I nuovi effetti di un attacco Ransomware: i dati criptati venduti sul Dark Web. Questo è quanto hanno messo in evidenza gli attacchi informatici di quest’estate. Quando la vittima non vuole pagare il riscatto, gli Hacker incassano sempre!
L’estate del 2021 sarà certamente ricordata come particolarmente calda anche da un punto di vista della Cyber Security. La notizia dell’attacco informatico alla Regione Lazio ha avuto una portata tale da vedersi dedicata anche ripetutamente uno spazio sui Telegiornali delle rete televisive nazionali: ma non è stato certamente l’unico attacco Hacker che ha visto l’Italia nel mirino dei Cyber criminali.
Di cosa parliamo in questo articolo. Indice degli argomenti:
- La Regione Lazio: cronaca di un attacco Cyber
- L’attacco informatico alla Regione Lazio: un “potente attacco hacker senza precedenti”?
- La Regione Lazio come danno collaterale: un modus operandi già ben collaudato
- Altri Cyber attacchi di questa bollente estate: ERG, Tiscali, TIM – Parte 2
- Accenture: quando la vittima è un bersaglio di primo piano – Parte 2
- Preparsi all’impatto: Come mettere i sistemi informatici in sicurezza – Parte 2
Quest’articolo vuole quindi riassumere quanto recentemente accaduto e tenteremo al termine di questo lungo racconto, di dare qualche consiglio utile per mettere in sicurezza i sistemi informatici. Semplici consigli che valgono per le piccole realtà dotate di sistemi informatici piuttosto semplici, ma altrettanto per aziende più strutturate e decentralizzate. Da qualche tempo infatti tutte le aziende indipendentemente dalla dimensione, hanno dovuto gestire un problema comune: i lavoratori in Smart Working a causa della pandemia da COVID-19.
La Regione Lazio: cronaca di un attacco Cyber
Questa vicenda ha inizio tra sabato 31 luglio e domenica 1 agosto: il DataCenter della Regione Lazio viene colpito da un attacco informatico. Pare infatti che un dipendente abbia abboccato ad un mail di Phishing neanche troppo mirata. Non si tratterebbe infatti di una delle temute mail di Spear Phishing che vengono confezionate ad hoc per la vittima prescelta. Ma bensì di una coinvolgente mail dal titolo: “Hai vinto un IPhone”. Le conseguenze sono state le più temibili: sono stati criptati i file tramite un virus di tipo Ransomware chiamato LockBit 2.0.
LockBit è un virus che segue il modello “Ransomware as a Service” (RaaS) per la sua diffusione, secondo quanto documentato dagli esperti di Kaspersky in quest’articolo.
L’attacco sarebbe opera del gruppo di Hacker che si fa chiamare RansomEXX.
Le conseguenze dell’attacco Ransomware si sono presto visti: i dati criptati sono poi stati venduti sul Dark Web.
Una volta che i Cyber criminali hanno guadagnato l’accesso alla rete, raggiungono un “Domain Controller” ed eseguono il loro malware sullo stesso. Vengono così creati nuovi criteri per i gruppi utenti e automaticamente distribuiti a ogni dispositivo della rete. I criteri imposti da LockBit 2.0 prima disabilitano i software di sicurezza integrati nel sistema operativo e, contemporaneamente, eseguono dei task programmati su tutti i dispositivi Windows per avviare l’eseguibile del Ransomware.
– Fonte Tom’s Hardware
L’attacco informatico alla Regione Lazio: un “potente attacco hacker senza precedenti”?
L’assessore alla sanità Lorenzo D’Amato, l’aveva definito un “potente attacco hacker senza precedenti”. Sono seguite poi altre dichiarazioni da parte di vari esponenti politici all’incirca dello stesso tono.
Niente di tutto questo. Si è trattato semplicemente della diretta conseguenza di molti, troppi errori, tecnici e di comunicazione.
Un po’ di fortuna è quello che ci vuole per dare un lieto fine alla storia. L’ esperto di sicurezza informatica, Corrado Giustozzi dell’Agenzia per l’Italia digitale, ha annunciato l’avvio di una approfondita indagine forense. L’ultimo backup eseguito è risultato semplicemente cancellato durante l’attacco senza essere criptato. La Regione Lazio è così riuscita a rimediare al disastro: almeno è quanto sembra.
Ma attacchi di questo tipo sono quotidiani a livello mondiale. Solo il gruppo RansomEXX sarebbe ad esempio autore di attacchi simili alle reti governative del Brasile, il Texas Department of Transportation (TxDOT), Konica Minolta, IPG Photonics e il CNT ecuadoregno.
La Regione Lazio come danno collaterale: un modus operandi già ben collaudato
Ma come è stata possibile una catastrofe del genere? L’attacco ha così bloccato l’intera sanità della Regione Lazio. Il servizio di prenotazione dei vaccini COVID-19 è risultato sospeso per diversi giorni! Fortunatamente la campagna vaccinale ha continuato normalmente l’erogazione del servizio per tutti coloro che avevano già una prenotazione. Il fatto certo è che il portale sanitario “Salute Lazio”, piattaforma necessaria per vaccinarsi contro il COVID-19 risultava bloccata. E come risultato dell’attacco Ransomware, i dati una volta criptati sono poi stati venduti sul Dark Web.
Ma la Regione Lazio sarebbe soltanto un danno collaterale di un attacco, il cui obbiettivo era un altro.
Alcune fonti affermano che l’attacco sarebbe partito dal PC di un dipendente di Frosinone di LazioCrea. Altre fonti fanno riferimento a un dispositivo in uso a un dipendente di Engineering Informatica, società che erogherebbe servizi informatici proprio alla Regione Lazio.
Infatti anche Engineering Informatica, un importante società di consulenza di livello nazionale, è stata infatti vittima di Cyber criminali nello stesso periodo dell’attacco alla Regione Lazio.
Si tratta in ogni caso di un modus operandi purtroppo, da tempo ben collaudato.
Attraverso una semplice, mail di Phishing ben architettata, gli attaccanti sono venuti possesso di una credenziale di accesso alle VPN con diritti amministrativi: da qui sono state compromesse quelle di alcuni clienti.
Fin qui niente di nuovo. Quindi dove è la novità? La novità è nel bersaglio scelto. Colpendo infatti le aziende che si occupano di consulenza informatica e Cyber Security, gli attaccanti si garantiscono, a cascata, un accesso più o meno indiscriminato a tutti i clienti di queste società di consulenza informatica. Perché troppo spesso vale la regola del “Calzolaio con le scarpe bucate”.
Ma tutto questo si è già visto, oltre 10 anni fa, quando CIA e Mossad hanno attaccato le centrali iraniane di Natanz e Fordow, riuscendo a manomettere gli le centrifughe usate per l’arricchimento dell’uranio. Gli 007 della CIA hanno infatti attaccato e infettato con il virus Stuxnet alcune società che facevano manutenzione agli impianti nucleari. I tecnici manutentori sono diventati untori a loro insaputa.