area-press.eu

Tag: ransomware

  • Group-IB presenta il suo compendio annuale sul ransomware

    Amsterdam, 19.05.2022 – Group-IB, uno dei leader della cybersecurity su scala globale, presenta il suo secondo compendio annuale “Ransomware Uncovered Logo_Group-IB 2021/2022” sull’evoluzione della minaccia informatica numero uno. I risultati della seconda edizione del rapporto indicano che l’ascesa dell’impero del ransomware non ha conosciuto alcuna battuta di arresto e che la richiesta media di riscatto è aumentata del 45%, fino a raggiungere 247.000 dollari nel 2021. Le gang del ransomware sono anche diventate molto più avide rispetto allo scorso anno. Ad esempio, il gruppo Hive ha richiesto il riscatto record di 240 milioni di dollari a MediaMarkt (in Italia MediaWorld). Il riscatto più elevato nel 2020 è stato di “soli” 30 milioni di dollari. Hive e la new entry della “caccia grossa” (il cosiddetto Big Game Hunting) nel 2021, Grief, sono entrati rapidamente nella top 10 delle organizzazioni criminali per numero di aziende i cui dati sono stati pubblicati su apposite piattaforme online (DLS – Data Leak Sites). Una pratica che tra il primo trimestre 2021 e il primo trimestre 2022 ha interessato i dati di 986 aziende europee vittime di attacchi ransomware. Con 148 aziende i cui dati sono stati caricati sui DLS l’Italia è al terzo posto in Europa e al quinto su scala globale.

    La catena di montaggio del ransomware

    Il nuovo compendio fa il punto sulle più recenti tattiche, tecniche e procedure (TTP) adottate dagli attori delle minacce ransomware e osservate dal team Digital Forensics e Incident Response (DFIR) di Group-IB nelle sedi dell’azienda in tutto il mondo. Oltre ai 700 attacchi esaminati nel 2021 da Group-IB nel quadro delle proprie attività di risposta agli incidenti informatici e di Cyber Threat Intelligence, il rapporto tratta anche le piattaforme online su cui vengono divulgati i dati delle vittime del ransomware (DSL = Data Leak Sites).

    Gli attacchi ransomware operati da esseri umani mantengono uno stabile margine di vantaggio nel panorama delle minacce informatiche degli ultimi tre anni. L’ascesa dei broker di accesso iniziale (IAS), descritta nell´ Hi-Tech Crime Trends di Group-IB, e la proliferazione di programmi di Ransomware-as-a-Service (RaaS) sono elementi trainanti della crescita continua delle attività ransomware. Il RaaS ha permesso ai cybercriminali inesperti di unirsi al gioco, facendo lievitare il numero delle vittime.

    Sulla base dell’analisi di oltre 700 attacchi perpetrati nel 2021, gli esperti DFIR di Group-IB hanno stimato che la richiesta media di riscatto si è attestata sui 247.000 dollari nel 2021, il 45% in più rispetto al 2020. L’accresciuta sofisticatezza del ransomware risulta chiaramente visibile dai tempi di fermo delle vittime, passati dai 18 giorni del 2020 ai 22 del 2021.

    Gli ideatori dei programmi RaaS hanno iniziato a offrire ai propri clienti non solo kit di ransomware, ma anche strumenti per l’esfiltrazione dei dati, al fine di semplificare e snellire le operazioni. Di conseguenza, la tecnica della doppia estorsione si è diffusa in modo ancora più capillare: i dati sensibili delle vittime sono stati esfiltrati per forzare il pagamento del riscatto nel 63% dei casi analizzati dal team DFIR di Group-IB. Tra il primo trimestre 2021 e il primo trimestre 2022, le gang del ransomware hanno pubblicato sui DLS i dati appartenenti ad oltre 3.500 vittime. La maggior parte delle aziende i cui dati sono stati diffusi tramite DLS nel 2021 ha sede negli Stati Uniti (1.655), 986 sono invece le aziende europee colpite.  Con 148 vittime i cui dati sono stati esfiltrati e pubblicati sui DLS, l’Italia occupa il quinto posto nella classifica mondiale e il terzo in quella europea, seguita a ruota dalla Germania con 143 aziende. La maggior parte delle organizzazioni i cui dati sono stati divulgati fa capo al settore industriale (322, di cui 28 italiane), immobiliare (305) e dei servizi professionali (256). In Italia anche il settore dei trasporti (15 aziende) e il commercio (13 aziende) risultano interessati dal fenomeno.

