EU Cyber Blueprint, la strategia europea per rispondere a crisi e attacchi informatici

Cyber Blueprint
Cyber Blueprint è una proposta per garantire una risposta europea efficace ed efficiente agli incidenti informatici su larga scala.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

La Commissione europea ha presentato Cyber Blueprint, una proposta per garantire una risposta efficace ed efficiente agli incidenti informatici su larga scala. La strategia aggiorna il quadro completo dell’UE per la gestione delle crisi informatiche, mappando gli attori pertinenti e delineando i loro ruoli lungo l’intero ciclo di vita della crisi. Ciò include la preparazione e la consapevolezza situazionale condivisa per anticipare gli incidenti informatici, nonché le capacità di rilevamento necessarie per identificarli. Inoltre, sono previsti strumenti di risposta e recupero per mitigare, contrastare e contenere tali incidenti.

Henna Virkkunen, Vicepresidente esecutiva per la Sovranità tecnologica, la Sicurezza e la Democrazia, ha dichiarato: “In un’economia dell’Unione sempre più interdipendente, le interruzioni causate da incidenti informatici possono avere impatti di vasta portata in diversi settori. La strategia sulla cybersicurezza che proponiamo riflette il nostro impegno per garantire un approccio coordinato, sfruttando le strutture esistenti per proteggere il mercato interno e preservare le funzioni vitali della società. Il Cyber Blueprint rappresenta un passo fondamentale per rafforzare la nostra resilienza collettiva nel cyberspazio.”

Il piano proposto si basa su quadri normativi europei già esistenti, come l’lntegrated political crisis response (IPCR) e la Cyber Diplomacy Toolbox, e si allinea con iniziative recentemente adottate, tra cui il Critical Infrastructure Blueprint e il Codice di rete sulla cybersicurezza per il settore elettrico dell’UE. Propone inoltre comunicazioni sicure e sforzi strategici per contrastare la disinformazione e misure per rafforzare la collaborazione tra entità civili e militari inclusa la NATO, in linea con gli obiettivi della futura strategia dell’UE sulla preparazione alle crisi

screenshot-gemini.google.com-2025.03.03-11_21_44

Scendendo più nel dettaglio, il Cyber Blueprint raccomanda 8 pratiche di sicurezza:

  • Preparazione: Sviluppare consapevolezza situazionale e condividere informazioni affidabili sulle minacce informatiche. Ciò include la cooperazione con il settore privato e la creazione di cluster collaborativi volontari tra gli Stati membri per affrontare minacce specifiche
  • Esercitazioni comuni: Condurre esercitazioni informatiche per prepararsi alle crisi e migliorare l’efficienza organizzativa
  • Capacità di risoluzione DNS: Potenziare le strategie di diversificazione della risoluzione dei nomi di dominio (DNS), inclusa l’infrastruttura DNS basata sull’UE, per garantire una risoluzione DNS affidabile durante le crisi
  • Risorse: Utilizzare appieno le risorse finanziarie disponibili per la sicurezza informatica fornite dai programmi dell’Unione
  • Rilevamento degli incidenti: Implementare strategie di rilevamento basate sulle minacce per identificare possibili pre-posizionamenti a scopo di interruzione
  • Risposta alla crisi: Rispondere in stretto coordinamento con altre entità che rispondono a minacce ibride più ampie, ripristinare rapidamente i sistemi compromessi e coordinare la comunicazione pubblica
  • Comunicazione sicura: Concordare soluzioni di comunicazione sicure e interoperabili per gli attori dell’Unione entro la fine del 2026
  • Coordinamento civile-militare: Sviluppare una consapevolezza situazionale comune tra attori civili e militari e stabilire punti di contatto per il coordinamento con la NATO in caso di crisi informatica

commissione ueEuropaSicurezza informatica
// Data pubblicazione: 03.03.2025
Condividi:
 

Come difendersi dalla gang ransomware Black Basta: la guida di Qualys

Come difendersi dalla gang ransomware Black Basta: la guida di Qualys
Comprendere il modus operandi di Black Basta è essenziale per le aziende che desiderano rafforzare le proprie difese.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Il settore della cybersecurity ha subito un forte scossone a seguito della massiccia fuga di comunicazioni interne di Black Basta, emerse dai registri delle chat di questa gang ransomware e originate da conflitti interni e da un data dump ritorsivo dopo attacchi a banche russe.

La Threat Research Unit di Qualys ha esaminato attentamente queste nuove informazioni, fornendo indicazioni concrete per i team di sicurezza e suggerendo azioni concrete per difendersi tra cui l’implementazione di patch immediate, il rafforzamento dei controlli di accesso e il miglioramento della risposta agli incidenti, in un’ottica di mitigazione dei danni derivanti da minacce ransomware sempre più sofisticate.

Le strategie di attacco di Black Basta

Comprendere il modus operandi di Black Basta è essenziale per le aziende che desiderano rafforzare le proprie difese. Il gruppo sfrutta infatti vulnerabilità conosciute, configurazioni errate e controlli di sicurezza insufficienti per infiltrarsi nei sistemi aziendali, con un’attenzione particolare alle autenticazioni deboli e ai malware mascherati come file legittimi.

I principali vettori di attacco utilizzati includono la scansione di servizi RDP e VPN esposti, spesso sfruttando credenziali predefinite o rubate. Inoltre, viene fatto un uso intensivo di malware droppers basati su MSI e VBS, con l’esecuzione di DLL dannose tramite Rundll32.exe. Il furto di credenziali e l’escalation dei privilegi restano strategie fondamentali nelle operazioni del gruppo.

ransomware Black Basta

Le fughe di dati hanno rivelato una lista di vulnerabilità critiche utilizzate da Black Basta per compromettere le reti aziendali. Qualys ha confermato la copertura per tutte le 62 vulnerabilità menzionate, fornendo alle aziende una guida per l’applicazione immediata delle patch. La priorità infatti è mitigare le minacce legate alle vulnerabilità attivamente sfruttate nelle campagne ransomware.

Parallelamente, le configurazioni errate rappresentano un punto debole fondamentale per molte aziende. Black Basta sfrutta configurazioni vulnerabili, come SMBv1 attivo su sistemi legacy, credenziali di default su router e VPN, configurazioni VPN deboli e accesso RDP non filtrato. La correzione immediata di queste vulnerabilità è essenziale per ridurre la superficie di attacco.

Metodi di accesso iniziale e persistenza

L’analisi di Qualys evidenza che Black Basta utilizza un approccio multilivello per ottenere l’accesso iniziale ai sistemi basato su:

  • Sfruttamento di servizi esposti e configurazioni errate: Attacchi a istanze Jenkins CI/CD, host VMware ESXi, gateway Citrix e VPN con credenziali deboli
  • Abuso di servizi di terze parti: utilizzo di piattaforme legittime di condivisione file come transfer.sh per distribuire payload dannosi
  • Esfiltrazione dati e ingegneria sociale: Prima di distribuire il ransomware, gli attaccanti archiviano ed estraggono file sensibili, con un focus su documenti legali e finanziari

Le informazioni trapelate dimostrano che Black Basta è in grado di passare dall’accesso iniziale alla compromissione completa della rete in poche ore (se non minuti) e ciò riduce drasticamente il tempo a disposizione delle aziende per reagire. La chiave per la difesa è una rilevazione proattiva delle vulnerabilità, unita a strategie efficaci di contenimento e risposta.

cybersecurityRansomware
Aziende:
Qualys
// Data pubblicazione: 28.02.2025
Condividi: