€EUR

it_IT Italiano
it_IT Italiano en_GB English (UK) ru_RU Русский ar العربية ja 日本語 ko_KR 한국어 hu_HU Magyar tr_TR Türkçe es_ES Español cs_CZ Čeština sv_SE Svenska pt_PT Português el Ελληνικά fi Suomi nl_NL Nederlands ro_RO Română fr_FR Français pl_PL Polski uk Українська de_DE Deutsch zh_CN 简体中文 sk_SK Slovenčina
Blog
Dole Food Company Halts Operations After Ransomware AttackDole Food Company Halts Operations After Ransomware Attack">

Dole Food Company Halts Operations After Ransomware Attack

Alexandra Blake
da 
Alexandra Blake
13 minutes read
Tendenze della logistica
Novembre 17, 2025

Recommendation: Isolare immediatamente le reti interessate, spegnere i sistemi non essenziali e passare ai backup offline per proteggere i dati archiviati e scoraggiare la crittografia di file aggiuntivi senza esporre ulteriori informazioni.

Contesto: un produttore-distributore con sede in Nevada ha segnalato una grave interruzione riguardante decine di systems. L'incidente sembra collegato alla famiglia di minacce medusa e solleva questioni relative al controllo degli accessi attraverso reti, connessioni di terze parti e la resilienza di siti web e prodotti cataloghi. La leadership sta implementando un piano di contenimento rapido per minimizzare l'impatto sugli impegni presi con i clienti e per mantenere operativi i flussi di lavoro essenziali.

Il problema ha esposto lacune nella postura, consentendo movimenti laterali e crittografando tentativi in diversi segmenti. Alcuni file erano crittografato e porzioni di dati sono state trapelato, con backup stored in repository isolati per un successivo ripristino. Gli stakeholder, inclusi i partner ospedalieri e i principali rivenditori, sono stati informati e un team dedicato sta verificando gli accessi e gli ingressi al perimetro della rete.

Per accelerare il ripristino, il team dovrebbe allinearsi su preferences per la risposta e implementare una segmentazione di rete rigorosa, revocare le credenziali obsolete e convalidare siti web e prodotti elenchi da backup puliti. Un'esercitazione completa e testata di ripristino aiuterà a ripristinare i servizi ospedalieri e l'accesso dei consumatori, preservando al contempo le prove per l'indagine.

Il monitoraggio continuo è essenziale: sorvegliare i segnali di esfiltrazione dei dati, assicurarsi che i backup offline rimangano intatti e documentare il issue tempistiche per informare le parti interessate. Senza indugio, i team di sicurezza con sede in Nevada dovrebbero unirsi per rafforzare systems e ridurre l'esposizione, assicurando che questa posizione rimanga resiliente e capace di pieno recupero. Questo sforzo è supportato dai team del Nevada che si coordinano con le autorità di regolamentazione.

Aggiornamento sull'incidente di sicurezza

Raccomandazione: Isolare immediatamente i segmenti interessati, revocare le credenziali compromesse ed emettere senza indugio una notifica formale alle parti interessate.

In base ai risultati preliminari, la violazione alla base dell'interruzione è originata da credenziali di accesso remoto rubate, consentendo agli aggressori di muoversi lateralmente ed esfiltrare dati. La società ha rivelato che sono stati consultati migliaia di record, esponendo informazioni di identificazione personale tra cui indirizzi di domicilio e dettagli di contatto. L'incident response team sta accelerando il contenimento e il lavoro forense per determinare la portata e preparare gli aggiornamenti per le parti interessate.

Internamente, i log indicano un'attività coerente con un'intrusione mirata contro più reti. Un ricercatore di nome Henry Williams, affiliato ad Alamri, afferma che l'avversario ha sfruttato una VPN configurata in modo errato e un MFA debole, rimanendo nascosto dietro le difese perimetrali prima di rubare i dati. Gli aggiornamenti alla timeline aggiungono nuove scoperte man mano che l'analisi progredisce e conferma uno schema di furto di dati a fasi contro sistemi ancillari.

Notifiche e azioni legali: Il team di sicurezza dell'azienda aggiunge gli ultimi aggiornamenti al fascicolo del caso e si sta coordinando con le autorità di regolamentazione. È stato emesso un mandato di comparizione per preservare le prove; le autorità cercano i dettagli di contatto di migliaia di persone interessate e di identificare gli indirizzi legati alla violazione. Le informazioni divulgate comprendono dati personali identificabili, che portano a una risposta coordinata con le forze dell'ordine e i revisori terzi.

