Connect with us

segnalaci un sito truffa

Inchieste

2200 Greenpass su Telegram, dati dei vaccinati a rischio. Link per scaricarli

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Greenpass originali italiani diffusi in un gruppo Telegram. Sono 2200 i certificati verdi esposti nella rete e caricati in una cartella Zip, escludendo i duplicati si arriva a 1100 in tutto. La segnalazione è giunta in redazione da un esperto di indagini forensi che ci ha segnalato il file compresso nel quale sono presenti più di duemila attestati di vaccinazione.

Il contenuto

Il contenuto è eloquente: figurano Greenpass in formato pdf e dalle immagini è evidente che l’autore del file è un utente Mac. Come sia possibile questa collezione? semplicemente perchè chi ha raccolto i fogli di via sanitari potrebbe essere quotidianamente a contatto con questi documenti così come avviene da anni nel darkweb dove si trovano carte di identità e patenti spesso provenienti dai centri telefonici.

MatriceDigitale mette a disposizione il file in questa pagina

Commenti da Facebook

Inchieste

Guerra cibernetica in Nord Corea. Lazarus: l’apt che ha devastato banche, Tv, siti governativi e Sony

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Dopo la parentesi russa, la nostra rubrica sulla guerra cibernetica si sposta in Corea del Nord dove esistono gruppi apt preparati seppur godano della nomea di “accattoni”, perchè le loro attività sono collegate più a recuperare fondi per il Governo, piuttosto che a sferrare attacchi con il fine militare.

Fatto sta che, se si vuole incominciare ad approcciarsi alla guerra cibernetica intrapresa dalla famiglia di Kim Jong, bisogna iniziare ad approfondire l’attività del Lazarus Group. Gestito dal governo nordcoreano e  noto anche come Labyrinth Chollima , Group 77 , Hastati Group, Whois Hacking Team, NewRomanic Cyber Army Team, Zinc, Hidden Cobra, Appleworm (?), APT-C-26, ATK 3 , SectorA01, ITG03 , il gruppo è motivato principalmente da un guadagno finanziario come metodo per aggirare le sanzioni applicate contro il controverso regime.  Il 2013 è stato l’anno in cui è emersa l’attività del gruppo, grazie anche ad una serie di attacchi coordinati contro un assortimento di emittenti e istituzioni finanziarie sudcoreane che hanno utilizzato DarkSeoul e che ritroveremo ciclicamente nelle cronache del gruppo.

Il Gruppo Lazarus ha 3 sottogruppi:

1. Sottogruppo: Andariel, Chollima

2. Sottogruppo: BeagleBoyz

3. Sottogruppo: Bluenoroff, APT 38, Stardust Chollima

Anche questi altri gruppi possono essere associati all’apt Lazarus: Covellite, Reaper, APT 37, Ricochet Chollima, ScarCruft e Wassonite.

Il primo attacco che si ricorda è l’operazione “Flame” e risale al 2007 con una attività di rottura e sabotaggio della rete informatica sud Coreana.

Nel 2009, invece, lo spettro di azione si allarga anche agli Stati Uniti con delle azioni militari ad alcuni dei più importanti uffici governativi degli USA e della Corea del Sud, tra cui la Casa Bianca, il Pentagono, la Borsa di New York e la Blue House presidenziale di Seoul, del ministero della Difesa, dell’assemblea nazionale, della banca Shinhan, della Korea Exchange bank e del principale portale Internet Naver. L’impatto è stato notevole ed ha acceso più di un riflettore sulle necessità del Governo nel proteggersi da eventuali attacchi informatici futuri.

