Attacco informatico alla Alto Calore Servizi S.p.A. Medusa Locker pubblica alcuni files online

Redazione RHC : 2 Maggio 2023 13:19

La  banda criminale di MedusaLocker, oggi rivendica un attacco ransomware alle infrastrutture della Alto Calore Servizi S.p.A. sul suo Data Leak Site (DLS)

L’azienda ha prontamente emesso un avviso sul suo sito web che riporta che “A causa dell’attacco hacker che ha reso momentaneamente inutilizzabile il sistema informatico di Alto Calore Servizi SI COMUNICA
che non sarà possibile effettuare alcuna operazione né fare informazioni che prevedano interrogazione al database. Sarà fatta comunicazione, anche attraverso gli organi di stampa, del ripristino del sistema. CI SCUSIAMO PER IL DISSERVIZIO”, come mostra la print screen in calce.

Alto Calore Servizi S.p.A., abbreviato ACS, è stata costituita il 13 marzo 2003. E’ una società per azioni costituita da 126 soci: 125 comuni della provincia di Avellino e Benevento e l’amministrazione della provincia di Avellino.

Alto Calore Servizi opera nel settore della captazione e distribuzione di acqua potabile, fognature e depurazione.

Medusa intanto pubblica il countdown fissato a tra 7 giorni e 20 ora, giorno della pubblicazione dei dati dell’azienda nelle underground, per aumentare la pressione verso l’organizzazione e quindi indurla a pagare il riscatto.

Ed inoltre pubblica alcuni dati e samples che attestano la compromissione dell’azienda oltre a 3 opzioni di eliminazione dei dati. Si parla di 100.000 dollari per la cancellazione totale delle informazioni oppure di 10.000 dollari per aggiungere del tempo al countdown.

I dati pubblicati sono dati personali, contratti, beni societari, verbali di udienza del Tribunale di Benevento, cause in corso, report di monitoraggio, planimetrie delle condotte di distribuzione, informazioni su lavori di ampliamento, report sul consumo energetico, richieste di installazione e altro ancora.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.

Nel caso in cui l’azienda voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo sulle nostre pagine per dare risalto alla questione.

Qualora ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda od effettuare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Chi sono i criminali di Medusa Locker

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Gli attori del ransomware MedusaLocker molto spesso ottengono l’accesso ai dispositivi delle vittime attraverso configurazioni RDP (Remote Desktop Protocol) vulnerabili. Gli attori utilizzano spesso anche campagne e-mail di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori iniziali di intrusione.

MedusaLocker ransomware utilizza un file batch per eseguire lo script PowerShell invoke-ReflectivePEInjection. Questo script propaga MedusaLocker in tutta la rete modificando il valore EnableLinkedConnections all’interno del registro della macchina infetta, che quindi consente alla macchina di rilevare host e reti collegati tramite ICMP (Internet Control Message Protocol) e di rilevare l’archiviazione condivisa tramite il protocollo Server Message Block (SMB) .

MedusaLocker quindi: 

• Riavvia il servizio LanmanWorkstation, che consente di rendere effettive le modifiche al registro; 
• Elimina i processi di noti software di sicurezza;
• Riavvia la macchina in modalità provvisoria per evitare il rilevamento da parte del software di sicurezza;
• Crittografa i file delle vittime con l’algoritmo di crittografia AES-256; la chiave risultante viene quindi crittografata con una chiave pubblica RSA-2048;
• Crittografa tutti i file tranne quelli critici per la funzionalità della macchina della vittima;
• Stabilisce la persistenza copiando un eseguibile (svhost.exe o svhostt.exe);
• nella directory %APPDATA%\Roaming viene programmata un’attività per eseguire il ransomware ogni 15 minuti;
• Tenta di impedire le tecniche di ripristino standard eliminando i backup locali, disabilitando le opzioni di ripristino all’avvio ed eliminando le copie shadow.

Gli attori di MedusaLocker inseriscono una richiesta di riscatto in ogni cartella contenente un file con i dati crittografati della vittima.

La nota delinea come comunicare con gli attori di MedusaLocker, in genere fornendo alle vittime uno o più indirizzi e-mail a cui gli attori possono essere raggiunti. La dimensione delle richieste di riscatto di MedusaLocker sembra variare a seconda della situazione finanziaria della vittima percepita dagli attori. 

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.