    Lockbit, Conti e Pysa si sono rivelate le organizzazioni più aggressive per numero di aziende i cui dati sono stati caricati sui DLS, rispettivamente 670, 640 e 186, tra cui figurano anche aziende italiane, nella fattispecie rispettivamente 45, 25 e 12 vittime. Le due new entry nel Big Game Hunting del 2021, Hive e Grief (una riedizione di DoppelPaymer), sono entrati rapidamente nella top 10 delle gang del ransomware per numero di vittime i cui dati sono stati postati sui DLS.

    Bot ingannevoli

    Nel 2021 l’abuso di server RDP esposti su Internet è stato ancora una volta il metodo più comune per l’accesso iniziale alle reti target – il 47% di tutti gli attacchi analizzati dagli esperti DFIR di Group-IB è iniziato con la compromissione di un servizio remoto esterno.

    Le E-mail di spear phishing contenenti malware comune si sono riconfermate in seconda posizione (26%). L’impiego di malware standard nelle prime fasi di un attacco ha guadagnato popolarità tra gli attori del ransomware rendendo più complicata l’attribuzione degli attacchi ransomware. Nel 2021 infatti molti bot come Emotet, Qakbot e IcedID sono stati utilizzati da più attori, mentre nel 2020 alcune tipologie di malware comune erano legate a specifiche gang. Il team DFIR di Group-IB ha ad esempio osservato che IcedID è stato impiegato da vari gruppi ransomware per assicurarsi l’accesso iniziale. Tra questi Egregor, REvil, Conti, XingLocker, RansomExx.

    In generale, numerose organizzazioni ransomware si sono affidate a tecniche abituali e strumenti legittimi durante il corso di un attacco. Malware comuni sono stati spesso utilizzati per avviare altre attività a posteriori dell’esecuzione, ad esempio il caricamento di framework come Cobalt Strike (osservato nel 57% degli attacchi).

    Altre gang ransomware si sono cimentate invece in approcci molto inusuali. Gli affiliati di REvil hanno sfruttato vulnerabilità zero-day per attaccare i clienti di Kaseya. BazarLoader, utilizzato nelle operazioni di Ryuk, è stato distribuito tramite vishing (phishing vocale). Le e-mail di phishing contenevano informazioni su “abbonamenti a pagamento”, che – secondo quanto affermato – potevano essere disdetti telefonicamente. Durante la telefonata, gli attaccanti attiravano la vittima su un sito web fasullo e fornivano istruzioni per scaricare e aprire un documento compromesso, che scaricava ed eseguiva BazarLoader.

    “A fronte delle molteplici ridenominazioni forzate dalle operazioni di polizia e della fusione delle TTP, dovuta alla costante migrazione degli affiliati da un programma Ransomware-as-a-Service (RaaS) all’altro, sta diventando sempre più difficile per i professionisti della sicurezza tenere traccia delle tattiche e degli strumenti in continua evoluzione impiegati dagli attori del ransomware”, afferma Oleg Skulkin, responsabile del team DFIR di Group-IB. “Per tenere al corrente i responsabili della cybersecurity aziendale e prepararli ad eventuali incidenti ransomware, abbiamo evidenziato le principali tendenze e i cambiamenti delle TTP sotto forma di indicazioni praticabili, mappate e organizzate secondo la matrice MITRE ATT&CK®”.

    La seconda edizione 2021/2022 del rapporto “Ransomware Uncovered” presenta quindi una matrice MITRE ATT&CK® che contiene informazioni sulle TTP impiegate più di frequente durante gli attacchi ransomware operati da esseri umani. Il nuovo compendio è scaricabile dal sito web di Group-IB.

  • Malware: il bilancio del 2018

    Sebbene nel 2018 nessun attacco abbia assunto dimensioni tali da destare l’interesse dei mass-media è innegabile che nello scorso anno siano stati diffusi numerosi nuovi malware: attacchi che, seppur sofisticati, non hanno scalzato il buon vecchio ransomware, di cui sentiremo ancora parlare. Il team di Intelligence di Stormshield traccia il bilancio dei malware dello scorso anno.

    Niente WannaCry o simili nel 2018, che ha tuttavia visto emergere attacchi malware sempre più sofisticati. Tra questi ad esempio Slingshot, ad oggi il più avanzato, definito “un capolavoro” dagli esperti di Kaspersky Lab. Sfruttando due moduli, GollumApp e Cahnadr, il malware Slingshot prende il controllo integrale della macchina infetta e svolge molteplici funzioni: recupera qualunque tipo di dato, cattura immagini dello schermo, traccia qualsiasi input dato tramite tastiera. Difficile da rilevare, si adatta persino alle soluzioni di sicurezza installate sul sistema con strategie di “anti-debugging”. Questo malware non colpisce solo siti web, ma annovera tra i propri obiettivi anche computer collegati ai router MikroTik.

    Svolta decisiva per il cryptojacking

    Fatta eccezione per Slighshot, la crescita esponenziale del malware è dovuta alla proliferazione di strumenti per minare criptovalute in modo abusivo (cryptojacking) sfruttando le risorse della CPU di macchine infette, come Coinhive e Crytoloot. Secondo il report di Skybox, questo genere di minacce ha rappresentato il 31% degli attacchi nei primi sei mesi del 2018, rispetto al 7% negli ultimi sei mesi del 2017. Una tecnica apprezzata dai cybercriminali meno esperti, poiché meno rischiosa e più remunerativa. I malware progettati a tale scopo prendono illecitamente il controllo degli onerosi processi di calcolo matematico sviluppati sia per generare criptovalute sia per verificare, autenticare e convalidare le transazioni effettuate con queste valute.

    I rischi del social hacking

    Altra minaccia in piena crescita è la frode ai danni degli utenti dei social network. Secondo Proofpoint ad esempio l’uso di tecniche di ingegneria sociale e di manipolazione delle informazioni allo scopo di trarre in inganno gli internauti sarebbe cresciuto del 485% nel terzo trimestre del 2018 rispetto allo stesso periodo dell’anno precedente. I dati sensibili delle aziende sono particolarmente esposti a questo tipo di minaccia poiché ogni impiegato è un possibile bersaglio per i social hacker: “i cybercriminali trascorrono sempre più tempo a indagare sugli interessi delle persone che lavorano per aziende specifiche, così da poter inviar loro e-mail personalizzate e, di conseguenza, entrare nella rete aziendale per carpire quanti più dati possibile”, spiega Stéphane Prévost, Product Marketing Manager di Stormshield.

    Botnet multifunzione

    Un’ultima rilevante particolarità da segnalare per il 2018 è rappresentata dalla crescita di botnet multifunzione, sufficientemente versatili per poter eseguire qualsiasi compito. Queste reti di computer infetti sono controllate da cybercriminali e utilizzate per diffondere malware e facilitare attacchi spam o i denial-of-service (DDoS). Il volume di RAT (remote access trojans) come Njrat, DarComet e Nanocore risulta raddoppiato nel 2018: “Ne è un esempio il ‘Pony RAT’, un trojan poco sofisticato ma facilmente reperibile e focalizzato su bersagli mal protetti”, afferma Paul Fariello, membro del Security Intelligence Team.

    La vera minaccia rimane il ransomware

    Tutti questi “nuovi” attacchi non devono farci perdere di vista il caro vecchio ransomware, più pericoloso che mai. SamSam, una famiglia di ransomware attiva dal 2015, è ritenuta responsabile di una serie di attacchi di alto profilo, come quello perpetrato alla città di Atlanta in marzo. In questo ambito, i cybercriminali non mancano certo di inventiva, come dimostrato dai ransomware Gandcrap e DataKeeper con i loro aggiornamenti quotidiani. “Benché gli attacchi siano divenuti sicuramente più complessi, i ransomware tradizionali (che cifrano i dati) rimangono di gran lunga la minaccia più rilevante per le piccole e medie imprese”, dichiara Paul Fariello, raccomandando di non abbassare la guardia in nessun caso.

  • G DATA Anticipazioni 2017: il ransomware ancora protagonista

    logo-claim-2015-3c-highresBochum (Germania) | Locky, Petya, TeslaCrypt – ovunque guardiamo, il ransomware è stato nel 2016 l’argomento numero uno per la sicurezza IT. L’anno è cominciato col botto lasciando registrare in Italia numeri record di infezioni sin dal primo trimestre. Un trend che non dà segni di diminuzione per il 2017. Ciò non meraviglia: l’utilizzo di ransomware è un modello di business altamente remunerativo per i cybercriminali, motivo per cui nuove varianti perfezionate di ransomware vengono prodotte e diffuse con regolarità.

     „Raccomandiamo soprattutto alle piccole e medie imprese, di innalzare il livello di guardia generale rispetto alle minacce informatiche. È proprio questa tipologia di aziende, infatti, l’obiettivo più succulento per i cyber criminali” commenta Tim Berghoff, Security Evangelist di G DATA. Un altro problema lato sicurezza è indubbiamente il ritardo nel rilevamento di crimini informatici perpetrati tramite attacchi mirati. Infine ci troviamo di fronte ad una pericolosa dicotomia tra il crescente bisogno di tutela dei dati sensibili e il crescente numero di dispositivi iOT anche tra le mura domestiche, una situazione sicuramente foriera di grandi discussioni anche nel nuovo anno. “Gli attacchi condotti contro router domestici sono stati solo la punta dell’iceberg”. conclude Berghoff. “

    sicurezza

    Previsioni e tendenze per il 2017

    Smartphone sotto assedio
    Anche nel 2017 i cybercriminali non ridurranno il livello di attenzione dedicato ai dispositivi mobili. Vulnerabilità come „Drammer“ dimostrano come politiche di patching incoerenti e approssimative risultino essere il tallone d’Achille per dispositivi Android e iOS.

    Attacchi informatici ai danni di infrastrutture critiche
    Numerosi elementi presenti nelle attuali infrastrutture di rete sono stati creati quando la minaccia di attacco tramite internet non era ancora un reale problema. La crescente digitalizzazione ha lasciato quindi diverse componenti esposte e vulnerabili. Sistemi obsoleti, che non ricevono più aggiornamenti di sicurezza o su cui non è più possibile installarne, sono oggi connessi a Internet.

    I cybercriminali sono ben al corrente di questa situazione e si focalizzeranno in futuro ancor di più su tali infrastrutture vulnerabili.

    Sanità: settore nel mirino
    Diversi i casi che hanno attirato una notevole attenzione dei media su scala globale nel 2016, preludio di un 2017 decisamente impegnativo per il settore della sanità. Le preoccupazioni relative a potenziali attacchi basati su malware si contenderanno il podio con i timori relativi alla tutela della privacy. La protezione contro la fuga di dati svolgerà un ruolo centrale nella totalità degli sforzi profusi in sicurezza.

    Piccole e medie imprese
    Gli attacchi nei confronti delle piccole e medie imprese resteranno tema di attualità anche nel 2017. A fronte della sofisticatezza delle minacce persistenti, è elevata la possibilità che molti attacchi non vengano rilevati tempestivamente. Ad innalzare ulteriormente il livello di pericolo in cui incorrono le aziende è l’illusione che la propria impresa sia troppo piccola per destare l’interesse di malintenzionati e sia pertanto “immune” da tali rischi.

    Consolidamento nell’industria della sicurezza IT
    Il fatto che i confini della rete stiano ormai sbiadendo ha un impatto diretto sulle soluzioni proposte dall’industria della sicurezza IT. La separazione tra protezione dell’endpoint e protezione del perimetro della rete sarà sempre meno netta,  una situazione che ha scatenato l’interesse delle compagnie assicurative, che hanno iniziato ad offrire copertura per eventuali incidenti informatici. Per il 2017 ci aspettiamo un incremento di tali attività, motivo per cui la stessa G DATA Italia intrattiene partnership con diversi enti assicurativi.

    Minacce IT
    L’internet delle cose sarà impiegato sempre più spesso per veicolare attacchi. Primi episodi di questo tipo hanno già conquistato le prime pagine dei giornali. Anche in questo ambito è forte il collegamento al mondo mobile, gran parte dei dispositivi “smart” passibili di attacco sono infatti configurati e controllati tramite smartphone e tablet, altamente vulnerabili.

    Legislazione sulla privacy
    Il 25 maggio 2018 entrerà in vigore il GDPR (General Data Protection Regulation) e avrà implicazioni su scala globale. Alcuni considerano il GDPR come diretto contendente del’accordo UE “Privacy Shield” siglato con gli Stati Uniti in sostituzione dell’accordo Safe Harbor sul trattamento intercontinentale dei i dati confidenziali.