Koredos: il trojan che va a caccia di tracce sudcoreane virtuali

Nel 2011 è accaduto un attacco che ha riportato subito alla memoria quello del 4 luglio 2009 contro i governi degli Stati Uniti e della Corea del Sud, così come i siti web finanziari e dei media. Solitamente si era abituati a trovare origine dell’attacca in un server di comando e controllo (C&C) che inviava comandi ai computer compromessi, provocando attacchi sistematici e coordinati. In questo caso, i comandi non provenivano da un C&C: sono stati nascosti all’interno della minaccia che ha coinvolto molti componenti nell’attacco e questo ha indicato un certo livello di sofisticatezza. Di questi file, il comportamento distruttivo viene eseguito dal file s[LETTERE CASUALI]svc.dll. Sebbene si siano viste diverse varianti di questo file.dll, il risultato finale ottenuto è stato lo stesso: il record di avvio principale (MBR) del computer compromesso veniva distrutto.

Alcune varianti scansionano le unità fisse dei computer compromessi alla ricerca di file con estensioni diverse, utilizzati da software prevalentemente utilizzati in Corea (ad esempio .alz, .gul e .hwp).

Ciò ha suggerito fortemente che la minaccia ha preso di mira i computer situati in Corea del Sud. Si è poi scoperto che il software malevolo è stato battezzato Koredos ed aveva il compito di sovrascrivere i file con tutti zeri. Inoltre, se la dimensione del file è maggiore o uguale a 10.485.760 byte, l’attacco è strutturato per eliminare semplicemente i file. Se un file non soddisfa la condizione precedente, la minaccia crea un file .cab utilizzando il nome file originale ed elimina il file originale. In altri casi i file eliminati potevano essere ripristinati utilizzando vari metodi, ma poiché venivano sovrascritti i file con zeri, il file originale non poteva essere ripristinato.

Dieci giorni di Guerra Informatica “Ten Days of Rain” / ”DarkSeoul”

Le reti di computer che gestivano tre importanti banche sudcoreane e le due più grandi emittenti televisive del paese sono rimaste paralizzate in attacchi che alcuni esperti sospettavano provenissero dalla Corea del Nord. Gli attacchi hanno impedito a molti sudcoreani di prelevare denaro dagli sportelli automatici ed hanno messo a vuoto gli schermi di tre canali televisivi.

Sempre nello stesso anno, 2013, è emerso un malware bancario individuato come Kastov, i cui autori hanno mostrato grande preparazione tecnica ed interesse verso le informazioni bancarie e finanziarie dei soggetti colpiti. Nella maggior parte dei casi il malware finanziario predilige gli exploit kit, osservato già in precedenza come vettore di infezione in un malware bancario Gongda che si rivolge principalmente alla Corea del Sud. Da qui è sorta l‘attenzione per il malware Kastov fornito dallo stesso exploit kit che prendeva di mira specifiche società finanziarie sudcoreane ed i loro clienti. I criminali informatici in questo caso hanno svolto le loro ricerche sul panorama finanziario online sudcoreano ed è stato possibile definire questo tipo di attività criminosa nell’ambito delle azioni intraprese dal governo nord coreano.

La fase iniziale di questa minaccia è composta dal Downloader.Castov .Compilata in Delphi , aveva la capacità di fermare il software antivirus che, una volta all’interno di un computer, segnalava l’infezione al suo server di comando e controllo (C&C) portandolo a scaricare un file crittografato per procedere poi alla seconda fase composta da Infostealer.Castov. L’infostealer controllava gli offset specifici in un elenco di DLL pulite (tutte relative al software bancario online coreano e alla sicurezza) per le istruzioni del codice operativo e quindi correggeva tali istruzioni. Il codice inserito controllava le stringhe che sembrano essere password, dettagli dell’account e transazioni. Una volta trovati e raccolti i dati, venivano inviati a un server remoto, e, grazie a questi, la combinazione di screenshot, password e certificati digitali ha consentito ai criminali informatici di accedere ai conti finanziari degli utenti.

DarkSeoul: da 4 anni contro la Corea del Sud

Il  25 giugno, la penisola coreana ha assistito a una serie di attacchi informatici in coincidenza con il 63° anniversario dell’inizio della guerra di Corea. Mentre più attacchi sono stati condotti da più autori, uno degli attacchi DDoS (Distributed Denial-of-Service) osservati contro i siti Web del governo sudcoreano sono stati collegati direttamente alla banda di DarkSeoul e Trojan.Castov.

