Tag: Ransomware

Categorie
Tecnologia

Le autorità internazionali hanno inferto un duro colpo a LockBit

Author: Wired

Buone notizie sul fronte della sicurezza informatica internazionale. Un’operazione congiunta nota come “Operazione cronos” di Fbi (Usa), National crime agency (Uk), Europol (Eu) e altre agenzie di polizia ha portato ieri al sequestro del sito utilizzato dalla cybergang LockBit per estorcere denaro alle sue vittime, interrompendone di fatto l’attività criminale. “Possiamo confermare che i servizi di LockBit sono stati interrotti a seguito dell’azione delle forze dell’ordine internazionali: si tratta di un’operazione in corso e in via di sviluppo”, c’è scritto sul sito dei cybercriminali, che risulta contrassegnato dai sigilli delle forze dell’ordine di buona parte dei paesi del mondo, dall’Australia alla Germania.

Eppure, nonostante le autorità internazionali sembrino essere finalmente riuscite a fermare una delle cybergang più pericolose al mondo, in queste ore un rappresentante di LockBit ha fatto sapere su Tox, un’app di messaggistica crittografata, di essere in possesso di server di backup su cui le forze dell’ordine non sono ancora riuscite a mettere le mani. Un’affermazione preoccupante, che non ha ancora trovato alcuna conferma da parte dell’Fbi o delle altre autorità coinvolte nell'”Operazione cronos”. Nel caso però l’informazione fosse vera, LockBit si confermerebbe come uno trai gruppi criminali più letali di sempre. Negli ultimi mesi, infatti, la cybergang è riuscita ad attaccare alcune tra le più grandi organizzazioni al mondo, come l’Industrial and commercial Bank of China o il colosso medico Capital health. Inoltre, come se non bastasse, nel corso degli anni i criminali di LockBit sono riusciti a mettere a segno numerosi attacchi anche nel nostro paese, avvalendosi della collaborazione di “affiliati” a cui hanno concesso l’uso del proprio ransomware.

Insomma, nonostante l’azione delle forze dell’ordine internazionali si sia rivelata risolutiva, i cybercriminali di LockBit potrebbero tornare all’attacco molto presto. “È altamente improbabile che i membri principali del gruppo LockBit vengano arrestati come parte di questa operazione, dal momento che hanno sede in Russia”, ha dichiarato Allan Liska, un esperto di ransomware della società di sicurezza informatica Recorded future, alla Cnn. Eppure, il sequestro del sito web “significa che ci sarà un impatto significativo, anche se di breve durata, sull’ecosistema ransomware e un rallentamento degli attacchi”. Ora resta solo da vedere quanto durerà davvero questa tregua.

Categorie
Tecnologia

Le persone più pericolose su internet nel 2023

Author: Wired

Musk è il protagonista della copertina dell’ultimo numero di Wired Italia sui nuovi padroni del mondo. Ma già cinque anni il suo volto campeggiava in apertura di un articolo dell’edizione americana di Wired, che descriveva la sua personalità da dottor Jekyll e mister Hyde. A distanza di tempo, però, sta diventando sempre più chiaro quale sia la personalità dominante.

Cl0p

Secondo la società di analisi delle criptovalute Chainalysis, il 2023 sembra essere il secondo anno peggiore di sempre sul fronte delle estorsioni da parte delle cybergang ransomware. In questo panorama cupo, il primato per va senza dubbio a Cl0p. Secondo la società di sicurezza Emsisoft, a maggio il gruppo criminale ha cominciato a sfruttare una vulnerabilità zero-day nel software Moveit Transfer, riuscendo a infiltrarsi nei sistemi di oltre 2000 organizzazioni in tutto il mondo. Una delle vittime, l’azienda medica Maximus, ha perso il controllo dei dati di almeno 8 milioni di persone durante una delle violazioni. E lo stato americano del Maine si è visto sottrarre i dati di altri 1.3 milioni di persone. Nel complesso, sono ben 62 milioni gli utenti che hanno visto trafugate le proprie informazioni sensibili, e i criminali di Cl0p sono ancora a piede libero.

Alphv

Se Cl0p è senza dubbio la gang ransomware più spietata dell’anno, possiamo dire che è in buona compagnia. Alphv, noto anche come Black Cat, è un gruppo di cybercriminali che si è decisamente fatto notare nel corso del 2023. Nonostante fosse già stato collegato al gruppo che ha rivendicato il cyberattacco del 2021 alla Colonial Pipeline del 2021, la cybergang ha raggiunto un livello di notorietà significativo soltanto a settembre di quest’anno, dopo aver preso di mira la catena di hotel e casinò MGM Resorts International, mettendone fuori uso i sistemi informatici e causando danni per ben 100 milioni di dollari. Più in generale, l’Fbi afferma che Alphv ha compromesso più di mille organizzazioni, riuscendo a guadagnare più di 300 milioni di dollari in riscatti.

