L’FBI ha affermato che migliaia di credenziali compromesse raccolte dalle reti di college e università statunitensi stanno circolando sui forum criminali online in Russia e altrove e potrebbero portare a violazioni che installano ransomware o rubano dati. È quanto ha riportato il sito arstechnica.com.
LEGGI ANCHE –> La Russia costringe Google a rimuovere oltre 36.000 URL collegati ai servizi VPN
“L’FBI sta informando i partner accademici delle credenziali identificate di college e università statunitensi pubblicizzate per la vendita sui mercati criminali online e sui forum accessibili al pubblico”, ha affermato l’agenzia. “Questa esposizione di credenziali sensibili e informazioni di accesso alla rete, in particolare account di utenti privilegiati, potrebbe portare a successivi attacchi informatici contro singoli utenti o organizzazioni affiliate”. I nomi di accesso e le password vengono regolarmente raccolti negli attacchi di phishing, che possono utilizzare false affermazioni di violazione dell’account o una presentazione a tema COVID per attirare le vittime. Spesso, gli attori delle minacce che conducono questi attacchi vendono i dati sui forum della criminalità. I dati possono quindi essere raccolti da altri attori delle minacce che si concentrano sulle infezioni dei server a fini di ransomware, cryptojacking o spionaggio. Nel 2017, ad esempio, l’FBI ha osservato che i criminali prendevano di mira le università per hackerare gli account .edu “clonando le pagine di accesso dell’università e incorporando un collegamento per la raccolta delle credenziali nelle e-mail di phishing”. Gli attori delle minacce riceverebbero quindi le credenziali compromesse direttamente dal server dell’università.
Il bollettino elencava esempi osservati di dati di account universitari compromessi, tra cui: A partire da gennaio 2022, i forum di cyber criminali russi hanno offerto in vendita o pubblicato per l’accesso pubblico le credenziali di rete e gli accessi di rete privata virtuale a una moltitudine di università e college con sede negli Stati Uniti identificati in tutto il paese, alcuni dei quali includevano screenshot come prova di accesso. I siti che pubblicano le credenziali per la vendita in genere quotano i prezzi che variano da poche a diverse migliaia di dollari USA. Nel maggio 2021, su una piattaforma di messaggistica istantanea pubblicamente disponibile sono state identificate oltre 36.000 combinazioni di e-mail e password (alcune delle quali potrebbero essere state duplicate) per account di posta elettronica che terminano con .edu. Il gruppo che ha pubblicato i dati compromessi sembrava essere coinvolto nel traffico di credenziali di accesso rubate e in altre attività criminali informatiche. Alla fine del 2020, nomi utente e password di account universitari con sede nel territorio statunitense con il dominio .edu sono stati trovati in vendita sul dark web. Il venditore ha elencato circa 2.000 nomi utente univoci con password di accompagnamento e ha chiesto che fossero fatte donazioni a un portafoglio bitcoin identificato. Da inizio 2022 il sito contenente le credenziali non era più accessibile. Sia l’FBI che i ricercatori indipendenti sulla sicurezza raccomandano al personale IT all’interno delle università e di altre organizzazioni di “stabilire e mantenere solide relazioni di collegamento con l’Ufficio sul campo dell’FBI nella loro regione”. Ciò può facilitare la comunicazione tra le parti in caso di emergenza.
[CREDIT PHOTO: ITALY PHOTO PRESS]