Genova
Scienza e Tecnologia 

Anche le piattaforme liguri sotto gli attacchi hacker, ma Liguria Digitale resiste

L’attacco più forte sarebbe arrivato tre settimane fa, poi la scorsa settimana, infine stanotte. Liguria Digitale ha sempre parato il colpo impedendo ai pirati digitali di entrare (come invece è successo in Lazio) nella farm che tiene i dati della Regione, del Comune di Genova e altri Comuni, di Arpal, Arte, di Alisa, delle Asl, ma anche di tutte le strutture collegate e di molti enti pubblici o collegati al pubblico. Vi spieghiamo cosa è successo a Roma

Nel Lazio l’attacco è partito, secondo le prime dichiarazioni della Regione competente, «dalla violazione di un’utenza di un dipendente in smartworking» e i criminali avrebbero «colpito in un momento particolare, quando il livello di attenzione si abbassa», come a fine giornata lavorativa. Questa prima violazione, che potrebbe essere anche frutto di una disattenzione che avrebbe portato il dipendente a scaricare l’allegato di una qualche mail malevola, avrebbe consentito al ransomware di diffondersi tra i computer collegati, colpendo i backup dei dati regionali e criptandoli. L’errore umano è inevitabile, succede. Basta aprire una mail scaricandone il contenuto, cliccare su un link, usare il computer portatile che si usa per lavoro anche per consultazioni personali finendo su siti che possono diffondere il virus.

Dopo le prime indagini, però, problema, però, non sembra essere stato quello paventato in un primo tempo. In realtà, la Polizia Postale avrebbe individuato il “punto di ingresso” nei sistemi del gestore della rete informatica della Regione Lazio. I pirati informatici avrebbero scoperto le credenziali di amministratore di un dipendente di Lazio Crea. Successivamente hanno effettuato il login alla VPN di Lazio Crea e installato il ransomware nella rete del CED regionale. L’attacco è avvenuto tramite RansomEXX (per criptare i dati) e LockBit 2.0. Il dirigente di cui è stato violato l’account non era in smart working e il terminale era in ufficio. Nessuno è entrato nella sede. Tutto è stato fatto da remoto.

Al momento non risulta né il furto di dati né una richiesta di riscatto. 

Nello stesso periodo diverse aziende sono state attaccate (con risultati diversi), tra cui la Erg.

I due ransomware LockBit 2.0 e Ransomexx prendono il nome da due bande (presumibilmente russe) di cybercriminali.

O si tratta di due attacchi separati e quindi una coincidenza oppure sono collegati. È vero che Lockbit e Ransomexx sono due bande separate, ma spesso le bande ransomware collaborano condividendo risorse, informazioni.
Attualmente è in atto un braccio di ferro sulla responsabilità dei sistemi di sicurezza tra le varie imprese coinvolte. A ricostruire quanto accaduto sarà la Polizia Postale.

Il ransomware LockBit 2.0. 

LockBit ricorre al modello “Ransomware as a Service” (RaaS): significa che gli sviluppatori forniscono ai loro clienti l’infrastruttura e il malware, ricevendo una quota del riscatto della decriptazione dei file. L’attacco alla rete della vittima è responsabilità di chi acquista il servizio e, per quanto riguarda la distribuzione del ransomware attraverso la rete, LockBit ha progettato una tecnologia innovativa. LockBit 2.0 sarebbe il primo ransomware di massa che si diffonde colpendo i criteri dei gruppi utenti.

Dopo che i cybercriminali ottengono l’accesso alla rete e raggiungono il controller di dominio, come è successo in Lazio, eseguono il loro malware sullo stesso controller. In questo modo si creano nuovi criteri dei gruppi utenti, che vengono poi automaticamente distribuiti a ogni dispositivo della rete. I criteri imposti da LockBit 2.0 prima disabilitano i software di sicurezza integrati nel sistema operativo e, contemporaneamente, eseguono dei task programmati su tutti i dispositivi Windows per avviare l’eseguibile del ransomware. Secondo il ricercatore Vitali Kremez, LockBit 2.0 utilizza l’API di Windows Active Directory per eseguire query LDAP (Lightweight Directory Access Protocol) per ottenere un elenco dei computer collegati alla stessa rete. A questo punto LockBit 2.0 bypassa il controllo dell’account utente (UAC) e viene eseguito silenziosamente, senza innescare alcun allarme sui dispositivi cifrati.

Il ransomware Ransomexx

Il ransomware Ransomexx ha criptato, quindi bloccato, i dati. Oltre alle prenotazioni dei vaccini sono stati criptati 10 anni di concessioni edilizie, ambientali, gestioni rifiuti. Il motivo per cui non si riescono a recuperare i dati è che Regione Lazio non aveva un back up offline/offsite, cioè separato dalla rete. Il backup era online, quindi trovato dal malware e criptato anch’esso.

Al di là del “caso Lazio” sembra che i creatori di LockBit abbiano iniziato a reclutare dipendenti e collaboratori di grandi gruppi aziendali che li aiutino a violare le reti e crittografare dati riservati e ad alto valore. A fronte di quest’attività criminosa, gli autori del ransomware promettono pagamenti milionari a collaboratori infedeli.

Circa 200 attacchi al giorno ai server liguri

In Liguria tutto questo non succede? Sì e in grande abbondanza, anche molto simili (per non dire uguali) a quelli che hanno messo in ginocchio la sanità e l’intera Regione nel Lazio. Per lo più, qui hanno avuto conseguenze nulle grazie all’organizzazione di Liguria Digitale che riesce a fermarli. Alcuni attacchi sono più forti di altri. Tre settimane fa quello più potente, poi un altro la settimana scorsa. E uno è avvenuto anche nella notte appena trascorsa. Ma gli uomini di Liguria digitale sono sempre riusciti a impedire l’accesso ai criminali informatici.

Related posts