai risultati di alto valore e promuovere la collaborazione all'interno della comunità Health-ISAC. Questi risultati hanno informato lo sviluppo di risorse pratiche progettate per supportare e promuovere le iniziative CTI.

Risultati chiave

Il documento esplora Risultati chiave 9 dal sondaggio, che hanno influenzato direttamente la creazione di risorse e strumenti su misura per le esigenze dei membri Health-ISAC. Questi risultati servono come base per un'innovativa suite di risorse denominata CTI in una scatolaQuesta risorsa completa organizza strumenti essenziali, strategie e best practice per potenziare i membri Health-ISAC nel rafforzamento dei loro programmi CTI. I membri possono accedere CTI in una scatola tramite la Portale di intelligence sulle minacce Health-ISAC (H-TIP).

 

Clicca qui

Continua a leggere

Cyware lancia la piattaforma Threat Intelligence per difendere le organizzazioni sanitarie dalle minacce informatiche

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, In The News.

Una piattaforma di Threat Intelligence calibrata sul settore per difendere le organizzazioni sanitarie dalle minacce informatiche

Una soluzione appositamente progettata per fornire ai team di sicurezza sanitaria feed sulle minacce specifiche per il settore sanitario e capacità di risposta automatizzata.

Menzione nei media:

Errol Weiss, responsabile della sicurezza presso Health-ISAC e cliente Cyware, ha espresso la necessità critica di questa innovazione: "L'assistenza sanitaria è uno dei settori più presi di mira dai criminali informatici. Avere una piattaforma di intelligence sulle minacce progettata specificamente per il nostro settore consentirà alle organizzazioni sanitarie di accedere rapidamente a informazioni pertinenti e fruibili che possono fare una differenza tangibile nella difesa contro attacchi sofisticati".

Rachel James, membro del comitato Health-ISAC Threat Intelligence, ha osservato, "In un ambiente in cui il tempo è un fattore critico, i team di sicurezza sanitaria hanno bisogno di strumenti che consentano loro di fare di più con meno sforzo ma con maggiore precisione. La piattaforma di intelligence sulle minacce sanitarie di Cyware è progettata per identificare e rispondere rapidamente alle minacce specifiche dell'assistenza sanitaria, consentendo alle organizzazioni di anticipare gli attacchi senza essere sopraffatte dalla complessità".

Leggi il comunicato stampa completo su BusinessWire:

Clicca qui

Metriche e reportistica sulla vulnerabilità

Scritto da Giulia Annaloro on . pubblicato in Salute-ISAC, White Papers.

Un white paper pubblicato dal Vulnerability Management Working Group dell'Health-ISAC

Nel mondo interconnesso sempre attivo di oggi, la gestione delle vulnerabilità è un processo fondamentale per tutte le organizzazioni. Le metriche e la reportistica svolgono un ruolo fondamentale nel monitoraggio dei servizi che forniamo, nell'implementazione delle capacità di rilevamento e negli sforzi di ripristino dei team di applicazioni o tecnologia. Una narrazione efficace con metriche e reportistica può aiutare a mostrare i miglioramenti o l'efficacia del nostro personale di supporto tecnologico. Il team di gestione delle vulnerabilità dovrebbe avere un sistema di punteggio che rifletta le tempistiche di ripristino dell'organizzazione.

Metriche e reportistica sulla vulnerabilità (1)
Dimensione : 2.3 MB formato: PDF