Breve cyber-conto settimanale; La Russia dismette REvil; UniCC chiude i battenti
Buon sabato e ben trovato utente del cyberspazio. Anche se è appena la seconda di questo nuovo anno, è stata una settimana molto intensa e densa di eventi problematici per la sicurezza informatica (italiana ed estera).
In breve oggi ti parlo di:
Breve cyber-conto settimanale
La Russia dismette REvil
UniCC chiude i battenti
Breve cyber-conto settimanale
Non è usanza di questa newsletter riportare il RECAP degli eventi già noti della settimana, ma stavolta serve per dare un'idea della dimensione del problema. Perché è stata una settimana molto densa? Perché solo negli ultimi sette giorni ho contato sei incidenti derivati da attacchi ransomware verso aziende e PA italiane, solo italiane. In pratica quasi una volta al giorno un CEO o un amministratore di ente pubblico si sveglia e sa che il proprio posto di lavoro potrebbe esser stato compromesso e messo sotto sopra da un attacco informatico. Questo per il Paese è un grande problema, non so se si risolva con un cloud nazionale, ma di certo non smetterò mai di ripetere che l'educazione digitale deve diventare la base di partenza di qualsiasi percorso formativo/professionale.
Chi sono questi target? Sempre considerando gli ultimi sette giorni, posso nominare la diffusione online del materiale di rubato a Bricofer (gruppo Lockbit 2.0), azienda italiana ben nota che, come spesso accade, è passata dritta davanti all'incidente, al mal funzionamento del proprio sito per almeno un giorno, al furto dei dati interni, alla diffusione di questi dati (ora liberamente scaricabili da chiunque), senza la minima preoccupazione: niente avviso pubblico, niente comunicazione ai clienti (eppure sono stati rubati anche i loro dati come clienti fidelity) e di sicuro ho modo di pensare, niente comunicazione agli enti preposti. Pensate che un approccio simile alla sicurezza possa migliorare la nostra condizione? Purtroppo no, in questo modo gli attacchi non possono far altro che aumentare, come stanno facendo.
Un discreto gruppetto di aziende PMI italiane (commercio, logistica, formazione aziendale i settori), ne ho contato almeno sei, non solo ransomware, ma anche attacchi reputazionali con vendita online di databreach, come il caso di Digitaxi, la quale disperde elenchi di dati compresi di numeri telefonici, email e codici IBAN dei propri clienti, ora in vendita illegalmente online e per quale motivo? Perché le persone li hanno affidati alla società Digitaxi pensando li proteggesse, ma grazie all'applicazione delle più scadenti pratiche di sicurezza, quest'ultima non li ha protetti adeguatamente e gli si sono stati sottratti.
Poi ci sono stati casi dall'impatto più dirompente come la diffusione online (senza prezzo) da parte del gruppo Everest, di tutti i dati esfiltrati a SIAE, ai danni stavolta di tutti i contribuenti della società: attori, autori, cantanti, persone dello spettacolo. Ne vengo a conoscenza grazie a questo tweet dell'esperto Claudio Sono. Dai dati visionabili ormai da chiunque si evince che anche SIAE non aveva il minimo interesse a svolgere adeguate pratiche di sicurezza nella conservazione dei dati che custodiva: carte d'identità (quindi con dati sulla residenza), tessere sanitarie, dati medici (certificati), dati fiscali di ogni genere, erano semplicemente lasciati in cartelle qualunque di computers qualunque. L'unico accorgimento? Dicevano che non conservavano dati bancari: falso, ci sono anche codici IBAN da collezionare. Dell'accaduto comunque ha prontamente fatto analisi Tommaso Meo per Wired Italia (qui).
Oppure il caso ASL Napoli Sud 3, che è stato comunicato come un malfunzionamento informatico dalla stessa azienda sanitario all'inizio di questa settimana, proprio per via dei non più gestibili disservizi del sito irraggiungibile, ma anche delle strutture locali non funzionanti. Attacco che proprio ieri è stato rivendicato, decisamente non come malfunzionamento informatico, da un nuovo gruppo criminale che si chiama Sabbath (54bb47h), con tanto di dettagli dell'attacco e sample da 1,5 GB liberamente consultabile. In sintesi (ma dalla prossima settimana troverete diverse analisi seguendo il mio profilo Twitter e il blog), quello che racconta la gang è che tramite un fornitore di servizi con appalto presso Regione Campania, sono riusciti a crittografare (esfiltrando) il contenuto di 42 server che alimentavano 240 Virtual Machines, al cui interno risiedevano anche i dati e le operazioni di ASL Napoli 3 Sud. I disagi sono stati e sono ancora oggi devastanti: intere famiglie in attesa di tampone, o risultato dello stesso, costrette a quarantena prolungata senza una via d'uscita. Le operatività dell'azienda sanitaria sono state completamente paralizzate per giorni, e molti distretti non hanno ancora ripreso.
