Sul canale Telegram del gruppo criminale informatico Cyber Cat, schierato apertamente pro Russia, è apparsa la rivendicazione di un furto di documenti dall’infrastruttura del Ministero delle Infrastrutture e dei Trasporti italiano.
Indice degli argomenti
Diffusi in rete dati rubati da un dipendente del MIT
Il gruppo non sembra utilizzare ransomware nei propri attacchi, ma tecniche di ingegneria sociale con le quali compromettere account di posta elettronica, interni all’ente, e accessi a VPN, presumibilmente utilizzate per il lavoro a distanza.
L’attacco in questo caso sembra essere avvenuto, seguendo quanto dichiarato dal gruppo criminale, con la compromissione di almeno due account di posta elettronica di dipendenti del MIT. Alle dichiarazioni di rivendicazione, Cyber Cat fa seguire alcuni sample dimostrativi di quanto esfiltrato.
Quali dati sono stati diffusi
In effetti, dal piccolo archivio diffuso su Telegram, è facilmente individuabile la provenienza dei file e l’attribuzione al rispettivo dipendente. Tra i documenti si fa riferimento a verbali di gare d’appalto, bandi di appalti pubblici e modelli prestampati di vario genere, elenchi telefonici interni e decreti di nomina.
Il sample condiviso è molto ridotto, inoltre il gruppo criminale conferma essere una quota come il 2% del totale (2 MB). Anche se sulle quantità, pure nella rivendicazione si fa molta confusione, in un messaggio successivo si parla di 400 GB che potrebbero finire online e ancora dopo, di esser arrivati all’esfiltrazione di 60 TB.
Anche la tecnica di accesso utilizzata non è chiara ancora, ma in un messaggio il gruppo si congratula con l’ente pubblico italiano affermando che hanno trovato estrema “facilità nel far aprire file sospetti provenienenti da fonti sospette”, ai dipendenti.
Il riscatto
Come abbiamo visto il modus operandi di questo gruppo criminale è differente dalla normale ransomware gang, tuttavia c’è anche qui un qualcosa che somiglia ad una richiesta di riscatto. Infatti successivamente viene richiesto di partecipare ad un gioco che consisterebbe nel bloccare la diffusione dei dati, con il pagamento di 150.000 dollari, minacciandone altrimenti la diffusione a partire da documenti del 2022.
Dal materiale rivendicato non è facile immaginare se queste affermazioni possano avere fondamento, ad ogni modo il problema della compromissione di account di dipendenti pubblici resta e, a seconda del caso, questo passaggio potrebbe portare in futuro, a perdite sensibili con danni anche più impattanti di questa prima esfiltrazione.
Fino al momento di stesura di questo articolo, il Ministero non ha diramato alcun comunicato ufficiale sulla vicenda.