Prossime azioni per gli stakeholder: monitorare gli account per attività insolite, ruotare le credenziali e abilitare l'autenticazione a più fattori su tutti i punti di accesso. Eseguire scansioni degli endpoint e della rete, rivedere l'accesso dei fornitori terzi e allinearsi tempestivamente con gli aggiornamenti informativi in corso. L'obiettivo rimane la riduzione al minimo del rischio per gli utenti e il ripristino delle normali operazioni attraverso fasi di correzione verificate e tempistiche trasparenti.

Chiusura di Dole Ransomware: Passaggi pratici per partner e cittadini americani interessati

Chiusura di Dole Ransomware: Passaggi pratici per partner e cittadini americani interessati

Contenimento immediato: spegnere i segmenti compromessi, scollegare i sistemi interessati dalla rete e ripristinare gli archivi delle credenziali su tutti i portali partner e gli strumenti interni. Applicare l'autenticazione a più fattori per gli account amministratore e ruotare le chiavi API entro 24 ore per ridurre l'esposizione. Diversi sistemi critici sono stati colpiti.

Creare un hub informativo centralizzato per partner e vittime; condividere statistiche e aggiornamenti di stato; coordinarsi con la polizia e le autorità di regolamentazione; porre particolare enfasi sulla sicurezza dei dati e sulla threat intelligence in tempo reale. Utilizzare canali sicuri e limitare l'esposizione restringendo ciò che viene pubblicato pubblicamente.

  • Contenimento e ripristino per i partner:
    • Isolare le reti e i servizi interessati; disabilitare l'amministrazione remota; effettuare backup offline per verificarne l'integrità prima del ripristino. Durante i test, dare priorità ai backup che utilizzano procedure di verifica.
    • Reimposta password e credenziali; ruota i token; applica l'autenticazione multi-fattore; revoca i token obsoleti.
    • Rivedere le impostazioni condivise e i controlli di accesso; applicare il principio del privilegio minimo; controllare i gruppi di privilegi; verificare la presenza di account di servizio compromessi.
    • Verificare i backup offline che utilizzano fasi di verifica ed eseguire ripristini per controllare l'integrità dei dati; assicurarsi che i punti di ripristino siano puliti prima di rimettere in linea i sistemi.
  • Condivisione e coordinamento delle informazioni:
    • Pubblica una pagina di stato chiara con le informazioni divulgate; condividi le informazioni con partner e vittime; fornisci canali per segnalare i problemi.
    • Avvisare la polizia e le autorità competenti; documentare gli indicatori di compromissione scoperti durante il triage; mantenere i registri degli incidenti con date, azioni ed esiti.
    • Coordinarsi con fornitori di servizi come godaddy e telus per proteggere domini e reti; monitorare l'attività correlata come attacchi ddos e tentativi di credential stuffing.
  • Resilienza operativa e pianificazione del ripristino:
    • Avviare un piano di ripristino graduale con tappe fondamentali definite; puntare a ripristinare prima i servizi critici, per poi estendere ai sistemi non critici.
    • Applica l'hardening delle impostazioni di sicurezza: applica patch per le vulnerabilità note, abilita il rilevamento di anomalie, aumenta la registrazione e applica la segmentazione per limitare la diffusione.
    • Mantenere un monitoraggio continuo per gli attacchi informatici; analizzare i pattern da attori e gruppi sconosciuti; tracciare gli indicatori, inclusi IP e user agent, per bloccare attività sospette.
  • Vittime, dati sanitari e informazioni personali:
    • Offri servizi di protezione dell'identità e avvisa in caso di attività sospette; in particolare, segnala l'esposizione di informazioni personali; fornisci indicazioni sul monitoraggio degli account e sulla segnalazione di frodi; include i passaggi successivi da intraprendere.
    • In caso di coinvolgimento di cartelle cliniche, avvisare tempestivamente pazienti e fornitori; coordinarsi con i responsabili della privacy per mitigare i rischi e condividere le migliori pratiche.
  • Considerazioni sulla sicurezza e sulla gestione dei rischi:
    • Considera il rischio di estorsione legato alle criptovalute; documenta qualsiasi richiesta senza pagare; conserva le prove digitali per le forze dell'ordine; assicurati della governance attorno a qualsiasi risposta.
    • Rivedere le policy di conservazione dei dati e la formazione dei dipendenti; preparare una formazione continua per prevenire problemi simili; includere esercitazioni pratiche.
    • Valutare le maggiori vulnerabilità emerse; sviluppare un piano per affrontarle a livello aziendale e nella rete di fornitori; coinvolgere diversi partner per condividere le conoscenze.

Questo piano mira a risultati pratici per milioni di potenziali vittime, dando priorità alla sicurezza dei dati sanitari, alla sicurezza del dominio e al coordinamento tra organizzazioni per ridurre l'impatto dei continui attacchi informatici.

Cosa è successo: Cronologia, portata e vettore di attacco

Recommendation: Isolare immediatamente contenendo i segmenti interessati, revocare l'accesso remoto e avviare il ripristino da backup puliti; monitorare l'attività di crittografia e coinvolgere Dragos per una revisione coordinata dell'esecuzione.

La violazione si è sviluppata in più fasi durante il primo giorno. I primi indicatori sono apparsi quando decine di account utente hanno mostrato tentativi di accesso insoliti nei siti di Oakland e Angeles. Alcune attività sono state ricondotte a reti domestiche utilizzate da lavoratori remoti. In decine di minuti, l'attività di crittografia si è diffusa ai file server, crittografando condivisioni e repository di backup, interrompendo migliaia di endpoint e ampie porzioni della rete. Entro mezzogiorno, directory crittografate sono apparse nei negozi della contea di Lehigh, con schemi simili in diversi siti satellite. Dragos e altri ricercatori hanno collegato l'attività a gruppi di hacker noti, con indicatori che puntano a infrastrutture con sede in Portogallo e endpoint ospitati in India.

La portata ha interessato diverse contee e centri urbani, coinvolgendo centinaia di strutture e decine di archivi di dati. Grandi magazzini e centri di distribuzione sono stati interrotti, con migliaia di dispositivi interessati. Alcuni dati sensibili sembravano essere a rischio e non era chiaro se fosse avvenuta un'esfiltrazione su vasta scala. I siti di Oakland e Los Angeles sono stati tra i più colpiti, con ulteriori impatti segnalati nelle reti a livello di contea e nelle località remote. Lo schema rispecchia campagne simili descritte da Dragos, suggerendo un'intrusione coordinata con interruzioni a lungo termine.

Il percorso di intrusione è iniziato con il furto di credenziali e il phishing mirato al personale con privilegi di accesso remoto. Una volta all'interno, gli intrusi si sono spostati lateralmente utilizzando account utente legittimi, hanno aumentato i privilegi all'interno delle impostazioni e hanno distribuito payload di crittografia attraverso gli archivi di file. Hanno tentato di disabilitare il monitoraggio e le protezioni di backup per ostacolare il rilevamento. I canali di comunicazione sono stati utilizzati per coordinare i passaggi e parte del traffico di controllo proveniva da host con sede in Portogallo e server indiani. Si parlava di richieste di criptovaluta per monetizzare l'accesso, il che illustra perché chi risponde dovrebbe dare priorità al contenimento rapido e alla comunicazione sicura con gli utenti interessati a Oakland, Angeles e altre località colpite mentre mappano il percorso di esecuzione e chiudono la violazione.

Impatto Operativo: Interruzioni di Negozi, Distribuzione e Catena di Approvvigionamento

Azione immediata: attivare il protocollo di emergenza, isolare i computer compromessi, disabilitare gli accessi non autorizzati e ripristinare le impostazioni offline per limitare l'interruzione in corso che potrebbe intensificarsi. Assicurarsi che il personale sia informato e che il problema sia contenuto rapidamente.

I negozi hanno affrontato scaffali parzialmente vuoti e ritardi nelle consegne. Si è formata un'arretrato completo presso gli hub regionali, il che ha imposto una riconciliazione manuale degli ordini. Le statistiche provenienti dall'analisi del settore mostrano che il 28% delle spedizioni ha subito ritardi nelle prime 24 ore, con alcune rotte ri-instradate per preservare i corridoi critici. I fornitori con sede in Cina hanno subito ritardi a causa di controlli delle credenziali e problemi di accesso ai dati segnalati dai team di sicurezza.

Le reti industriali non furono le sole a subire interruzioni; l'impatto si estese ai produttori a valle e ai partner di distribuzione. Alcune linee di produzione si fermarono, forzando un passaggio a inventari freschi e coordinamento offline. Tale passaggio ha aumentato la dipendenza dai processi di arresto di emergenza. Il team di sicurezza ha monitorato indicatori come artefatti clop e stopdjvu; il rischio di esposizione di dati sensibili è stato monitorato mentre i backup erano completi, testati e convalidati.

