L’agenzia delle Nazioni Unite per lo sviluppo (UNDP) sta indagando su un attacco ransomware che ha colpito i suoi sistemi IT e ha portato al furto di dati delle risorse umane. L’UNDP, la rete globale di sviluppo delle Nazioni Unite, opera in oltre 170 paesi e territori e si affida alle donazioni degli Stati membri dell’ONU e del settore privato/multilaterale per aiutare a combattere la povertà e ridurre le disuguaglianze e l’esclusione.
In una dichiarazione pubblicata martedì, l’organizzazione ha rivelato che gli attaccanti hanno violato la sua infrastruttura IT locale a Città dell’ONU, Copenaghen, alla fine di marzo.
“Il 27 marzo, l’UNDP ha ricevuto una notifica di intelligence sulla minaccia che un attore di estorsione dei dati aveva rubato dati che includevano alcune informazioni sulle risorse umane e sull’approvvigionamento”.
L’agenzia ha aggiunto che sono state immediatamente intraprese azioni per identificare la fonte potenziale e contenere il server interessato, oltre a determinare i dettagli dell’esposizione dei dati e chi era interessato.
L’UNDP sta ora indagando sulla natura e sulla portata dell’incidente e valutando l’impatto dell’attacco sui singoli individui la cui informazione è stata rubata. L’agenzia ha anche allertato e sta ora lavorando con coloro che sono stati colpiti dalla violazione per proteggere le loro informazioni personali dal maluso.
Attacco rivendicato dal gruppo 8Base
Mentre l’agenzia non ha ancora collegato l’attacco a un gruppo di minacce specifico, il gruppo ransomware 8Base ha aggiunto una nuova voce UNDP al suo sito web di fuga dei dati sul dark web il 27 marzo.
Gli attaccanti affermano che i documenti che i loro operatori sono riusciti a esfiltrare durante la violazione contengono grandi quantità di informazioni sensibili.
I file temporaneamente pubblicati tramite un link scaduto sembrano contenere “una grande quantità di informazioni confidenziali”, dati personali, dati contabili, certificati, contratti di lavoro, accordi di riservatezza, fatture, ricevute e altro ancora.
Il gruppo 8Base è emerso a marzo 2022, e l’attività è aumentata bruscamente a giugno 2023 dopo che gli aggressori hanno iniziato ad attaccare le aziende in una gamma più ampia di settori verticali e a passare al doppio estorsione.
Il gruppo ha lanciato il suo sito web di fuga dei dati a maggio 2023, con il gruppo di estorsione che afferma di essere “onesto e semplice” tester di penetrazione che prendono di mira “le aziende che hanno trascurato la privacy e l’importanza dei dati dei loro dipendenti e clienti”.
Finora, questo gruppo ransomware ha elencato oltre 350 vittime sul suo sito, annunciando fino a sei vittime alla volta in alcuni giorni. 8Base utilizza una versione personalizzata del ransomware Phobos, un malware che è apparso per la prima volta nel 2019 e condivide molte somiglianze di codice con il ransomware Dharma.
Il Programma delle Nazioni Unite per l’ambiente (UNEP) ha anche rivelato una violazione dei dati a gennaio 2021 dopo che oltre 100.000 record di dipendenti contenenti informazioni personali identificabili (PII) sono stati esposti online.
Le reti delle Nazioni Unite a Ginevra e Vienna sono state inoltre violate a luglio 2019 tramite una vulnerabilità Sharepoint, esponendo i dati dei dipendenti, le informazioni sull’assicurazione sanitaria e i dati dei contratti commerciali in quello che un funzionario delle Nazioni Unite ha descritto come un “grave cedimento”.
Proteggere la tua organizzazione dagli attacchi ransomware
Per proteggere la tua organizzazione dagli attacchi ransomware, è fondamentale adottare misure di sicurezza proattive. Ecco alcuni suggerimenti, soluzioni, consigli e best practice:
- Mantieni aggiornato il tuo software: assicurati che il software, i sistemi operativi e le patch di sicurezza siano aggiornati regolarmente.
- Utilizza l’autenticazione a più fattori (MFA): l’autenticazione a più fattori aggiunge un livello di sicurezza aggiuntivo ai tuoi account.
- Educare i dipendenti: educare i dipendenti sui rischi e sulle best practice per la sicurezza informatica, come riconoscere e segnalare le e-mail di phishing.
- Backup e recovery dei dati: esegui regolarmente il backup dei dati e testa i piani di recovery per garantire che i dati possano essere ripristinati rapidamente in caso di attacco.
- Implementa un firewall e un sistema di rilevamento delle intrusioni (IDS): questi strumenti possono aiutare a rilevare e prevenire gli attacchi ransomware.
- Utilizza la crittografia: crittografa i dati sensibili per proteggerli da accessi non autorizzati.
- Limitare i privilegi di accesso: concedere l’accesso solo a coloro che ne hanno bisogno per svolgere i propri compiti.
- Monitora l’attività di rete: monitorare l’attività di rete per rilevare eventuali attività sospette.
- Avere un piano di risposta agli incidenti: avere un piano di risposta agli incidenti in atto per gestire rapidamente e in modo efficace qualsiasi attacco ransomware.
- Considera l’utilizzo di un servizio di sicurezza gestita (MSSP): un MSSP può fornire una protezione aggiuntiva e monitoraggio delle minacce 24/7.
Implementando queste misure di sicurezza, puoi aiutare a proteggere la tua organizzazione dagli attacchi ransomware e garantire la continuità aziendale.
