Comune di Palermo violato dal Ransomware ViceSociety. Pubblicati i dati

Qualche giorno fa abbiamo dato notizia di un attacco subito dal Comune di Palermo: si parlava di attacco ransomware, ma non c'era alcuna conferma ufficiale di questi sospetti, pur ampiamente diffusi nella comunità dei ricercatori ed esperti di sicurezza informatica.

L'attacco è grave, sicuramente, come testimonia il fatto che i sistemi del comune di Palermo sono in down da giorni (anche al momento della scrittura di questo articolo). Le preoccupazioni sono aumentate dal fatto che il Comune è alle porte delle elezioni per il rinnovo delle cariche comunali anche se la società responsabile della gestione dei servizi informatici comunali ha dichiarato che le liste elettorali sono state stampate e le tessere elettorali correttamente aggiornate. Anche i servizi anagrafici sembrano tornato online. 

I sistemi sono stati messi offline in via cautelativa, come ha spiegato Paolo Petralia Camassa, assessore all'innovazione del Comune di Palermo, tramite il proprio profilo social:

 “al momento il sistema è stato cautelativamente spento e isolato dalla rete. La situazione è seria e i disservizi potrebbero perdurare per giorni"

Per saperne di più > Comune di Palermo sotto attacco: sistemi offline. Le credenziali di accesso alla rete erano in vendita nel dark web 

Arriva la rivendicazione: è stato il gruppo ransomware ViceSociety

Nonostante un post sul canale Telegram del Gruppo KillNet, uno sfottò alla Polizia Italiana in relazione all'attacco al comune di Palermo, l'attacco DDoS è una possibilità remota. Meno remota, anzi ormai quasi certa, sembra la possibilità di attacco ransomware.

Il Comune né altre istituzioni italiane hanno rilasciato dichiarazioni ufficiali sul punto, ma una certezza c'è: il gruppo ransomware ViceSociety ha rivendicato l'attacco. Sul sito di leak del ransomware infatti, è comparso il classico countdown.

Si presume che, allo scadere del countdown, verrà pubblicata una parte dei dati rubati. Se la rivendicazione fosse vera, siamo quindi di fronte all'ennesimo episodio di doppia estorsione: l'attacco ransomware è preceduto dall'esfiltrazione dei dati dai sistemi bersaglio. Gli attaccanti chiedono quindi un riscatto per non pubblicare i dati e uno per consegnare il decryptor per riportarli in chiaro. 

La domanda sorge spontanea: che cosa è successo ai dati personali contenuti nei sistemi del Comune di Palermo?

AGGIORNAMENTO DEL 10/06
L'account Twitter del Comune di Palermo ha reso pubblicamente disponibile la relazione che Sispi, responsabile della gestione della rete informatica del comune, ha prodotto sull'accaduto.

Attacco hacker. Amministrazione comunale: "Garantiti i servizi demografici"

In riferimento al grave attacco hacker dei giorni scorsi alle infrastrutture tecnologiche del Comune di Palermo sono state poste in essere una serie di attività volte a contenere l'attacco ransomware. pic.twitter.com/tjHVEYdNYz

— Comune di Palermo (@ComunePalermo) June 9, 2022

AGGIORNAMENTO DEL 13/06

Il gruppo Vice Society ha pubblicato i dati sottratti al comune di Palermo sul proprio leak site. Tra i file pubblicati figurano:

• passaporti, 
• analisi cliniche del personale;
• conversazioni email;
• numeri telefonici degli addetti comunali;
• informazioni sui bilanci, sui concorsi, sui debiti fuori bilancio;
• ordinanze;
• carte di identità;
• stipendi dei dipendenti comunali ecc..

ViceSociety: breve biografia

E' questo, l'ennesimo attacco da parte di ViceSociety contro vittime italiane. Nel Settembre 2021 ha fatto ben due vittime in un solo giorno: prima Euronics, poi l'azienda chimica Tovo Gomma. Quest'anno ha colpito l'ABI, associazione bancaria italiana.

ViceSociety è un ransomware in circolazione dalla metà del 2021. Specializzato in attacchi contro piccole e medie imprese, ha scelto la tecnica della doppia estorsione. Il gruppo che lo gestisce dimostra una forte predilezione per le istituzioni scolastiche e, in generale, enti educativi. 

Nel corso delle osservazioni da parte dei ricercatori di sicurezza ViceSociety ha dimostrato una grande abilità nell'individuare e sfruttare velocemente nuove vulnerabilità soprattutto per eseguire movimenti laterali lungo la rete vittima e per garantirsi la persistenza. Si dimostrano anche molto attenti nel cercare di bypassare le individuazioni della propria attività sugli endpoint: da questo punto di vista sono grandi innovatori. 

ViceSociety è dotato, come ogni gruppo ransomware dedito alla doppia estorsione, di un site leak: una pagina nella quale vengono pubblicati i countdown e i dati che mano a mano gli attaccanti decidono di pubblicare. I ricercatori di Cisco Talos, che studiano da lungo tempo questo ransomware, spiegano che è capace di varie tecniche di attacco:

• tenta di bypassare le protezioni di Windows per tentare il furto di credenziali e l'escalation di privilegi; 
• usa una DLL capace di sfruttare la vulnerabilità PrintNightmare (CVE-2021-34527 già risolta da Windows);
• degrada i server ESXi usati per la virtualizzazione nell'ambiente bersaglio;
• usa tool come Proxychains e Impacket durante la fase post compromissione;
• colpisce i backup per impedire il ripristino dei sistemi dopo il lancio del ransomware. 

Vice Society aggiunge ai file criptati l'estensione di criptazione v.society.