Questa connessione ha consentito di attribuire più attacchi di alto profilo alla banda di DarkSeoul negli ultimi 4 anni contro la Corea del Sud, tra cui quelli che hanno riguardato i devastanti attacchi di Jokra nel marzo 2013, colpevoli di aver cancellato numerosi dischi rigidi di computer presso banche e emittenti televisive sudcoreane, nonché gli attacchi alle società finanziarie sudcoreane nel successivo maggio 2013. Castov si è contraddistinto anche per la sua capacità di coordinare un attacco DDoS con questa modalità:

  • Il sito Web compromesso portava al download di SimDisk.exe (Trojan.Castov), ​​una versione trojan di un’applicazione legittima.
  • Downloader.Castov si connetteva a un secondo server compromesso per scaricare il file C.jpg (Downloader.Castov), ​​un file eseguibile che sembra essere un’immagine.
  • La minaccia utilizzava la rete Tor per scaricare Sermgr.exe (Trojan.Castov).
  •  Castov eliminava il file Ole[VARIABLE].dll (Trojan.Castov) nella cartella di sistema di Windows.
  • Castov scaricava il file CT.jpg da un server Web che ospitava una webmail ICEWARP, compromessa a causa di vulnerabilità note pubblicamente in ICEWARP. Il file CT.jpg conteneva un timestamp utilizzato da Castov per sincronizzare gli attacchi.
  • Una volta raggiunto questo tempo, Castov rilasciava Wuauieop.exe (Trojan.Castdos).
  • Castdos iniziava a sovraccaricare il server DNS di Gcc.go.kr con richieste DNS, eseguendo efficacemente un attacco DDoS indirizzato simultaneamente a più siti Web.

Il film The Interview non piace ai nord coreani: Sony sotto attacco

Nel novembre 2014 un devastante attacco hacker a Sony Pictures ha esposto una serie di documenti interni trapelati e fogli di calcolo contenenti informazioni e dati dei dipendenti e dei dirigenti senior dell’azienda, che sono stati divulgati al pubblico. Sulla base dei rapporti iniziali, Sony ha chiuso l’intera rete aziendale dopo che un messaggio minaccioso, insieme a un teschio, è apparso sugli schermi dei loro computer. Il messaggio, inviato da un gruppo di hacker che si fa chiamare “Guardiani della Pace” (#GOP), avvertiva che era “solo l’inizio” e che sarebbe continuato fino a quando la loro “richiesta sarebbe stata soddisfatta“. Poco dopo la diffusione della notizia dell’hacking di Sony, ci sono state affermazioni dilaganti sul coinvolgimento della Corea del Nord e sul suo utilizzo del malware distruttivo colpevole di aver lanciato l’attacco:

25 novembre – I primi rapporti sull’attacco alla rete Sony Pictures hanno colpito i social media    28 novembre – Il sito di notizie tecniche Re/code ha riportato che la Corea del Nord è stata indagata per l’attacco
29 novembre – Copie di film inediti, ritenuti strappi di screener DVD di Sony Pictures, appaiono sui siti di condivisione file   
1 dicembre – Pubblicazione di documenti che rivelano gli stipendi dei dirigenti della Sony Pictures
3 dicembre – Re/code ha affermato che la Corea del Nord è stata considerata “ufficialmente responsabile” degli attacchi   
5 dicembre – E-mail minacciose sono state inviate ai dipendenti di Sony Pictures 
6 dicembre – La Corea del Nord ha rilasciato una dichiarazione definendo l’attacco “giusto”, ma nega il coinvolgimento   
8 dicembre – Le indagini hanno rivelato che gli hacker hanno utilizzato la rete ad alta velocità di un hotel a Bangkok, in Thailandia, per divulgare su Internet i dati riservati dei dipendenti il ​​2 dicembre.   
16 dicembre – Gli hacker inviano hanno inviato minacce di ulteriori attacchi, con riferimenti all’11 settembre 2001, se il film The Interview fosse uscito. 
17 dicembre – I funzionari statunitensi sono arrivati alla conclusione che la Corea del Nord ha ordinato gli attacchi informatici ai computer della Sony Pictures. I cinema hanno annunciato che non avrebbero proiettato il film e la Sony ha annullato l’uscita del film. 
19 dicembre – L’FBI ha rilasciato un aggiornamento ufficiale sulle loro indagini, concludendo che il governo nordcoreano era responsabile dell’attacco.

