Il gruppo criminale che opera con ransomware ALPHV, conosciuto anche come BlackCat, ha rivendicato sabato un attacco informatico ad una struttura statale italiana, l’Università di Pisa e ha cominciato a pubblicare i dati sottratti.
La rivendicazione arriva proprio in un momento delicato per gli attacchi ransomware in Italia, come abbiamo ben visto dalla complicazione delle elezioni amministrative nel Comune di Palermo, appena ripreso da un attacco molto simile.
Aggiornamento del 15 luglio 2022
In conformità con il nuovo più recente modus operandi del gruppo ransomware BlackCat, anche l’Università di Pisa, come vittima colpita da questo malware, vede online i dati che sono stati rubati durante l’attacco, ma appunto già strutturati, pronti per essere visualizzati e filtrati direttamente online su una pagina Web predisposta ad hoc.
Come successo per altre vittime di BlackCat, in base a quanto già riportato dal ricercatore Brian Krebs, le nuove operazioni di questo gruppo prevedono che al termine della trattativa (fallita), si crei una pagina apposita per l’esposizione diretta dei dati organizzati in tabelle filtrabili. Pagina (e tabella) creata mediante l’utilizzo del kit di sviluppo Bootstrap.
Questo nuovo metodo ha previsto per altre vittime il collegamento di questa pagina dedicata all’esposizione, anche a un dominio di nuova apertura, che diffonderebbe tali dati su clearnet quindi l’Internet classico che tutti conosciamo, senza perciò vincolarne l’accesso unicamente da rete Tor. Dettaglio che se si realizza anche per l’Università di Pisa, renderebbe tutta la perdita di dati, ulteriormente più sensibile e alla portata di chiunque. In effetti, dal TITLE stesso della pagina, è facile prevedere questo comportamento, nei prossimi giorni. Il titolo infatti è stato predisposto per essere associato ad un certo unipi[.]xyz che al momento non risulta ancora registrato.
Aggiornamento del 13 giugno 2022 ore 21:00
CyberSecurity360 è entrato in possesso della richiesta di riscatto, indirizzata direttamente all’Università di Pisa, dal gruppo criminale ALPHV (BlackCat). Che per non dare seguito a questo attacco dà tempo all’ente di pagare un corrispettivo di 4.500.000 dollari entro il 16 giugno prossimo, che diventerebbero 5 milioni qualora si sforasse oltre questa data.
Come suggerisce lo screenshot che stiamo diffondendo per la prima volta, gli attaccanti hanno creato un invito per la vittima colpita, ad interloquire su questa richiesta di riscatto, tramite una chat online sotto rete Tor. Con apposito accesso esclusivo specifico per la vittima in questione (l’Università di Pisa).
Ricordiamo che la cifra viene richiesta per poter avere nuovamente accesso ai file che sono stati, al momento, criptati e resi così inutilizzabili. Ma anche per evitare la gogna pubblica che il gruppo criminale metterà in essere, diffondendo online tutto il materiale esfiltrato durante l’attacco. Rendendo così il massimo livello di danno che il databreach subito possa causare (soprattutto se all’interno ci sono dati particolarmente sensibili).
Comune di Palermo sotto attacco, servizi indisponibili: “situazione seria”
Indice degli argomenti
L’Università di Pisa colpita da ransomware
Al momento non ci sono comunicati ufficiali che possano dettagliare l’incidente, ma sembra proprio che si sia trattato di un ransomware, ciò che ha colpito l’infrastruttura informatica dell’Università di Pisa. Va detto che la notizia arriva direttamente da una rivendicazione pubblica degli attaccanti, il gruppo ALPHV (BlackCat), noti appunto per l’utilizzo del ransomware durante i loro attacchi.
Cyber Security 360 ha tuttavia inoltrato una richiesta di informazioni all’università che, al momento della pubblicazione non ha ancora ricevuto risposta. Sarà dunque nostra cura aggiornare questo articolo, con il commento dell’Università in merito.
Il ransomware è un software malevolo che presumibilmente entrato da qualche workstation dei vari dipendenti interni, tramite posta elettronica o tramite installazione/aggiornamento di software, che ha “preso in ostaggio” un certo quantitativo di files interni e con essi ne richiede il riscatto.
Quando la trattativa per il riscatto non va a buon esito (dal punto di vista criminale), il gruppo solitamente espone al pubblico i file che è riuscito a rubare durante l’attacco.
Questo risultato evidenzia in primo luogo, qualora l’attacco venisse confermato, la scarsa igiene digitale che i settori pubblico e privato italiano stanno vivendo. A secondo dalla rilevanza e sensibilità dei file emerge anche una conservazione degli stessi, decisamente fuori norma, e di sicuro fuori da ogni buona pratica di sicurezza informatica: documenti d’identità, codici fiscali, fatture, indirizzi, di terze persone e cittadini, non possono essere conservati nelle workstation operative, esponendo in questo modo ogni persona a trasformarsi in vittima, con un elevato rischio di attacco.
Se un sistema è vulnerabile per natura, l’unica arma in nostre mani è la prevenzione.
Alcuni dati rubati sono online
Da ciò che la gang ha pubblicato, si evincono alcuni sample, proprio a dimostrazione del successo dell’attacco. I dati nella loro interezza al momento non sono ancora stati diffusi, tuttavia da questi sample se ne capisce la sensibilità.
Quello che si percepisce è un database, con un elenco di utenti, presumibilmente interni o con collegamenti interni, all’Università, con relativi account di posta e password (in chiaro).
La vicenda è sicuramente in aggiornamento e nelle prossime ore si potrà assistere, come quasi sempre accade, ad una divulgazione più massiva di file e documenti interni, che risulteranno da quel momento esposti pubblicamente.
Ransomware, la situazione in Italia rimane grave
Anche il 2022 non sta assestando un miglioramento nel settore della resilienza informatica. In effetti dall’inizio dell’anno sono già più di 70 le vittime di questo genere di attacchi, tutti risolti in una diffusione di massa di dati sensibili rubati. Tra queste vittime compaiono sia PMI che pubbliche amministrazioni italiane, questo attacco, come quello recente del Comune di Palermo, aggiungono dati a questa già triste lista. Investimenti e nuove politiche sulla sicurezza informatica, anche con la predisposizione di enti ad hoc, si spera pongano le basi per sviluppare, nel breve termine, quella consapevolezza sul mondo della sicurezza, che evidentemente a tutti i livelli del nostro Paese, manca.
Articolo pubblicato il 13 giugno 2022 e aggiornato in seguito alla pubblicazione dei dati in maniera strutturata, da parte della cyber gang criminale.