Per contrastare l'interruzione, il team dovrebbe inviare brevi resoconti degli incidenti all'agenzia reale e ad altri partner, indagare su potenziali compromissioni e condividere indirizzi per percorsi alternativi sicuri. Sono state fornite istruzioni per contattare i partner ospedalieri per il triage rapido di eventuali interruzioni legate ai pazienti dovute a lacune nelle forniture. I produttori a marchio reale hanno avuto la priorità; sono stati inviati ordini al personale in prima linea con aggiornamenti chiari e passaggi necessari per mantenere la continuità del servizio.

Area Current Status Mitigazione Timeline
Negozi Scaffali parziali; nuove categorie interessate Reindirizzare gli ordini online; implementare le impostazioni offline; rafforzare i controlli dell'inventario 24–48 hours
Distribuzione Arretrati agli hub; cross-docking limitato Riprogrammare i percorsi; implementare corsie prioritarie; aumentare la copertura dei corrieri 24–72 ore
Production Linee rallentate; alcune linee in pausa Dare priorità agli SKU sensibili; incrementa la produzione con impostazioni di backup 48–72 ore
Sicurezza/Dati Indicatori: clop, stopdjvu; potenziale esposizione di dati Contenimento; segmentazione della rete; monitoraggio dell'attività e degli indirizzi del portafoglio Coinbase. Immediate
Communications Briefing delle agenzie; coordinamento ospedaliero Messaggistica unificata; notifica ai produttori; invia aggiornamenti al personale Hours

Linee guida per i partner di Dole: Piani immediati di risanamento e continuità

Contenimento di emergenza: disabilitare le credenziali compromesse, revocare i token e interrompere l'accesso esterno ai gateway entro 60 minuti; segmentare le reti per ridurre al minimo il movimento laterale e preservare le informazioni forensi, il che aiuta a identificare gli indicatori di furto e a limitare l'esfiltrazione dei dati.

Indirizzi degli asset nell'inventario: mappare gli indirizzi degli endpoint interessati, inclusi VPN e storage cloud, e mettere in quarantena quelli che sono stati toccati; limitare l'uscita internet per alcuni sistemi critici fino alla convalida da parte dei team di sicurezza. Assicurarsi che siano utilizzati solo i canali consentiti per gli aggiornamenti.

Comunicazioni: fornire aggiornamenti tempestivi via email tramite canali ufficiali; creare una pagina di stato sicura; assicurarsi che i partner canadesi e scandinavi ricevano le stesse informazioni; utilizzare determinati indirizzi di contatto e linee telefoniche; rispondere rapidamente; le azioni richieste devono essere registrate.

Backup e ripristino: verificare l'esistenza di backup offline e che non siano stati compromessi; eseguire controlli di integrità; ripristinare in una sequenza controllata; preferire la copia pulita più recente per ridurre al minimo la perdita di dati; documentare i tempi di esecuzione e preservare la catena di custodia; non ripristinare mai da supporti compromessi.

Gestione delle vulnerabilità: eseguire una valutazione rapida dei sistemi esposti e implementare le patch di vulnerabilità; dare priorità all'applicazione di patch per i dispositivi esposti a Internet e i server critici; eseguire una nuova scansione per confermare lo stato pulito; aggiornare le regole del firewall; tenere sempre traccia delle modifiche.

Pagamenti e controlli anti-frode: se si presenta una qualsiasi richiesta di pagamento, trattare come ad alto rischio e non soddisfarla; registrare l'azione richiesta e inoltrarla; mantenere una traccia di controllo sicura; coordinarsi con l'ufficio finanziario per confermare le richieste legittime tramite e-mail e canali ufficiali; assicurarsi che l'elaborazione sia sospesa se al di fuori delle procedure approvate.

Sicurezza dell'utente e del prodotto: applicare l'MFA, ruotare le credenziali e implementare il principio del minimo privilegio; distribuire sistemi EDR (Endpoint Detection and Response); monitorare con SIEM; utilizzare statistiche giornaliere per condividere i progressi con i partner; mantenere gli utenti informati; includere segmenti di medici laddove applicabile per garantire la protezione dei dati dei pazienti.

Continuità e logistica: creare percorsi di evasione alternativi e stoccare prodotti; concordare preventivamente consegne transfrontaliere con distributori canadesi e scandinavi; passare all'elaborazione offline degli ordini ove possibile; comunicare l'ETA per gli articoli riforniti per ridurre al minimo le interruzioni.

Governance post-incidente: produrre un conciso report dei punti salienti con una cronologia e metriche chiave; pubblicare aggiornamenti stand-up ai dirigenti; eseguire un'esercitazione teorica per testare la postura; mantenere una casella di posta per gli incidenti; aggiornare la directory degli indirizzi di contatto; eseguire report giornalieri che mostrino i progressi.