Il malware utilizzato negli attacchi:

  •     BKDR_WIPALL.A
  •     BKDR_WIPALL.B
  •     BKDR_WIPALL.C
  •     BKDR_WIPALL.D
  •     BKDR_WIPALL.E
  •     BKDR_WIPALL.F   
Commenti da Facebook
Prosegui la lettura

Inchieste

Fin7: Boostwrite, Jssloader e le assunzioni via Linkedin. La storia recente dell’apt finanziario russo

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Siamo arrivati all’ultimo capitolo della Guerra Cibernetica Russa con il gruppo APT FIN7 famoso negli attacchi di natura finanziaria di cui abbiamo già snocciolato l’attività criminale portata avanti dal 2015 fino al 2018. Nonostante gli arresti effettuati dalla polizia di Seattle nei confronti di tre cittadini ucraini, l’attività del gruppo è continuata ed ha eseguito un nuovo attacco nel 2019 con nuovi strumenti: una abilità questa riconosciuta al gruppo e storicamente sempre più consolidata nella storia della cybersecurity.

L’attacco legittimo passato inosservato per anni

Uno degli attacchi più interessanti dal punto di vista tecnologico del gruppo è stato sicuramente quello conosciuto come Boostwrite. Si parla di un dropper che ha il compito di spianare la strada ai payload che vengono installati nelle macchine dei malcapitati con il fine di eseguire azioni malevole. Grazie alla piattaforma di protezione informatica di enSilo, che ha eliminato diversi file malevoli, si è scoperto il modo con cui si installavano le backdoor in modo tale da assumere una forma legittima agli occhi di Microsoft Windows, poiché l’attaccante infieriva nella modifica dell’ordine di ricerca della DLL per sostituire la propria DLL dannosa che in alcuni casi era Carbanak, collegata al gruppo noto come FIN7.

Successivamente, si è approfondita la tipologia di attacco e si è notato che, una volta andato a buon fine, è stato utilizzato il rat RDFSNIFFER per collegarsi in modo abusivo al server infetto dopo che BOOSTWRITE decrittografa  i payload incorporati, utilizzando una chiave di crittografia recuperata da un server remoto in fase di esecuzione. Mentre CARBANAK è stato analizzato a fondo ed è stato utilizzato in modo dannoso da diversi aggressori finanziari tra cui FIN7, RDFSNIFFER è uno strumento identificato successivamente ed è stato recuperato dagli investigatori di Mandiant e sembra essere stato sviluppato per manomettere il client “Aloha Command Center” di NCR Corporation. NCR Aloha Command Center è un set di strumenti di amministrazione remota progettato per gestire e risolvere i problemi dei sistemi all’interno dei settori di elaborazione delle carte di pagamento che eseguono Command Center Agent. Il malware viene caricato nello stesso processo del processo di Command Center abusando dell’ordine di caricamento della DLL legittima di Aloha.

Dalla fantasia alla realtà del BadUSB

Una azienda turistica statunitense ha ricevuto un attacco BadUSB, definito incredibilmente raro, dopo aver ricevuto una busta contenente una carta regalo BestBuy falsa con all’interno una chiavetta USB. Alla società ricevente è stato detto di collegare la chiavetta USB a un computer per accedere a un elenco di articoli con cui si poteva utilizzare la carta regalo.

