giovedì 5 agosto 2021

Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain


Le puntate precedenti:
1. Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)
2. Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

Si allarga il "perimetro" dell'attacco che ha colpito e messo in paralisi i sistemi informatici e i data center della Regione Lazio: ERG ha infatti fatto sapere di aver subito solo alcune piccole interruzioni della propria infrastruttura IT a seguito di un attacco ransomware lanciato contro i loro sistemi. 

Secondo Repubblica, il ransomware in questione sarebbe LockBit, diffuso nella versione 2.0.

"Riguardo ai recenti rumors circolati sui media riguardo l'attacco hacker che ha colpito istituzioni e imprese, ERG riporta di aver subito soltanto piccole e minori disfunzioni sull'infrastruttura ICT, attualmente in via di superamento grazie al tempestivo dispiegamento e attuazione delle procedure interne di cyber security" si legge nella nota pubblicata da ERG ."L'azienda conferma che tutti gli impianti stanno funzionando correttamente e non c'è stata alcuna interruzione, garantendo così la continuità delle operazioni" concludono.

Questo attacco è da vedersi collegato a quello che ha colpito la Regione Lazio?

Difficile dirlo, ad ora, anche perchè la Regione Lazio è stata attaccata dal ransomware RansomEXX, mentre ERG con LockBit e, ufficialmente, queste sono due bande di cybercriminali separate: va però anche detto che sempre più spesso i gruppi ransomware collaborano tra di loro, sia lanciando attacchi coordinati sia concedendo ad altri gruppi gli accessi che hanno "scavato" nelle reti di enti e aziende. 

E' però dato di fatto che la Polizia postale stia valutando l'ipotesi che i due attacchi siano collegati e che si tratti di un attacco di tipo supply chain: per entrare nel sistema della regione Lazio, ci sono indizi del fatto che gli attaccanti abbiano prima bucato le reti di Engineering spa, società specializzata in servizi informatici che lavora con la gran parte delle PA nazionali e grandi aziende. Tra i suoi clienti, oltre alla Regione Lazio, ci sono anche Lombardia e Veneto, il Comune di Milano ecc... è probabile che le credenziali VPN rubate all'impiegato di LazioCrea siano state sottratte proprio tramite i servizi di Engineering spa. 

Per approfondire > Il ransomware LockBit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Engineering spa ha comunicato di aver subito un attacco proprio il 30 Luglio: l'azienda rassicura che "tutte le analisi escludono una correlazione tra quanto descritto e gli eventi che riguardano la Regione Lazio", ma nel dark web già circolano in vendita svariate credenziali dei clienti della società. In dettaglio, dal 30 Luglio, circola su alcuni forum del dark web un archivio di credenziali dei clienti di Engineering SPA in vendita a circa 30.000 dollari. Qualsiasi gruppo ransomware quindi avrebbe potuto comprare quelle credenziali e sfruttarle ed infatti, il 1° agosto, qualcuno ha davvero usato quelle credenziali e lanciato l'attacco contro la Regione Lazio. Repubblica riporta di aver contattato i gestori di LockBit, che hanno confermato che "dal Lazio non abbiamo notizie": il loro obiettivo, dicono, è ERG e per attaccarli sono passati dalla Engineering. Hanno inoltre detto ai giornalisti di Repubblica che ERG ha meno di 9 giorni per pagare il riscatto altrimenti inizierà la pubblicazione dei dati rubati. 

Il sito di leak di LockBit 2.0. L'azienda ha tempo fino alla mezzanotte del 13 Agosto per pagare il riscatto, altrimenti inizierà la pubblicazione dei dati rubati. 

Gli attacchi supply chain ormai sono un problema diffusissimo e si stanno moltiplicando: non bastassero i casi SolarWinds e Kaseya, anche l'Enisa, l'Agenzia Europea per la sicurezza informatica ha lanciato l'ennesimo alert sul punto. I dati parlano chiaro e l'Agenzia si aspetta un volume di attacchi supply chain di 4 volte superiore rispetto al 2020. 

A ribadire, non fosse chiaro, che non basta più difendere la superficie di attacco della propria organizzazione, ma occorre costruire una filiera solida dal punto di vista della sicurezza. D'altronde, un attacco supply chain contro un provider di servizi, permette con un solo colpo di poter violare centinaia o migliaia di target semplificando non poco il lavoro degli attaccanti. 

Per approfondire > Malware e tecniche di attacco: come cambiano gli strumenti dei cyber criminali contro le aziende

Nessun commento:

Posta un commento