Attacco informatico alla Croce Rossa italiana. Pubblicati dati ed informazioni all’interno dell’underground

All’interno del famigerato forum underground Breach Forums, qualche giorno fa è stato pubblicato un post che ha come titolo “Italian Red Cross Breach” da parte di un Threat Actors.

In tale post, il criminale informatico riporta dei dettagli su come l’attacco informatico sia avvenuto oltre a pubblicare specifici samples, per attestare l’accesso alla rete IT dell’azienda. Ma andiamo con calma.

L’attacco informatico alla Croce Rossa del 18 Gennaio 2024

Tale attacco, potrebbe essere la rivendicazione da parte del Threat Actors relativamente all’incidente informatico subito dalla Croce Rossa Italiana ad inizio del 2024. L’incidente era stato dettagliato con uno specifico comunicato stampa da parte dell’ente il 6 febbraio scorso.

In tale comunicato si legge quanto segue: “il 18 gennaio di quest’anno, i sistemi informatici della Croce Rossa Italiana hanno subito un sofisticato attacco hacker alla propria sicurezza che ha determinato la violazione dei dati personali. I dati non sono andati persi ma, per un periodo di tempo imprecisato, sono stati resi visibili agli hacker e probabilmente, ma non ne siamo ancora certi, potrebbero essere stati trafugati. Le informazioni che vi riguardano sono i dati raccolti da Croce Rossa nell’ambito della propria attività di volontariato nonché quelli utilizzati per fornire i servizi sociali ed umanitari; alcuni di essi possono avere natura anche sensibile.”

La rivendicazione dell’attacco alla Croce Rossa su Breach Forums

L’autore del post afferma di essere riuscito ad accedere alla rete della Croce Rossa Italiana senza incontrare alcuna difficoltà significativa senza riportare un periodo preciso.

Sorprendentemente, sembra che le misure di difesa utilizzate, tra cui il sistema di rilevamento e risposta agli incidenti (EDR/XDR), siano state inefficaci nel rilevare o bloccare l’attacco. Persino l’ottenimento di privilegi amministrativi sulla rete aziendale (Active Directory) è stato descritto come relativamente semplice, senza la necessità di utilizzare tecniche avanzate come Kerberoast o s4u.

Una delle vulnerabilità evidenziate riguarda l’uso diffuso di una password comune, “Sviluppo.1864”, che sembra essere stata utilizzata su diversi account, sia locali che di rete Active Directory. Questo scenario è un chiaro esempio di pratica di sicurezza debole, che ha permesso all’hacker di muoversi liberamente all’interno del sistema.

Ma le vulnerabilità non si fermano qui. L’autore del post rivela di aver trovato macchine accessibili dall’esterno che erano vulnerabili a exploit noti, consentendo così di ottenere privilegi di esecuzione locale. Questo dimostra una mancanza di manutenzione e aggiornamento del sistema, rendendo la rete ancora più vulnerabile agli attacchi esterni.

Uno degli aspetti più inquietanti della violazione è la quantità di dati sensibili che l’hacker è stato in grado di accedere e recuperare. Si stima che siano stati catturati 13 terabyte di video interni ed esterni, insieme a codici sorgente interni, database e backup. Questo solleva gravi preoccupazioni per la privacy e la sicurezza dei dati degli utenti e delle parti interessate.

Il post conclude con una nota sinistra, in cui l’autore offre di condividere una backdoor nascosta per consentire l’accesso futuro alla rete compromessa.

All’interno del post viene riportato quanto segue:

Così, molto tempo fa, sono riuscito ad entrare nella rete della Croce Rossa Italiana. Ho incontrato come EDR/XDR, Trend Micro Apex One. La peggiore soluzione di difesa di sempre. Anche con una semplice shell PHP, non veniva né visto né bloccato. Insomma, meglio così, no?

Diventare amministratore della rete aziendale (Active Directory) è stato relativamente semplice.

Niente Kerberoast, niente s4u o qualcosa del genere.

Le macchine che mi consentivano l'accesso dall'esterno erano anche vulnerabili a vari exploit noti che consentivano LPE.

La cosa divertente? La password "principale" veniva utilizzata quasi ovunque.
Dagli account locali agli account di rete AD.

"Sviluppo.1864" o "Sviluppo.1864!" molto divertente e facile.
Inoltre era sufficiente agire di notte, perché il loro EDR inviava avvisi/eventi alla loro JIRA interna.

In breve è stato facile e per niente difficile, l'unico problema è stato quando ho catturato 13TB di video interni e non interni. Che furono esclusi completamente dalla discarica perché avrebbe richiesto troppo tempo e avrebbe fatto molto "rumore" nella rete e nei loro sistemi fortinet interni.

Oltre a questo, goditi i codici sorgente interni, i database, alcuni backup e molto altro.

Non ho inserito il ransomware semplicemente perché lo trovo del tutto inutile e sbandante, personalmente.
Ho solo una richiesta, se puoi eseguire il mirroring il più possibile, perché il DCMA e le politiche di base di Gofile fanno praticamente schifo.
Buona giornata a tutti, soprattutto alle aziende TI e alla prossima! o/

PS .
Inoltre se vuoi ho sempre una backdoor nascosta per accedere nuovamente, se vuoi te la posso mandare in PM per chi è interessato e vuole continuare a divertirsi

Il Threat Actors per poter avvallare quanto riportato inserisce in allegato degli screenshot dove è possibile vedere all’interno delle macchine Windows Server con il logo della croce rossa oltre ad informazioni in chiaro provenienti dai database interni.

Non si tratta dell’attacco del 2022, ma probabilmente di quello del 2024

Come riportato all’inizio, è possibile ipotizzare che la rivendicazione du Breach Forums fa seguito all’attacco del 18 Gennaio 2024, come da comunicato stampa della Croce Rossa.

Infatti il threat actors riporta che non si tratta dell’attacco alla croce rossa del 2022, ma bensì di un nuovo attacco. “Prima di dire stronzate, le persone che fanno Threat Intelligence (o meglio, provano a farlo senza sapere nulla), dovrebbero effettivamente controllare ciò che ho condiviso. Perché quello che ho fatto non ha nulla a che fare con la violazione del 2022. Ragazzi, siete troppo divertenti!”

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research