Un chiavetta identificata successivamente dagli esperti di sicurezza come “BadUSB“: che funziona effettivamente come una tastiera quando è collegata a un computer, perchè emula la pressione dei tasti per lanciare vari attacchi automatici, attivando una serie di pressioni di tasti automatizzate che hanno lanciato un comando PowerShell, che a sua volta ha scaricato uno script PowerShell più voluminoso da un sito Internet con l’obiettivo di installare un malware sulla macchina di prova, un bot basato su JScript.

Nonostante si pensasse al BadUSB come un attacco meramente teorico seppur possibile, descritto per la prima volta all’inizio degli anni 2010 e per molti anni hanno rappresentato uno scenario di attacco teorico su cui i dipendenti vengono spesso avvertiti, FIN7 è stato capace di renderlo realtà dopo che l’ultimo caso è stato registrato su delle macchine Raspberry in alcune banche dell’est Europa nel 2018.

Da Apt specializzato in sniffing ad una stretta collaborazione con il gruppo Ransomware

Nel 2020 Truesec ha osservato un utente malintenzionato che ha utilizzato gli strumenti e le tecniche di FIN7, incluso il CARBANAK RAT, per impossessarsi della rete di un’impresa. In un successivo attacco, quasi sei settimane dopo, questo punto d’appoggio è stato utilizzato per distribuire il ransomware RYUK sulla rete della vittima.

Questo attacco segna la prima di una lunga serie che Truesec ha osservato sulla combinazione di strumenti FIN7 e il ransomware RYUK, indicando un cambiamento nel modello degli attacchi FIN7. Finora FIN7 non è storicamente associato ad attacchi ransomware. Ciò suggerisce ad una più stretta collaborazione tra FIN7 e il gruppo RYUK, noto anche come WIZARD SPIDER o FIN6, rispetto a quanto precedentemente segnalato da Truesec.

Il ragionamento più diffuso è che FIN7 abbia semplicemente venduto l’accesso al gruppo RYUK, ma è probabile anche che FIN7 e WIZARD SPIDER siano strettamente affiliati e possano far parte della stessa rete criminale organizzata, ma questo ad oggi non è stato dimostrato con certezza e prove evidenti.

Un attacco Jssloader

Verso la fine del 2020, un attacco di tipo jssloader è stato identificato e svelato in parte, essendo coperto da mille misteri ancora irrisolti.  Morphisec Labs nel suo report ha presentato una catena di attacchi che è stata intercettata e prevenuta all’interno della rete di un cliente nell’ultimo mese del 2020, riconducibile al metodo messo in campo da FIN7, concentrata sul JSSLoader. Sebbene JSSLoader sia ben noto come .NET RAT ridotto a icona, non sono stati resi pubblici molti dettagli relativi a varie funzionalità come l’esfiltrazione, la persistenza, l’aggiornamento automatico, il download di malware e altro. Inoltre, nelle molte occasioni in cui viene citato JSSLoader, ci sono pochi dettagli sulla catena di attacco completa di questo end-to-end.

Windows 11 è già un obiettivo più che concreto

Anomali Threat Research ha condotto un’analisi sui file dannosi di documenti Microsoft Word (.doc) a tema su Windows 11 Alpha ed ha valutato con moderata sicurezza che questi documenti Word facevano parte di una campagna condotta dal gruppo di minacce FIN7. L’obiettivo del gruppo sembra essere stato quello di fornire una variante di una backdoor JavaScript utilizzata da FIN7 almeno dal 2018. La catena dell’infezione è iniziata con un documento Microsoft Word (.doc) contenente un’immagine esca che affermava di essere stata creata con Windows 11 Alpha. L’immagine chiede all’utente di abilitare la modifica e abilitare il contenuto per iniziare la fase successiva dell’attività. Analizzando il file è stato possibile vedere una macro VBA popolata con dati spazzatura come commenti. Una volta che il contenuto/modifica è stato abilitato, la macro viene eseguita. I dati spazzatura sono una tattica comune utilizzata dagli attori delle minacce per impedire l’analisi. Una volta rimossi questi dati spazzatura, rimane una macro VBA. Il VBScript prende i valori codificati da una tabella nascosta all’interno del file .doc., successivamente gli stessi valorivengono decifrati con una funzione e poi vengono deoffuscati utilizzando un codice XOR. Si passa poi ai controlli linguistici e se vengono rilevate alcune lingue, viene adoperata la funzione me2XKr che elimina la tabella e interrompe l’esecuzione se accerta la presenza di macchine virtuali. Lo script verifica successivamente il dominio CLEARMIND, che sembra fare riferimento al dominio di un fornitore di servizi POS (Point-of-Sale).