Qualche settimana fa, il Dipartimento di giustizia degli Stati Uniti ha annunciato che l’Fbi era riuscita a sequestrare il dominio del sito onion dove la cybergang pubblicava i dati rubati alle sue vittime. Alcune ore dopo, però, il sito è riapparso e Alphv ha annunciato che non avrebbe più rispettato la regola di non prendere di mira i sistemi di infrastrutture critiche, scatenando così i timori degli esperti di sicurezza. Fortunatamente, il dominio è stato bloccato di nuovo ma, considerando che nessun membro di Alphv è stato arrestato o incriminato in contumacia, c’è da aspettarsi altro caos per il 2024.

Hamas

Nessun evento del 2023 ha scosso la geopolitica in modo così improvviso e scioccante come l’attacco di Hamas contro Israele, in cui hanno perso la vita 1200 persone e sono stati catturati centinaia di ostaggi tra i civili. Un evento che ha scatenato una guerra che ha destabilizzato non solo il territorio israeliano, ma che ha scosso anche il mondo della tecnologia, sollevando interrogativi sulle tecnologie digitali che hanno permesso all’organizzazione di ottenere un seguito tanto importante. Quando l’Isis è salito alla ribalta nel 2014, ha costretto tutte le piattaforme tecnologiche del mondo a chiedersi se e come avessero permesso la violenza estremista. Ora, a distanza di un decennio, un nuovo ciclo di orribili spargimenti di sangue mostra come queste riflessioni siano ancora attuali.

Sandworm

Nonostante le sanzioni, le incriminazioni e persino una taglia da dieci milioni di dollari, il gruppo di russo di cybercriminali, noto come Sandworm è ancora in circolazione. Mentre l’invasione russa dell’Ucraina si avvia verso il suo terzo brutale anno, infatti, sembra che la gang si stia concentrando sempre di più sul conflitto.

Categorie
Tecnologia

Svelati i dettagli di Wolverine dopo un attacco informatico a Insomniac Games

Author: Wired

Nelle ultime ore i filmati del gameplay di Wolverine, il nuovo titolo di Insomniac Games, hanno cominciato a circolare liberamente su X dopo che i cybercriminali di Rhysida hanno condiviso in rete ben 1,67 terabyte di dati sottratti alla società in un attacco ransomware. Secondo quanto riportato da Cyber Daily, il gruppo criminale ha rivendicato l’attacco lo scorso 12 dicembre, annunciando un prezzo d’asta per i dati a partire da 50 bitcoin – circa 2 milioni di dollari – e una scadenza di pagamento di sette giorni. Trascorso questo periodo di tempo, non avendo ricevuto alcun segnale da Insomniac, i membri di Rhysida hanno rilasciato in rete oltre 1,3 milioni di file appartenenti allo sviluppatore.

X content

This content can also be viewed on the site it originates from.

Oltre al design dei livelli e ai materiali dei personaggi di Wolverine, la fuga di notizie include anche diverse presentazioni interne contenenti dettagli su giochi Insomniac e Sony non annunciati, screenshot di fogli di calcolo interni, specifiche sui budget di sviluppo e marketing, e moduli relativi all’assunzione del personale. Nei documenti trapelati Wolverine viene nominato come il primo di una trilogia di titoli dedicati agli X-Men, con il secondo e il terzo gioco che prevedono di essere rilasciati rispettivamente entro la fine del 2029 e del 2033. E come se non bastasse, le fonti parlano anche di un terzo titolo di Spider-Man, un gioco basato su Venom e una novità nel franchise Ratchet & Clank.

Insomma, una fuga di notizie tutt’altro che irrilevante, che Sony – società proprietaria di Insomniac Games – non ha voluto commentare in alcun modo. D’altronde anche la scorsa settimana, quando Rhysida ha rivendicato l’attacco allo sviluppatore di videogiochi, la compagnia si è limitata a dichiarare stava indagando su quanto accaduto, aggiungendo che “non aveva motivo di credere che altre divisioni SIE o Sony fossero state colpite”. Dall’altro lato, la cybergang ha fatto sapere che la scelta di attaccare Insomniac è stata motivata dalla volontà di guadagnare denaro mettendo a segno un colpo semplice.

Sapevamo che gli sviluppatori che realizzavano giochi come questo sarebbero stati un bersaglio facile”, ha commentato un rappresentante del gruppo criminale. Ora, quindi, aspettiamo soltanto di sapere come si muoverà lo sviluppatore, che sta assistendo a una diffusione di massa dell’anteprima dei suoi progetti futuri più redditizi.

