Abbiamo già parlato, qualche giorno fa, dell'attacco informatico subito da Trenitalia, che ha comportato giorni di disservizi e una figuraccia planetaria, quando le credenziali di accesso alla chat riservata al contatto con gli attaccanti sono finite pubblicate su Twitch (fatto per il quale l'attaccante ha raddoppiato la richiesta di riscatto e fornito nuove credenziali di accesso). E' emerso che l'attacco è stato portato da un gruppo ransomware ben noto in Italia, Hive. Fonti giornalistiche confermano che Trenitalia è ancora alle prese con la risoluzione dell'attacco: se il servizio di biglietteria è stato ripristinato nelle stazioni principali, in molte stazioni medio piccole non è ancora disponibile. Quasi in contemporanea questo attacco, ne sono avvenuti altri due: uno contro Confindustria Catania e uno contro l'azienda Crich: ne parliamo qui.
Ma le scorse settimane non sono state da meno e hanno confermato che l'Italia è sotto torchio da parte del cyber crime, in una situazione in cui regna un ossessivo timore di atti di cyber war.
Il 30 Marzo c'è stato, va detto, un falso allarme: i sistemi informatici di Sogei sono andati offline e con essi i siti del Dipartimento delle Finanze del Ministero dell'Economia e delle Finanze, dell’Agenzia delle Entrate, dell'Agenzia di Riscossione, dell'Agenzia delle Dogane e Monopoli di Stato, dell' Agenzia del Demanio, della Ragioneria dello Stato e della stessa Sogei. Anche il sito del Computer security incident response team italiano (Csirt) è stato offline alcune ore. Sono andate in blocco alcune funzionalità del Green Pass, azzerate fatture, ricette elettroniche e scommesse online. Nessun attacco in questo caso, solo la conferma della fragilità delle nostre infrastrutture: Sogei ha spiegato che il disservizio è originato da problemi elettrici occorsi nella rete di alimentazione dei data center. Molti dispositivi hanno avuto problemi a cascata.
Fonte: https://twitter.com/Sogei_SpA |
Qui però finiscono i falsi allarmi e si fanno veri...
tra il 4 e il 5 Aprile comincia a diffondersi la notizia di un attacco contro la Banca d'Italia. Nessuna violazione, fortunatamente, ma l'attacco c'è stato e Banca d'Italia ha pubblicato una dichiarazione in tema.
Qualcuno avrebbe contattato telefonicamente alcuni correntisti fingendosi un'operatore della banca per rubare le informazioni necessarie ad accedere all'home banking. La truffa, dice Bankitalia, ha riguardato pochi correntisti mentre alcune somme rubate sono già state recuperate. Non sembra che vi sia stato quindi un attacco sull'infrastruttra, ma una classica truffa telefonica.
Il Mistero del sito web del MITE
Il 6 Aprile scompare il sito web del Ministero della Transizione Ecologica. In diretta radio, il Minsitro Roberto Cingolani, annunciava che “Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”.
Tutti i sistemi sono stati messi offline e così restano tutt'ora. Non si sa molto altro: Cingolani ha spiegato che le strutture preposte stanno operando per riportare in sicurezza l'infrastruttura e procedere al ripristino, individuando la minaccia. L'esperto di cyber security Pierluigi Paganini ha dichiarato:
"la necessità di dover mantenere offline l’infrastruttura del Ministero è sintomatica della gravità dell’incidente occorso. Da un lato la necessità di isolare la minaccia, eradicarla evitando la propagazione ed ulteriori danni, dall’altro l’esigenza di investigare un incidente comprendendone le cause e cercando di attribuirlo ad una specifica categoria di attori, siano essi gruppi criminali che attori nation-state. Che si tratti di un ransomware, piuttosto che di un sofisticato impianto con finalità di spionaggio o sabotaggio, è necessario comprendere come abbia penetrato l’infrastruttura governativa per evitare che altre strutture italiane possano essere colpite con tecniche simili. In questa fase è anche necessario fugare il dubbio che qualche fornitore di servizi IT del MITE, così come di altri ministeri, possa essere stato compromesso. Lo spettro di un possibile attacco alla supply chain di servizi IT preoccupa noi esperti per le potenziali ricadute sulla sicurezza del sistema paese, delle infrastrutture critiche, e di uffici governativi."
Per saperne di più > Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende
Roberto Baldoni, a capo dell'Agenzia per la Cybersicurezza nazionale ha dichiarato che "Dobbiamo ripristinare i sistemi nel più breve tempo possibile. È chiaro che più profondo può essere l'attacco, lo abbiamo visto anche con Ferrovie, più tempo ci si mette per cercare di ripristinare le cose senza più rischi".
Chi può essere stato? E' cyberwar?
Ad ogni nuovo attacco, in un periodo in cui effettivamente si registra un boom di cyber minacce contro l'Italia, la domanda è sempre la stessa: è cyber war? Sono stati i russi? Difficile, se non impossibile dirlo.
Nel caso di Ferrovie dello Stato la matrice di cyber war è stata esclusa: il ransomware Hive vede membri russi e bulgari e ha sempre colpito in Italia, anche prima dell'attacco russo contro l'Ucraina. La matrice pare più di criminalità comune. Anche altri gruppi ransomware in Italia stanno facendo affari d'oro da tempo: due giorni fa, sul site leak del gruppo Everest è comparsa la rivendicazione di un ennesimo attacco contro SIAE, dopo quello di qualche mese fa. Si, pare che gli attaccanti siano tornati a colpire nell'infrastruttura informatica di SIAE (o forse non se ne sono mai andati). Sono tornati alla carica e hanno specificato di essere in possesso di dati dei clienti, dati finanziari, molti passaporti, patenti, documenti di pagamento, account bancari, carte di credito e dati personali.
E non è l'unico: Lockbit 2.0 in questi giorni ha reso pubblici 100gb di dati del Comune di Villafranca, come segnalano i sempre attenti esperti di Red Hot Cyber. Il 30 Marzo arrivava a termine il countdown imposto dagli attaccanti per pagare il riscatto e, puntualissimi, hanno proceduto alla pubblicazione dei dati: l'archivio è pieno zeppo di dati personali di dipendenti comunali e cittadini. Si va dai documenti di identità alle retribuzioni del personale, patenti ecc.. Due giorni prima sempre Lockbit aveva violato l'azienda Progetto Edile. Il ransomware Conti, nel frattempo ha colpito in Italia la Omicron Consulting.
Questo scenario non è affatto nuovo: a parte il ransomware Vice, che ha colpito nel mese di Marzo un'azienda italiana ed è del tutto nuovo nel nostro cyber spazio nazionale, LockBit, Hive, Everest e Conti sono vecchie conoscenze.
Ad ora, a parte alcuni rilevamenti del wiper Hermetic Wiper, che la Russia ha usato per portare un devastante attacco alle infrastrutture IT governative ucraine, in Italia non si hanno ulteriori simili notizie: sembra più, semplicemente, che i cyber criminali trovino molto redditizio l'operare nel nostro paese. Non ci azzardiamo comunque a supporre oltre: le informazioni sono poche, il contesto complesso e il proverbiale riserbo delle aziende e degli enti governativi italiani rende difficile la condivisione delle informazioni necessarie a minimizzare il rischio che attacchi simili possano ripetersi e colpire altri soggetti.
Per saperne di più > Hermetic Wiper, il malware usato contro l'Ucraina è già arrivato in Italia. Ha un solo scopo: distruggere.
Nessun commento:
Posta un commento