I controlli includono:

  • Nome a dominio, in particolare CLEARMIND
  • Lingua, se una delle lingue elencate Lingua del codice russo, ucraino, Russo-Moldavia, sorabo, slovacco, sloveno, estone, serbo, serbo (latino).
  • Preferenza lingua chiave di registrazione per il russo
  • Macchina virtuale – VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper e Parallels, se viene rilevata una VM lo script viene interrotto
  • Memoria disponibile, se è inferiore a 4 GB, non procedere
  • Verifica RootDSE tramite LDAP

Se i controlli sono soddisfacenti, lo script procede alla funzione in cui un file JavaScript denominato word_data.js viene trascinato nella cartella TEMP. Tuttavia, se vengono rilevati i controlli della lingua e della macchina virtuale, la tabella si elimina e non passa al payload JavaScript. Questo file JavaScript è anche pieno di dati spazzatura. Ancora una volta rimossi i dati spazzatura per analizzare il JavaScript si notano stringhe offuscate. Il file JavaScript contiene anche una funzione di deoffuscamento. Analizzando la funzione di cifratura XOR, “ben9qtdx4t” è la chiave utilizzata per decrittografare le stringhe nel file JavaScript (word_data.js). L’offuscamento viene effettuato utilizzando un cifrario a sostituzione che va da A a K. Dopo aver sostituito i valori offuscati con le stringhe deoffuscate, la backdoor Javascript sembrerebbe avere funzionalità simili con altre backdoor utilizzate da FIN7.

Cercasi Reclute disperatamante

A una fonte della società Gemini è stata offerta una posizione come specialista IT presso un’azienda nota come “Bastion Secure Ltd“, una “società” di sicurezza informatica alla ricerca di programmatori C++, Python e PHP, amministratori di sistema e reverse engineer. Una ricerca su Google ha restituito un sito Web apparentemente legittimo, ma l’analisi ha rivelato che si tratta di una società di sicurezza informatica fittizia gestita da un gruppo di criminali informatici. Durante il processo di test intrapreso dalla fonte, sono stati dati diversi gli strumenti impiegati ed i compiti assegnati alla fonte Gemini da FIN7 (che opera sotto le spoglie di Bastion Secure), ci si è accorti che le procedure corrispondevano alla preparazione di un attacco ransomware e questo ha fatto intendere che le dimensioni di un gruppo criminale, noto a tutti per aver lucrato più di un miliardo di dollari in circa dieci anni, sono cresciute anche grazie a civili coinvolti in una sorta di Linkedin criminale.

Commenti da Facebook
Prosegui la lettura

Inchieste

Asl Napoli 3 vittima dei 54bb47h. Coinvolti nell’attacco Hyper-V di Windows e Paloaltonetworks

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

La Asl Napoli 3 Sud è stata vittima di un attacco informatico definito ‘sinistro’ dallo stesso ente pubblico. Una notizia di pochi giorni che attendeva una rivendicazione da parte di una ransomware gang e così è stato come comunicato da insicurezzadigitale che ha identificato gli aggressori nel gruppo .

Arrivati sul blog della gang notiamo la curiosa scritta “Asl Napoli 3 seized” che rimanda alle operazioni di polizia internazionale quando si mettono i sigilli ai siti illegali che nella maggior parte dei casi si trovano nel dark web.