Violazione della sicurezza sanitaria: tipologie di dati, sistemi e popolazioni interessate

Adottare immediatamente misure di contenimento: isolare i sistemi interessati, revocare le credenziali di terze parti, passare a backup offline e avviare le attività forensi per determinare la portata e contenere l'incidente.

I tipi di dati includono informazioni sanitarie come PHI, dati demografici, note cliniche, codici diagnostici, dati relativi al trattamento, risultati di laboratorio e file di fatturazione; alcune parti sono sensibili e richiedono controlli di accesso rigorosi.

Le popolazioni interessate includono pazienti canadesi e residenti della contea; sono a rischio gruppi di utenti che accedono ai portali; questi potrebbero fare affidamento su cliniche comunitarie e servizi sociali.

I sistemi coinvolti comprendono database di cartelle cliniche elettroniche, reti IT ospedaliere, archiviazione cloud e portali ospitati da fornitori; fornitori terzi con domini ospitati da godaddy fanno parte della superficie; i canali di fornitura a loro potrebbero essere esposti; se si è verificata un'esfiltrazione è ancora in fase di revisione; si sospetta l'attività di alamri in questo attacco informatico.

Le azioni di risposta includono la notifica ai pazienti e ai loro tutori, l'offerta di monitoraggio del credito e la creazione di un call center; le autorità sanitarie e gli ufficiali giudiziari dovrebbero essere coinvolti per preservare le prove e coordinare le indagini; il budget dovrebbe coprire la forense, le revisioni legali e le comunicazioni pubbliche.

Le misure di mitigazione includono l'applicazione di MFA, la rotazione delle credenziali, la revoca degli account inutilizzati, il rafforzamento dei controlli di accesso, la segmentazione della rete e la prevenzione della perdita di dati; monitorare l'accesso anomalo a file sensibili; creare dashboard e inviare avvisi ai team di sicurezza.

Le misure a lungo termine mirano al rischio di approvvigionamento: mappare i flussi di dati, rivedere le dipendenze da GoDaddy e condurre esercitazioni trimestrali; mirano a ridurre il maggiore aumento dell'esposizione alle minacce e limitare i futuri incidenti.

Misure Protettive per gli Individui Coinvolti: Monitoraggio, Avvisi e Salvaguardia dell'Identità

Misure Protettive per gli Individui Coinvolti: Monitoraggio, Avvisi e Salvaguardia dell'Identità

Abilita immediatamente l'autenticazione a più fattori su tutti gli account e configura avvisi in tempo reale per tentativi di accesso e attività insolite. Se sei solo o lavori da remoto, richiedi una seconda persona che approvi le modifiche sensibili entro un intervallo di tempo ristretto. Implementa le necessarie approvazioni separate per le azioni critiche.

Imposta un portale di monitoraggio centralizzato che aggreghi eventi da sistemi interni e feed di terze parti affidabili; etichetta indicatori come indirizzi IP identificabili, tempi di accesso anomali, e-mail in blocco e creazione di nuove credenziali per ridurre le interruzioni.

Gli avvisi agli individui interessati devono includere indicazioni che spieghino esplicitamente cosa è successo, quali dati potrebbero essere stati consultati, le azioni per proteggere le informazioni e come rispondere. Utilizzare più canali per ridurre la possibilità di essere colti di sorpresa e garantire un'adozione tempestiva.

Offri monitoraggio dell'identità per individui con sede in California e altri stakeholder collegati all'incidente; aiutali a gestire gli account e monitorare attività sospette, con passaggi chiari per negare accessi non autorizzati. Fornisci opzioni che coprano il numero di persone interessate, incluse decine di migliaia, a seconda della portata dell'esposizione.

Coordinarsi con team interni e partner esterni per gestire le violazioni correlate; non accettare vaghe promesse; emettere un mandato di comparizione quando legalmente richiesto; allinearsi con le autorità di regolamentazione e i fornitori scandinavi per garantire una gestione coerente dei dati in tutte le regioni.

Mantenere alta l'attenzione su hacker e gruppi di hacker e sui loro metodi; schemi osservati di recente mostrano che le violazioni iniziano spesso con email compromesse. Se si visualizza una nota stopdjvu, isolare il dispositivo e seguire le procedure di risposta stabilite; questo scenario di attacco informatico richiede un'azione rapida e gli aggiornamenti al piano di risposta devono riflettere nuove informazioni, come potenziali attività di bande o altre minacce.