mercoledì 15 giugno 2022

L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva


L'università di Pisa sta fronteggiando un attacco ransomware. Anzi, considerando che una parte dei dati rubati sono già stati pubblicati online, è più corretto dire che ha subito un attacco ransomware. La notizia è di qualche giorno fa, quando sul leak site del gruppo ransomware ALPHV/BlackCat è stata pubblicata la rivendicazione dell'attacco.


Da RedHotCyber fanno sapere che, tramite analisi OSINT, sono stati rintracciati dei dati che potrebbero essere stati utili per irrompere nella rete della celebre università italiana.

Fonte: RedHotCyber


Questa la richiesta di riscatto che gli attaccanti hanno fatto avere all'Università. Sono richiesti 4.500.000 di dollari entro il 16 Giugno. Superata quella data il riscatto aumenterà a 5 milioni di dollari.
Fonte: https://www.insicurezzadigitale.com/

Dalla richiesta si nota come gli attaccanti abbiano preparato una live chat Tor per essere contattati e avviare delle trattative. Non è la prima volta: anche il gruppo Hive aveva messo a disposizione di Trenitalia una live chat riservata per contatti. In quell'occasione le credenziali di accesso, però, finirono pubblicate su Twitch. Quando gli attaccanti si trovarono in contatto con persone non afferenti a Trenitalia e si resero conto che le credenziali erano state pubblicate, aprirono una nuova chat riservata, aumentando però il riscatto. 

Quali dati sono stati pubblicati sul leak site di  ALPHV/BlackCat?

A stretto giro, gli attaccanti hanno anche pubblicato alcuni sample. Una schermata mostra quello che pare essere un database. Come si vede dalla foto sotto, resa pubblica da alcuni ricercatori di sicurezza che hanno visionato i dati pubblicati dal gruppo ransomware, vi sono ID, email e, soprattutto, password in chiaro. 


L'altro screen pubblicato mostra una lista di file che, presumibilmente, contengono dati sensibili e personali degli studenti universitari e dei professori.



Aggiornamento del 17 Giugno
Il gruppo ALPHV/BlackCat ha pubblicato una prima parte dei dati sottratti dalla rete dell'Università di Pisa. Vi si trovano i dati personali di alcuni studenti, come nome e cognome, codice fiscale, indirizzo di residenza, data di nascita, numero di telefono ed email. Non solo: gli attaccanti fanno anche intendere di avere a rubato molti altri dati, come quelli relativi all'amministrazione e alla gestione finanziaria di almeno un dipartimento dell'Università. Il segnale è chiaro: evidentemente l'Università di Pisa non sta trattando con gli attaccanti

Fonte: RedHotCyber


Fonte: RedHotCyber


La nuova tecnica estorsiva: i dati pubblicati nel web emerso

L'attacco all'Università di Pisa fa registrare una novità assoluta, ovvero un ulteriore livello di ricatto. Il gruppo ALPHV/BlackCat ha iniziato a pubblicare i dati rubati anche nel web emerso. La tecnica estorsiva, per come ricostruita dal famoso cyber investigatore Brian Krebs, prevede che in caso di mancato pagamento i dati rubati dalla rete bersaglio non finiscano online soltanto nel darkweb, ma anche su un sito internet nel web emerso. In pratica, chiunque, anche senza l'uso di Tor, potrà accedere ai dati rubati che gli attaccanti decideranno di pubblicare. Il dominio, almeno per quanto ricostruito fino ad adesso, viene aperto direttamente dagli attaccanti con indirizzo nome_vittima.xyz.

La prima azienda colpita da questo meccanismo di ricatto è stata la The Allison INN & SPA.

Fonte: Brian Krebs


Trattandosi di una struttura ricettiva, gli attaccanti hanno suddiviso i dati pubblicati in due categorie:

  • i dati dei dipendenti (employee data) 
  • i dati degli ospiti (guest data).

Sotto si legge un appello al management aziendale.  I dati sono davvero presenti sul sito. Sotto i dati di alcuni clienti

Fonte: Brian Krebs

Sotto i dati di alcuni dipendenti

Fonte: Brian Krebs

E' presente anche il tasto "Full Data" che consente di scaricare l'intero archivio dei dati, in formato ZIP.


Il ransomware ALPHV/BlackCat in breve

ALPHV/BlackCat è un  RaaS che ha debuttato sulle scene del cyber crime fin dai primi mesi del 2021. Dopo aver reclutato membri importanti ed esperti di altre operazioni ransomware meno fortunate (ex appartenenti a REvil dopo lo smantellamento e l'arresto di gran parte del gruppo, ma abnche membri delle operazioni ransomware BlackMatter e DarkSide) ha incrementato la propria attività (Novembre 2021) e si è specializzato in reti aziendali. Pratica fin dall'inizio il meccanismo della tripla estorsione:

  • un riscatto per non pubblicare i dati rubati;
  • uno per il decryptor;
  • uno per evitare attacchi DDoS, che vengono lanciati dal momento in cui la vittima rifiuta di collaborare.  

La tripla estorsione già rende chiaro che ALPHV/BlackCat non si limita a criptare i dati, ma procede anticipatamente ad esfiltrarli dalla rete. Le modalità con le quali ALPHV/BlackCat accede alle reti sono varie: un recente studio ha mostrato come spesso sfrutti la vulnerabilità CVE-2021-31207 di Microsoft Exchange Server.

Questo ransomware può criptare sistemi Windows, Linux e perfino ambienti di VMware ESXi. Gestito da riga di comando, offre ai suoi affiliati non solo un alto livello di personalizzazione e configurazione, ma anche quattro diverse routine crittografiche. 

Nessun commento:

Posta un commento