Come hanno fatto?

L’aspetto interessante di questo attacco è che il gruppo ha spiegato come ha fatto ad insinuarsi nel sistema della sanità campana, restituendo al lettore una idea di attacco dimostrativo seppur non lo sia, ed è comprensibile che la responsabilità non solo sia della società che offre i servizi al datacenter regionale campano, ma, come prevedibile, una falla nello sviluppatore del servizio informatico che ha due nomi altisonanti nel panorama internazionale dello sviluppo software.

L’attacco risale al 7 gennaio e durante l’attività di aggressione sono stati rubati tutti i dati personali, database, documenti finanziari e altri dati importanti, di cui è stato rilasciato un sampler di 1,5 gb. Successivamente all’esfiltrazione dei dati “le macchine virtuali su 42 server HYPER-V sono state criptate con un protocollo di crittografia di livello militare, per un totale di circa 240 macchine virtuali basate su windows, linux e altri sistemi operativi“. Il colpo, secondo gli aggressori, avrebbe messo giù il 90% di tutta la loro infrastruttura essenziale ed alcuni dei loro sistemi erano protetti dal sistema IDS Cortex XDR della paloaltonetworks e questo fa intendere che ad essere stata aggirata non sia solo la società dei servizi regionali, ma una rete di assistenza alla cybersecurity sviluppata da una multinazionale.

Matrice Digitale ha pubblicato un avviso dell’intelligence americana nei giorni precedenti con delle vulnerabilità da tenere presente per evitare attacchi indesiderati dai “russi” e non vi è alcun riferimento ad Hyper-v: sistema nativo di creazione delle macchine virtuali sui server Windows.

Cosa hanno preso?

Il Sampler diffuso mostra che il danno è notevole. In un solo giga e mezzo è stato possibile notare come ci siano dati sanitari di psicologi, pazienti oncologici, achivi del personale, dati dei diversi distretti dell’azienda sanitaria. Una ecatombe se consideriamo che ci troviamo dinanzi ad una goccia diffusa di quanto sia stato completamente esfiltrato prima del processo di criptazione con il fine di effettuare quello che in ambito del crimine informatico si chiama doppia estorsione.

Il famoso ‘sinistro’ informatico

Il gruppo mette alle strette la società che sta gestendo, o dovrebbe gestire, la trattativa e da un tempo di 2-3 giorni per risolvere la questione altrimenti “pubblicheremo tutti i dati e decripteremo le chiavi”

Dal report pubblicato, ad essere entrati in sofferenza sono stati i domain controller di Nola, Brusciano e Sorrento, gestiti dal datacenter regionale di Don Bosco che si trova nella parte est di Napoli. Tra i server, figurano non solo versioni di Windows server 2012 o 2016, ma anche 2003 che è uscito fuori assistenza e quindi potenzialmente vulnerabile.

Le minacce dopo il primo stop di ReVil

Resta ovviamente da capire come mai si possa essere arrivati a questo “fail” informatico, dopo le azioni criminali ai danni della sanità del Lazio e del comune di Torino ad opera del gruppo Conti, ma è chiaro che la minaccia mossa non molto tempo addietro ai danni della sanità italiana da un pool di ransomware gangs è ancora persistente. Secondo indiscrezioni raccolte da Matrice Digitale, la palla dovrebbe passare ad una trattativa non più tra assicurazione, Polizia postale e criminali, smentita in ogni caso comunque, bensì è prevista la fattiva ingerenza dell’intelligence italiana visti i dati sensibili coinvolti nell’attacco e la mancanza di un prezzo fissato per il riscatto ed è molto probabile che questa vicenda finirà nel silenzio o con un “abbiamo risolto facendo un backup”. In questo caso, recuperare il danno richiede tempi lunghi, trattandosi di diversi terabyte di dati compromessi.

Commenti da Facebook
Prosegui la lettura
abbonati gratis a Matrice Digitale
segnalaci un sito truffa, scam, phishing

Tendenza