Il gruppo di ransomware Lockbit 2.0 ha attaccato, con successo, l’Agenzia Italiana per il Turismo, ente pubblico che eroga servizi di promozione del turismo in Italia. E nella notte appena passata, è arrivata la dimostrazione effettiva di questo attacco, con la pubblicazione online (tramite sito web di Lockbit 2.0 sotto rete Tor) del materiale esfiltrato dai sistemi informatici di ENIT.
I disservizi sono iniziati l’11 febbraio, come evidenziato da una comunicazione del Ministero del turismo riportata nell’immagine. In effetti questo attacco coglie un momento decisamente movimentato dell’ente che è impegnata in una importante operazione di assunzione nuovo personale. Il sito web è risultato dunque inaccessibile, fino al ripristino dell’operatività.
Indice degli argomenti
L’attacco ransomware a Enit
La cyber gang Lockbit 2.0 rivendica l’attacco il 17 febbraio, a cui segue il giorno dopo, il comunicato ufficiale dell’Ente. Da evidenziare invece è il collegamento tra i disservizi e la datazione offerta sui files rilasciati dal gruppo criminale, che riporta effettivamente quella del 12 febbraio.
Come detto, l’agenzia è impegnata nell’assunzione di nuovo personale, il sistema esfiltrato è in qualche modo connesso con l’amministrazione dell’Ente e a tal proposito ne abbiamo esaminato prudenzialmente il contenuto. Inoltre va ricordato che si tratta di un ente pubblico, per cui obiettivo strategico per il Paese e collegato a tutta l’infrastruttura tecnologica stato Italia, a partire dai fornitori IT fino alle workstation degli impiegati, nelle quali possono venir trattati materiali dal contenuto sensibile anche per la sicurezza nazionale.
I dati rubati a Enit e le conseguenze
Tra i documenti ora resi disponibili online troviamo appunto, curricula, tabelle di registrazione con dati sui curricula, lettere interne al personale già in servizio inerenti pagamenti stipendiali, documenti di contabilità, tra qui prospetti di liquidazione e un certo numero di documentazione relativa al cda, tra cui approvazioni di delibere e bilanci.
I dati, soprattutto quelli relativi alle assunzioni, sono sensibili ed espongono le persone coinvolte (i titolari di quei dati) a rischi di attacchi futuri, proprio dalla disponibilità online di questi dati. Si consiglia a tutte le persone coinvolte in sistemi/procedure dell’agenzia per il turismo, di guardare con sospetto mail/sms o comunicazioni che potranno arrivare già nel breve periodo, verificandone sempre l’autenticità del mittente prima di intraprendere qualsiasi azione, fosse anche solo il click su un link all’interno.
Come funziona attacco Lockbit 2.0
Come abbiamo avuto modo di analizzare con i recenti attacchi subiti a infrastrutture italiane (ad esempio quelli alla sanità pubblica in Veneto sempre a opera Lockbit 2.0), una volta individuata la vittima questa gang diffonde il proprio software ransomware tra i sistemi tramite campagne di phishing o mail che contengono allegati malevoli, il malware si occupa di rubare mediante connessione di rete, verso un server esterno e gestito dal gruppo criminale, i file individuati di interesse, a quel punto li crittografa rendendoli inaccessibili a chiunque non sia in possesso della chiave segreta.
Questo meccanismo porta a una doppia estorsione, prima viene richiesto un riscatto per la decrittografia dei file, qualora non fosse presente un backup o l’ente si trovi impossibilitato a recuperarne il contenuto. Subito dopo scatta la seconda richiesta di riscatto che possiamo definire più reputazionale, in quanto coinvolge la pubblicazione online di tutto ciò che è stato precedentemente rubato dai sistemi dell’obiettivo.
E’ esattamente quello che sta succedendo sempre più spesso nel mondo e anche in Italia. Report e analisi riferiti al 2021, come anche il recente di CrowdStrike, riferiscono di una crescita vertiginosa del fenomeno ransomware tra i vari rischi informatici per aziende ed enti pubblici.