    Secondo il GDPR infatti, la riservatezza dei dati archiviati nelle infrastrutture cloud statunitensi è tutt’altro che scontata.

    (altro…)

  • G DATA avvisa: il nuovo ransomware Manamecrypt usa vettori di infezione non convenzionali e blocca noti antivirus

    Il trojan che cifra i dati, a cui ci si riferisce anche con il nome di CryptoHost, si diffonde attraverso software altrimenti legittimi.
    Logo-Claim-2015-3c-highres

    I G DATA Security Labs hanno identificato Manamecrypt un nuovo ransomware noto anche come CryptoHost. Questo nuovo malware non solo cifra i file ma blocca anche il funzionamento di determinate applicazioni che presentano stringhe particolari nel nome del rispettivo processo. Inoltre viene veicolato in modo decisamente atipico per questa tipologia di minacce: si presenta in “bundle” con software altrimenti legittimi e viene installato insieme all’applicazione manipolata. Le soluzioni G DATA riconoscono e rimuovono questo malware.

    csm_manamecrypt_locked_01_anonym_430746d965

    Vettore di infezione e attività atipici

    Ciò che rende Manamecrypt fondamentalmene differente dai tipici malware che cifrano i file, di cui abbiamo sentito parlare nelle scorse settimane, è che il campione analizzato non si diffonde tramite mail o exploit kit bensì attraverso software legittimi, può quindi essere classificato come classico trojan. Il bundle consiste di un client µTorrent legittimo, adeguatamente firmato e correttamente funzionante, che reca con sé la componente nociva “on top”.

    Anche il comportamento del malware una volta installato è differente da altri ransomware, tra cui Locky,Petya o Teslacrypt, ampiamente trattati dai media di settore nelle scorse settimane. Manamecrypt seleziona i file che vuole cifrare e li copia in un file con estensione .RAR (un tipo di file compresso, simile a .ZIP), cifrando questo archivio con una password. I file originali vengono cancellati.

    Inoltre le applicazioni con specifiche stringhe nel nome del processo (tra cui alcune soluzioni di sicurezza di terzi) vengono bloccate con il seguente avviso:

    manamecrypt_block_exe_01

    Interessanti anche le stringhe colpite dal ransomare:

    Catturamanamecrypt

    Per ulteriori dettagli sui tipi di file cifrati e altre informazioni su questo nuovo malware, pregasi consultare l’articolo completo sul G DATA SecurityBlog: https://blog.gdatasoftware.com/2016/04/28234-manamecrypt-a-ransomware-that-takes-a-different-route

    Come prevenire infezioni

    • Installare una soluzione di sicurezza che include uno scanner anti-malware e tecnologie proattive per l’identificazione di minacce sconosciute
    • Il software dovrebbe essere scaricato esclusivamente dalla pagina ufficiale dei rispettivi produttori
    • E’ importante effettuare regolarmente backup di documenti e dati importanti
    • Le applicazioni installate vanno aggiornate rapidamente, non appena è disponibile l’aggiornamento da parte del produttore
    • Esaminare con cautela le email ricevute da sconosciuti.

    (altro…)

  • Il caso dell’attacco phishing travestito da foglio Excel condiviso su piattaforma Windows Live

    Logo-Claim-2015-3c-highresI cybercriminali le tentano proprio tutte: gli attacchi mirati agli utenti aziendali non sono una novità, ma a volte gli espedienti utilizzati per accedere ai nostri dati sorprendono.

    I tentativi di attacco veicolati tramite mail erano già noti ancora prima dell’ondata di Ransomware. Quotidianamente vengono inviati in europa centinaia di milioni di messaggi spam, tra cui non figurano esclusivamente attacchi di massa ma anche attacchi mirati. Nel presente caso, analizzato dai G DATA Security Lab, abbiamo a che fare con un espediente ai danni delle aziende, il cui procedimento risulta “innovativo”. I destinatari della mail si accorgono solo facendo estrema attenzione, che si tratta di un tentativo di truffa. Le soluzioni G DATA riconoscono l’allegato come Script.Trojan-Stealer.Phish.AG. Tutti i dettagli di questo particolare caso sono consultabili sul blog dei G DATA Security Labs al link https://blog.gdatasoftware.com/2016/03/28211-order-turns-out-to-be-phishing-attack-in-excel-look

