I criminali informatici del gruppo Ransomhub hanno di recente preso di mira l’ateneo della regione Liguria, l’Università di Genova. Nella giornata di lunedì, infatti, è stata rivendicata tra le vittime sul proprio data leak site.
Indice degli argomenti
L’attacco all’Università di Genova: i dati esfiltrati
Le rivendicazioni ransomware, lo ricordiamo, sono l’ultimo step di un attacco di questa tipologia e arrivano sempre a posteriori come frutto di giorni e settimane passate dai criminali informatici all’interno dell’infrastruttura vittima, del tutto indisturbati.
Anche questo attacco, dunque, che coinvolge l’ateneo ligure, è stato rivendicato nel tardo lunedì 9 settembre, ma presumibilmente è avvenuto diverso tempo fa.
Il tempo necessario per rendere possibile all’organizzazione criminale di muoversi all’interno dei sistemi dell’Università, controllare cosa ci fosse di interessante e cosa meno, infine rubare quanti più dati possibili a cui ha avuto accesso.
Nel caso specifico, il gruppo criminale Ransomhub, nella stessa rivendicazione, indica di aver esfiltrato 18 GB di dati di cui ha pubblicato solamente due sample, lasciando intuire che il contenuto possa essere purtroppo ricco di documenti con dati sensibili di personale dipendente dell’Ateneo, compreso informazioni abbastanza riservate come certificati di assenza dal servizio.
Il resto dei documenti verrà diffuso, in caso di mancato pagamento del riscatto, tra 12 giorni secondo un conto alla rovescia governato dai criminali stessi.
Modus operandi di Ransomhub
Gruppo criminale abbastanza recente nella scena cyber, inizia ad essere monitorato nel mese di febbraio 2024, con ad oggi 248 rivendicazioni criminali all’attivo (decisamente più di una al giorno).
Il suo metodo operativo è ormai consolidato e, come accaduto all’Università di Genova, non viene esposto in pubblico il riscatto richiesto.
Il gruppo, infatti, nell’esecuzione del ransomware, lascia sulla macchina presa di mira una nota testuale nella quale (solitamente nella parte bassa se si parla di Ransomhub) viene evidenziato un indirizzo Web raggiungibile sotto rete Tor, all’interno del quale è possibile identificarsi con un Client ID, comunicato nel medesimo documento di testo.
A quel punto, parte la negoziazione con il gruppo criminale e loro stessi faranno sapere a quanto ammonta la richiesta di riscatto.
Tornando al caso di cronaca che ha impattato l’Università di Genova, l’ente non ha ancora fornito comunicazioni ufficiali sull’accaduto, mentre invece diverse testate riferiscono di indagini ancora in corso da parte della polizia postale ligure. Quindi, i dettagli precisi, come la richiesta di riscatto di questa rivendicazione, non sono stati ancora resi noti in maniera ufficiale.
