Discorso di Schuman e Conferenza sul futuro dell’Europa, il 9 maggio ma a distanza di oltre 70 anni
29 Giugno 2022Gas, tetto massimo al prezzo: è la proposta di Draghi
3 Luglio 2022La Pubblica amministrazione italiana è, ancora, vittima di troppi attacchi ransomware
di Silvia Cegalin
Soltanto nel mese di Giugno si sono verificati 3 importanti attacchi ransomware verso istituzioni pubbliche rilevanti: il Comune di Palermo, la Regione Sardegna e l’Università di Pisa. Un 2022 che dal punto di vista degli hackeraggi, anche a fronte di quanto sta accadendo nella cyberwar tra Russia e Ucraina, potrebbe rivelarsi molto intenso.
Regione Sardegna: tra i furti di dati più gravi
Il 24 Giugno la Regione Sardegna ha emesso un comunicato (poi aggiornato il 27) avvisando che lo scorso 17 Giugno la Regione è venuta a conoscenza della condivisione nel dark web di cartelle contenenti dati personali dei propri dipendenti e degli utenti di alcune Direzioni generali. In queste cartelle c’è di tutto: informazioni anagrafiche, sanitarie e di contatto, documenti, verbali, delibere, nonché l’elenco degli impiegati assunti; insomma tutti i dati che può contenere il portale di un ente regionale.
Il fatto più eclatante, tuttavia, è la quantità di dati ricavata da questo leak: si tratta infatti di 170mila file, circa 155 Giga; proprio per questo il furto subito dalla Regione Sardegna potrebbe essere considerato tra i più gravi ai danni di una Pubblica Amministrazione italiana.
Per comprendere come sia potuto succedere tutto ciò è necessario tornare indietro di qualche mese.
È Febbraio quando la società in house SardegnaIT viene colpita da un ransomware lanciato da Quantum Locker che si propaga ai sistemi di gestione degli archivi digitali dell’Amministrazione Regionale, manca però la richiesta di riscatto, inoltre è stato eseguito un backup dell’archivio, il peggio, dunque, sembra essere scongiurato, ma solo per poco.
Dopo qualche giorno si scopre infatti che il malware fu installato per errore da un dipendente di SardegnaIT durante l’installazione di un software autorizzato.
Dalle analisi condotte da Pietro Di Maria di RHC è emerso che, già da tempo, vi erano molteplici botnet attive (rete di computer infetti comandati da remoto dagli hacker) connesse ai dispositivi della regione Sardegna: una via facile per i cybercriminali per intrufolarsi nei sistemi informatici.
La richiesta di pagamento del riscatto non tarda ad arrivare: Quantum Locker, gang ransomware scoperta nel 2021, chiede 31mila euro in bitcoin, cifra che non verrà mai versata, si arriva così a metà Giugno quando la gang ransomware pubblica i dati rubati.
A rendere ancora più complicata la situazione è il modus operandi che caratterizza Quantum Locker, in quanto, a differenza di quello che avviene solitamente, concedono non più di 4 ore per ricevere il riscatto prima di procedere con la diffusione del materiale estrapolato, un tempo che, come si può immaginare, non lascia scampo ai malcapitati.
L’Università di Pisa nella rete della ransomware gang BlackCat
Qualche giorno prima della pubblicazione dei dati della Regione Sardegna, il 12 Giugno, l’Università di Pisa viene colpita dal ransomware firmato BlackCat; attacco che riesce a sottrarre un totale di 54 Giga di dati di cui fanno parte novantamila file contenuti in ottomila cartelle. Un bottino che per gli hacker vale 4,5 milioni di dollari, somma richiesta per il riscatto da pagare entro il 16 Giugno. Per incentivare il pagamento, nei giorni successivi all’attacco, la banda di BlackCat decide di pubblicare una parte del materiale contenente informazioni sensibili di studenti (circa 10mila) e professori.
Un’azione che non è sfuggita al sindacato studentesco Sinistra Per che già dalle prime ore dopo che la notizia si era diffusa ha chiesto, attraverso un comunicato, che i dati degli iscritti vengano protetti e criptati, pretendendo chiarimenti sulla metodologia di salvataggio degli stessi; risposta che giungerà con una mail del rettore in data 24 Giugno, che informa gli studenti che: «l’impatto dell’attacco ha portato a una possibile esposizione di un numero minimo di dati, in una frazione inferiore a uno su diecimila», gli iscritti sono comunque invitati a modificare password e credenziali.
Il 17 Giugno altri dati vengono diffusi nel data-leak-site (DLS) di BlackCat, raggiungibile dalla rete Onion; mentre qualche giorno più tardi sono rilasciati e venduti nel forum russo XSS per un milione di dollari ulteriori informazioni sensibili.
Esattamente come nel caso della Regione Sardegna, anche l’Università di Pisa ha dovuto fronteggiare un’organizzazione hacker tra le più temibili. Non a caso risulta che BlackCat (alias ALPHV) ha recentemente cambiato tattica d’azione: divulgare una copia dei dati esfiltrati, non solo nel dark web, ma anche nel surface web, indicizzabile nei motori di ricerca. Ma non è finita: gli hacker di questa gang hanno pensato di creare domini internet con il nome delle aziende hackerate e lì divulgare tutte le informazioni sottratte, consultabili da chiunque.
L’Attacco hacker al Comune di Palermo
Attacco ransomware ed esfiltrazione dei dati anche per il Comune di Palermo che il 2 Giugno è stato colpito dagli hacker di ViceSociety, mettendo fuori uso la rete infrastrutturale del comune, i sistemi informatici della polizia municipale e le telecamere e ZTL; anche in questo caso i dati sono stati resi pubblici nel dark web, addirittura tre giorni prima che scadesse l’ultimatum.
Si parla di migliaia di dati: passaporti, pagamenti, estratti conto, multe, e il numero telefonico di 1500 addetti, i danni, come di consueto, si vedranno nel giro di poco tempo