    La mail che raggiunge la casella di posta elettronica delle potenziali vittime reca un allegato chiamato purchase-order.htm. A ben guardare, il messaggio contiene elementi che destano sospetti. L’azienda emittente non esiste sotto questo nome, l’indirizzo gmail del mittente può risultare poco serio e il testo della mail contiene refusi, che possono essere scusabili, considerando che il potenziale cliente pare non essere geograficamente collocato in Paesi anglofoni.

    csm_excel_phish_document_anonym_6abcd9a205L’allegato é travestito da documento prodotto con Microsoft Excel e condiviso online. Il file si presenta in effetti come una tabella, ma in realtà è solo un’immagine (order.png) non un documento lavorabile. Con tecniche di social engineering i criminali puntano alla curiosità dell’utente, segnalando ad esempio in rosso che le informazioni contenute nel file siano riservate. L’immagine viene caricata da un server situato ad Hong Kong. Per poter scaricare il documento, il destinatario deve inserire le proprie credenziali di accesso ai servizi della piattaforma live.com di Microsoft. In effetti però, la maschera per l’inserimento di tali dati non ha il formato giusto. Evidentemente i cybercriminali partono dal presupposto che gli utenti dei servizi online legati al pacchetto Office siano facilmente raggirabili. Peraltro, il diretto riferimento visivo, ma non esplicitamente citato, a tale piattaforma, suggerisce che i dati di accesso ai servizi Windows Live siano l’obiettivo di questa campagna. In effetti sono di valore, poiché ottenendoli, i cybercriminali si assicurano accesso illecito ad una serie di servizi, tra cui archivi di documenti online, posta elettronica per trafugare informazioni e inviare ulteriori messaggi di spam e molto altro.

    Tutti dati ottimamente sfruttabili, specie se provenienti da un contesto aziendale.

    excel_phish_login_error_anonym

    I dati inseriti, ossia l’indirizzo mail e la password, vengono inviati subito dopo il click su “scarica” allo stesso server a Hong Kong, da cui sono state caricate le immagini, tuttavia ad un altro dominio. I G DATA Security Labs ritengono che l’intero server sia controllato dai cybercriminali. Dopo l’invio dei dati, una pagina web presenta – ovviamente – una notifica di errore.

    Come proteggersi quando si ricevono mail di questo genere

    Partendo dal presupposto che tutti siano dotati di una soluzione di sicurezza che integri una protezione antispam aggiornata:

    • Verificate la plausibilità del messaggio chiedendovi:
      • La mia azienda ha motivo di ricevere un ordine dall’estero?
      • Il destinatario della mail sono io o sono indicati altri indirizzi?
      • Che impressione generale mi fa il messaggio? Ci sono errori evidenti?
    • Siate sospettosi quando ricevete mail da mittenti sconosciuti. Se la mail risulta “strana” ignoratela, cancellatela ma non aprite allegati e non cliccate su link. Soprattutto non rispondete alle mail di spam, mai, perché farlo corrisponde a confermare che il vostro indirizzo mail esiste, quindi assume un valore ancora maggiore per i criminali!
    • L’apertura di allegati é un fattore di rischio, occorre scansirli con una soluzione di sicurezza e poi cancellarli senza aprirli. In caso di dubbio girate il file senza aprirlo direttamente ai G DATA SecurityLabs per un’analisi.
    • I link nelle mail non vanno cliccati senza pensarci bene. L’indirizzo web andrebbe verificato. Molti client di posta elettronica consentono di verificare l’esatto rimando del link senza cliccarci sopra, bensì passandoci sopra il mouse. In caso di incertezze inviate l’indirizzo (senza cliccarci sopra) ai G DATA Security Labs per l’analisi.
    • Le e-Mail con allegati in formato HTM(L) dovrebbero essere valutate con grande scetticismo. Il formato è usato di norma per siti web, difficilmente per lo scambio di informazioni tra persone. Lo stesso dicasi per file in formato .JS (JavaScript).
    • Non comunicate dati personali, né per email, né tramite formulari di dubbia natura o su siti sospetti.
    • In un contesto aziendale: fate riferimento al vostro amministratore di sistema o al CISO, qualora un dato processo risulti sospetto.

    (altro…)