Categorie
Tecnologia

Cosa sappiamo sull’attacco ransomware a Postel

Author: Wired

Ferragosto nero per Postel, società controllata da Poste italiane che si occupa di invii massivi di posta e direct marketing. Il gruppo è stato colpito da un attacco informatico a opera della gang ransomware Medusa, che ha dichiarato sul proprio sito di essere in possesso di una mole enorme di dati di Postel, che vanno da documenti personali dei dipendenti, abilitazioni Spid, file di tipo fiscale e amministrativo, informazioni su assunzioni regolate dalla legge 104 (che regola l’assistenza e l’integrazione delle persone con disabilità), cedolini e dati su Covid-19. Non solo: Medusa, secondo la classica strategia della doppia estorsione adottata dai gruppi criminali ransomware, minaccia di rendere pubbliche le informazioni se non sarà pagato un riscatto di 500mila dollari. O tranche di 10mila dollari al giorno per posticipare di 24 ore la scadenza. Pena, 8 giorni dopo la violazione, la diffusione dei dati sottratti.

Cosa sappiamo:

  1. L’attacco
  2. I dati

L’attacco

Poste Italiane, dopo richiesta di informazioni da parte di Wired, ha diffuso una nota stampa nella quale informa che Postel “ha individuato delle attività anomale sui propri sistemi, attribuibili ad
un attore esterno non autorizzato. Le attività hanno interrotto l’operatività di alcuni server,
nonché di alcune postazioni di lavoro distribuite sul territorio nazionale“. L’attacco ha messo ko il sito, che è rimasto offline fino alla mattinata di mercoledì 16 agosto. “A fronte delle attività anomale sono state tempestivamente avviate le necessarie attività di verifica, al fine di individuare i potenziali impatti sui sistemi e intraprendere le opportune e conseguenti azioni di mitigazione e di ripristino dell’operatività”.

Anche Agid, l’Agenzia per l’Italia digitale che affianca gli enti pubblici in campo informatico, si è attivata per segnalare l’intrusione ai danni di Postel, come dichiarato in un commento pubblico su X, l’ex Twitter. A rilevare per primo l’attacco di Medusa alla società della galassia di Poste è stato il progetto Dashboard ransomware monitor, che ha registrato la violazione alle 11.43 del 15 agosto. Nella nota di Poste si legge che “l’estromissione dai sistemi di Postel dell’attore malevolo è avvenuta prontamente in prossimità del rilevamento delle attività anomale stesse”.

Poste fa sapere che “attualmente risultano essere stati interessati solo dati interni all’azienda” e che “la società ha già è parzialmente ripristinato i servizi e sta lavorando per completare
velocemente il completo ripristino dei sistemi. Inoltre, è già stata verificata la completa
disponibilità degli archivi di backup dei sistemi, verifica che permetterà una completa azione
di recupero“. Ciononostante, a giudicare dalle anticipazioni fornite dai criminali, Medusa ha messo le mani su un ingente bottino di dati personali dei dipendenti, tra cui informazioni su aspettative, congedi parentali, legge 104, malattie, infortuni e maternità. Poi password, accessi a Spid (il sistema pubblico di identità digitale) sia di Postel sia di una cartella che fa riferimento a Regione Liguria (non è chiaro se questi dati siano riferibili all’ente ligure), poi ambienti di sicurezza per comunicare con l’Agenzia delle entrate. E ancora: cassetti previdenziali, informazioni su costi deducibili e altre informazioni su budget aziendali, valutazioni interne delle performance, costi.

I dati

Come riporta su X Christian Bernieri, data protection officer, che ha sollevato l’attenzione sull’attacco ransomware e visionato le anticipazioni dei dati, è paradossale che tra le informazioni esfiltrate ve ne siano di relative alle procedure per la privacy e la protezione dei dati. Tra questi un documento sull’accantonamento di fondi per rischi legati proprio al tema privacy e uno su contestazioni di una presunta violazione. Nel 2013 Postel era stata condannata dal Garante della privacy al pagamento di una multa di 340mila per aver violato alcune norme del settore della protezione dei dati in merito alla tenuta di database di aziende (un caso non inerente alla violazione attuale).

Postel è controllata al 100% da Poste Italiane. Guidata dal presidente Giovanni Ialongo e dall’amministratore delegato Giovanni Fantasia, offre vari servizi in ambito postale e logistico. Come stampe e invii massivi di comunicazioni, lettere o materiale di marketing. E poi si occupa di gestione dei documenti, conservazione digitali, fatturazione elettronica e altri servizi in ambito archivistico che rendono l’attività del gruppo molto delicato. Tanto che il ripristino pieno dell’operatività è ancora in corso. Poste spiega che “allo stato attuale si è proceduto al ripristino parziale di alcuni sistemi, in particolare dei sistemi business critical”.