Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Maggio 2024 11:35
All’interno del famigerato forum underground Breach Forums, qualche giorno fa è stato pubblicato un post che ha come titolo “Italian Red Cross Breach” da parte di un Threat Actors.
In tale post, il criminale informatico riporta dei dettagli su come l’attacco informatico sia avvenuto oltre a pubblicare specifici samples, per attestare l’accesso alla rete IT dell’azienda. Ma andiamo con calma.
Tale attacco, potrebbe essere la rivendicazione da parte del Threat Actors relativamente all’incidente informatico subito dalla Croce Rossa Italiana ad inizio del 2024. L’incidente era stato dettagliato con uno specifico comunicato stampa da parte dell’ente il 6 febbraio scorso.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
In tale comunicato si legge quanto segue: “il 18 gennaio di quest’anno, i sistemi informatici della Croce Rossa Italiana hanno subito un sofisticato attacco hacker alla propria sicurezza che ha determinato la violazione dei dati personali. I dati non sono andati persi ma, per un periodo di tempo imprecisato, sono stati resi visibili agli hacker e probabilmente, ma non ne siamo ancora certi, potrebbero essere stati trafugati. Le informazioni che vi riguardano sono i dati raccolti da Croce Rossa nell’ambito della propria attività di volontariato nonché quelli utilizzati per fornire i servizi sociali ed umanitari; alcuni di essi possono avere natura anche sensibile.”
L’autore del post afferma di essere riuscito ad accedere alla rete della Croce Rossa Italiana senza incontrare alcuna difficoltà significativa senza riportare un periodo preciso.
Sorprendentemente, sembra che le misure di difesa utilizzate, tra cui il sistema di rilevamento e risposta agli incidenti (EDR/XDR), siano state inefficaci nel rilevare o bloccare l’attacco. Persino l’ottenimento di privilegi amministrativi sulla rete aziendale (Active Directory) è stato descritto come relativamente semplice, senza la necessità di utilizzare tecniche avanzate come Kerberoast o s4u.
Una delle vulnerabilità evidenziate riguarda l’uso diffuso di una password comune, “Sviluppo.1864”, che sembra essere stata utilizzata su diversi account, sia locali che di rete Active Directory. Questo scenario è un chiaro esempio di pratica di sicurezza debole, che ha permesso all’hacker di muoversi liberamente all’interno del sistema.
Ma le vulnerabilità non si fermano qui. L’autore del post rivela di aver trovato macchine accessibili dall’esterno che erano vulnerabili a exploit noti, consentendo così di ottenere privilegi di esecuzione locale. Questo dimostra una mancanza di manutenzione e aggiornamento del sistema, rendendo la rete ancora più vulnerabile agli attacchi esterni.
Uno degli aspetti più inquietanti della violazione è la quantità di dati sensibili che l’hacker è stato in grado di accedere e recuperare. Si stima che siano stati catturati 13 terabyte di video interni ed esterni, insieme a codici sorgente interni, database e backup. Questo solleva gravi preoccupazioni per la privacy e la sicurezza dei dati degli utenti e delle parti interessate.
Il post conclude con una nota sinistra, in cui l’autore offre di condividere una backdoor nascosta per consentire l’accesso futuro alla rete compromessa.
All’interno del post viene riportato quanto segue:
Così, molto tempo fa, sono riuscito ad entrare nella rete della Croce Rossa Italiana. Ho incontrato come EDR/XDR, Trend Micro Apex One. La peggiore soluzione di difesa di sempre. Anche con una semplice shell PHP, non veniva né visto né bloccato. Insomma, meglio così, no?
Diventare amministratore della rete aziendale (Active Directory) è stato relativamente semplice.
Niente Kerberoast, niente s4u o qualcosa del genere.
Le macchine che mi consentivano l'accesso dall'esterno erano anche vulnerabili a vari exploit noti che consentivano LPE.
La cosa divertente? La password "principale" veniva utilizzata quasi ovunque.
Dagli account locali agli account di rete AD.
"Sviluppo.1864" o "Sviluppo.1864!" molto divertente e facile.
Inoltre era sufficiente agire di notte, perché il loro EDR inviava avvisi/eventi alla loro JIRA interna.
In breve è stato facile e per niente difficile, l'unico problema è stato quando ho catturato 13TB di video interni e non interni. Che furono esclusi completamente dalla discarica perché avrebbe richiesto troppo tempo e avrebbe fatto molto "rumore" nella rete e nei loro sistemi fortinet interni.
Oltre a questo, goditi i codici sorgente interni, i database, alcuni backup e molto altro.
Non ho inserito il ransomware semplicemente perché lo trovo del tutto inutile e sbandante, personalmente.
Ho solo una richiesta, se puoi eseguire il mirroring il più possibile, perché il DCMA e le politiche di base di Gofile fanno praticamente schifo.
Buona giornata a tutti, soprattutto alle aziende TI e alla prossima! o/
PS .
Inoltre se vuoi ho sempre una backdoor nascosta per accedere nuovamente, se vuoi te la posso mandare in PM per chi è interessato e vuole continuare a divertirsiIl Threat Actors per poter avvallare quanto riportato inserisce in allegato degli screenshot dove è possibile vedere all’interno delle macchine Windows Server con il logo della croce rossa oltre ad informazioni in chiaro provenienti dai database interni.
Come riportato all’inizio, è possibile ipotizzare che la rivendicazione du Breach Forums fa seguito all’attacco del 18 Gennaio 2024, come da comunicato stampa della Croce Rossa.
Infatti il threat actors riporta che non si tratta dell’attacco alla croce rossa del 2022, ma bensì di un nuovo attacco. “Prima di dire stronzate, le persone che fanno Threat Intelligence (o meglio, provano a farlo senza sapere nulla), dovrebbero effettivamente controllare ciò che ho condiviso. Perché quello che ho fatto non ha nulla a che fare con la violazione del 2022. Ragazzi, siete troppo divertenti!”
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
RedazioneRecentemente, Alin Grigoras, un chimico computazionale, ha scritto alla Redazione di Red Hot Cyber. Ci informava che prendendo spunto da un articolo sul bug bounty di Anthropic, era riuscito a farsi d...
Nel corso di un’analisi di sicurezza effettuata sul prodotto ZENIC ONE R58 di ZTE Corporations, il RED Team Research di TIM ha individuato un bug critico di tipo Formula Injection, una vulnerab...
Microsoft ha recentemente rilasciato un avviso di sicurezza per CVE-2025-21396, una vulnerabilità critica di bypass dell’autenticazione che potrebbe consentire agli attaccanti di falsifica...
Norton, marchio consumer di sicurezza informatica, ha pubblicato il suo Consumer Cyber Safety Report – Online Dating Edition 2025. Il report ha intervistato gli italiani per esplorare il loro r...
Gli specialisti della sicurezza informatica non sono apprezzati per le loro conoscenze teoriche, ma per la loro capacità di applicarle nella pratica. L’esercizio in questo settore è p...
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009