La Russia dismette REvil
Il segretario generale della NATO Jens Stoltenberg ha annunciato che l'alleanza NATO firmerà un accordo con l'Ucraina sulla cooperazione in materia di sicurezza informatica "nei prossimi giorni". Stoltenberg non è entrato nei dettagli, ma ha specificato che l'accordo consentirà al blocco di fornire a Kiev l'accesso alla sua piattaforma di condivisione di malware. La notizia arriva dopo che l'Ucraina ha rivelato un massiccio hack di diversi siti web del governo, inclusi quelli dei ministeri degli esteri e dell'istruzione e il portale dei servizi statali.
In questo scenario internazionale la Russia, ulteriormente pressata da Stati Uniti alla collaborazione in termini di cyber security, decide di smantellare una delle più attive bande criminali informatiche, da sempre impiegate (si pensa dallo Stato russo stesso) in attacchi contro importanti obiettivi americani. E' il caso dell'arresto dei componenti del gruppo ransomware REvil. La notizia arriva accompagnato da un video dei servizi di intelligence russi, che ne ritrae gli arresti. Il servizio speciale ha dichiarato di aver ricostruito la piena composizione di REvil e il coinvolgimento dei suoi membri nella circolazione illegale di mezzi di pagamento, i membri del gruppo detenuti sono stati accusati ai sensi dell'articolo 187 del codice penale russo. Sono stati sequestrati inoltre 426 milioni di rubli presso 25 differenti indirizzi di residenza, anche in criptovaluta, 600mila dollari, 500mila euro, oltre a apparecchiature informatiche, portafogli crittografici e 20 auto di fascia alta, acquistate con denaro criminale (riciclaggio). Dopo questa operazione, almeno stando alle dichiarazioni sembra che il gruppo REvil sia completamente fuori dai giochi, secondo le autorità non ci sarebbero altri componenti di rilievo, in libertà.
UniCC chiude i battenti
Informazione rilevante anche questa in quanto UniCC, attivo dal 2013, cessa definitivamente la sua attività illecita che negli anni ha arrecato milioni di dollari di danni a cittadini, banche e store online. La notizia arriva direttamente dal team UniCC. Operativo nel darkweb quindi accessibile unicamente sotto rete Tor, è sempre stato un catalogo di vendita online di migliaia di carte di credito rubate, costantemente aggiornato. Nota la massiccia dimensione di questa attività online, è comprensibile richieda uno sforzo non indifferente per gestirne le operazioni, ormai da così tanti anni. Gli amministratori infatti gettano la spugna per un semplice motivo: sono stanchi e non più molto giovani. Negli ultimi anni sono riusciti anche a sbaragliare la concorrenza in quanto si è assistito alla progressiva chiusura di vari altre piattaforme simili. Un rapporto della società di sicurezza informatica Elliptic rileva che, dalla sua apertura, il sito web ha ricevuto pagamenti per un totale di 358 milioni di dollari in criptovalute come Bitcoin, Litecoin, Ethereum e Dash. Dopo la chiusura di Joker's Stash, UniCC era probabilmente diventata la più grande piattaforma di mercato nero del dark web, rubando informazioni finanziarie sensibili da milioni di località in tutto il mondo.
Tools utili della settimana
Per il pacchetto strumenti del mestiere, questa settimana segnalo:
Linux Kernel Defence Map: un modo per rendere più semplice la Kernel security;
SpoofThatMail: script Bash per controllare se un dominio soffre di spoofing sul record DMARC (provatelo su qualsiasi dato della PA italiana e i risultati sono incredibili);
pwnSpoof: genera file di log falsificati ma realistici per server Web comuni con scenari di attacco personalizzabili.
Anche questo sabato mattina non posso far altro che ringraziarvi per avermi letto, augurandovi un buon proseguo di weekend. Se ti piace tutto questo e vuoi maggiore comodità, in ogni caso sappi che puoi iscriverti lasciando il tuo indirizzo email e la riceverai ogni sabato mattina direttamente in INBOX.