Non c'è tregua: aziende, enti e istituzioni italiane continuano ad essere sotto un fitto cyber bombardamento. Certo, attacchi contro Comuni e Aziende sanitarie fanno molto notizia, ma quel che fa meno notizia sono gli attacchi contro piccole e medio grandi aziende italiane. Il sito Double Extortion, il cui gestore monitora i siti di leak dei principali ransomware attualmente attivi, riporta molti attacchi in Italia, molti più di quelli che hanno fatto notizia:
 |
| Fonte: https://doubleextortion.com |
Le novità di queste ultime settimane sono l'attacco con estorsione ad Alia Servizi ambientali Toscana, la pubblicazione del primo sample di dati sottratti al Comune di Torino, l'attacco contro Clementoni e l'ULSS di Padova.
1. Alia servizi Ambientali: 400.000 euro di riscatto
Alia Servizi Ambientali è l'azienda che gestisce raccolta e smistamento dei rifiuti in 60 Comuni della Toscana: 1.5 milioni di persone servite, 1800 dipendenti, 250 milioni di euro di ricavi. Il 6 Dicembre l'azienda pubblica una nota nella quale spiega che:"I nostri server sono stati oggetto di un attacco informatico di natura dolosa. Si registra l'impossibilità di accedere al portale, ai relativi servizi digitali e a tutti i sistemi informatici. [...] I servizi essenziali, le attività dì raccolta e spazzamento sono stati al momento garantiti. Dalla giornata di domani 7 dicembre potranno verificarsi criticità, principalmente sul ritiro ingombranti e servizi Covid. Sono state attivate tutte le opportune procedure e le comunicazioni alle autorità competenti".
Fin dalle prime ore si vocifera dell'esistenza di una nota di riscatto: riscatto confermato, ammontante a 400.000 euro da corrispondere in Bitcoin e fatto pervenire via email all'azienda.
L'Amministratore delegato di Alia, Alberto Vivace ha fatto sapere di aver segnalato l'evento alla Polizia Postale, ma non si parla di segnalazione al Garante: non ci sono notizie rispetto alla sorte subita dai dati detenuti da Alia, sicuramente sono a rischio i dati personali di più di un milione di utenti. Ad ora non sono state pubblicate rivendicazioni dell'attacco e sample di dati rubati su nessuno dei principali siti di leak dei principali ransomware, ma qualora le trattative dovessero saltare, sicuramente sentiremo di nuovo parlare di Alia. Intanto non è chiaro neppure il ransomware che ha colpito.
2. Il ransomware Conti scatenato: colpisce la Clementoni, ricatta il Comune di Torino
Il grande mattatore degli attacchi contro l'Italia si conferma di nuovo il ransomware Conti. Dell'attacco contro il Comune di Torino già abbiamo parlato qui, la novità è che gli attaccanti hanno iniziato a pubblicare i dati del Comune sul proprio sito di leak.
 |
| Fonte: sito di leak di Conti |
I dati pubblicati sono pochissimi, 10 MB circa: probabilmente la pubblicazione è finalizzata più ad aumentare la pressione sul Comune e costringerlo al pagamento del riscatto che ad una vendita reale di dati. Ciò non toglie che questi pochi MB contengono dati sensibili come nome e cognome, indirizzi di residenza e altri dati di cittadini del torinese.
Qualche giorno prima sempre sul sito di leak di Conti è stato rivendicato l'attacco e il furto di circa 111 GB di dati dalla rete azxiendale di Clementoni, la famosa azienda italiana produttrice di giochi per bambini.
"Ciao, abbiamo scaricato 111GB di dati personali dalla vostra rete, contattateci tramite il link contenuto nella nota di riscatto" si legge.
 |
| Fonte: sito di leak di Conti |
La notizia dell'attacco già era trapelata nella giornata di Domenica 5 Dicembre: in quei giorni si sapeva dell'interruzione di alcuni servizi e una serie di malfunzionamenti che avevano afflitto la produttività aziendale. Il 6 Dicembre la cyber gang Conti pubblica la rivendicazione dell'attacco, così diviene chiara la matrice e la tipologia di attacco subito.
Per approfondire > Cyber attacchi in Italia: anatomia del ransomware Conti
3.ULSS di Padova Hacked!
L'ULSS6 di Padova, il 3 Dicembre, pubblica un comunicato stampa nel quale avverte di aver subito un attacco informatico:
"L'Ulss 6 Euganea informa che nella notte si è verificato un attacco hacker, che ha comportato il blocco della maggior parte dei server, compromettendone la fruibilità."
 |
| Fonte: https://www.facebook.com/UlssEuganea6/photos/a.691595034347885/2027438287430213 |
Qualche ora dopo, viene confermato l'accesso abusivo da parte di ignoti attaccanti ai server aziendali. Finiscono sospesi Cup, nuove registrazioni dei pazienti, l'intero sistema dei laboratori di analisi, i punti prelievi e perfino il sistema di vaccinazione anticovid: è infatti impossibile avere accesso alle banche dati e utilizzare le piattaforme sanitarie.
I tecnici IT sono per riusciti a mitigare il danno predisponendo una nuova infrastruttura server parallela e isolata dalla principale, sulla quale hanno provveduto a riattivare gli applicativi necessari. Gli Hub vaccinali e i punti tampone hanno ripreso così a funzionare, anche se si registra che alcuni padiglioni sono dovuti tornare all'uso di carta e penna. Impossibile per i medici di base prenotare i tamponi, sospeso il sistema di tracciamento Anti Covid mentre le farmacie non avevano più accesso ai dati riguardanti i farmaci da consegnare.
Il 6 Dicembre gli attaccanti hanno finalmente "un volto": si tratta della cyber gang dietro al ransomware Hive. La rivendicazione dell'attacco infatti viene pubblicata sul loro sito, HiveLeaks
 |
| Fonte: sito di leak di Hive |
Il ransomware Hive in breve
Hive è un ransomware recente: le sue operazioni sono iniziate a Giugno del 2021. Mira solo aziende ed enti pubblici: il breach iniziale avviene tramite la più classica delle campagne di phishing, con la quale viene distribuito il malware.
Ottenuto l'accesso alla rete, Hive è dotato di strumenti che consenton0 agli attaccanti lo spostamento laterale lungo le reti: i file trovati lungo la strada sono esfiltrati prima della criptazione. Il ransomware viene distribuito nella rete non appena gli attaccanti ottengono l'accesso admin sui Windows domain controller. Hive è specializzato nella cancellazione di qualsiasi backup ed è dotato di molteplici strumenti il cui scopo è quello di impedire il ripristino delle reti.
E' tra i pochi ransomware a disporre anche di una variante usata per criptare sistemi Linux e server FreeBSD.
Nessun commento:
Posta un commento