Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Maggio 2024 11:35
All’interno del famigerato forum underground Breach Forums, qualche giorno fa è stato pubblicato un post che ha come titolo “Italian Red Cross Breach” da parte di un Threat Actors.
In tale post, il criminale informatico riporta dei dettagli su come l’attacco informatico sia avvenuto oltre a pubblicare specifici samples, per attestare l’accesso alla rete IT dell’azienda. Ma andiamo con calma.
Tale attacco, potrebbe essere la rivendicazione da parte del Threat Actors relativamente all’incidente informatico subito dalla Croce Rossa Italiana ad inizio del 2024. L’incidente era stato dettagliato con uno specifico comunicato stampa da parte dell’ente il 6 febbraio scorso.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
In tale comunicato si legge quanto segue: “il 18 gennaio di quest’anno, i sistemi informatici della Croce Rossa Italiana hanno subito un sofisticato attacco hacker alla propria sicurezza che ha determinato la violazione dei dati personali. I dati non sono andati persi ma, per un periodo di tempo imprecisato, sono stati resi visibili agli hacker e probabilmente, ma non ne siamo ancora certi, potrebbero essere stati trafugati. Le informazioni che vi riguardano sono i dati raccolti da Croce Rossa nell’ambito della propria attività di volontariato nonché quelli utilizzati per fornire i servizi sociali ed umanitari; alcuni di essi possono avere natura anche sensibile.”
L’autore del post afferma di essere riuscito ad accedere alla rete della Croce Rossa Italiana senza incontrare alcuna difficoltà significativa senza riportare un periodo preciso.
Sorprendentemente, sembra che le misure di difesa utilizzate, tra cui il sistema di rilevamento e risposta agli incidenti (EDR/XDR), siano state inefficaci nel rilevare o bloccare l’attacco. Persino l’ottenimento di privilegi amministrativi sulla rete aziendale (Active Directory) è stato descritto come relativamente semplice, senza la necessità di utilizzare tecniche avanzate come Kerberoast o s4u.
Una delle vulnerabilità evidenziate riguarda l’uso diffuso di una password comune, “Sviluppo.1864”, che sembra essere stata utilizzata su diversi account, sia locali che di rete Active Directory. Questo scenario è un chiaro esempio di pratica di sicurezza debole, che ha permesso all’hacker di muoversi liberamente all’interno del sistema.
Ma le vulnerabilità non si fermano qui. L’autore del post rivela di aver trovato macchine accessibili dall’esterno che erano vulnerabili a exploit noti, consentendo così di ottenere privilegi di esecuzione locale. Questo dimostra una mancanza di manutenzione e aggiornamento del sistema, rendendo la rete ancora più vulnerabile agli attacchi esterni.
Uno degli aspetti più inquietanti della violazione è la quantità di dati sensibili che l’hacker è stato in grado di accedere e recuperare. Si stima che siano stati catturati 13 terabyte di video interni ed esterni, insieme a codici sorgente interni, database e backup. Questo solleva gravi preoccupazioni per la privacy e la sicurezza dei dati degli utenti e delle parti interessate.
Il post conclude con una nota sinistra, in cui l’autore offre di condividere una backdoor nascosta per consentire l’accesso futuro alla rete compromessa.
All’interno del post viene riportato quanto segue:
Così, molto tempo fa, sono riuscito ad entrare nella rete della Croce Rossa Italiana. Ho incontrato come EDR/XDR, Trend Micro Apex One. La peggiore soluzione di difesa di sempre. Anche con una semplice shell PHP, non veniva né visto né bloccato. Insomma, meglio così, no?
Diventare amministratore della rete aziendale (Active Directory) è stato relativamente semplice.
Niente Kerberoast, niente s4u o qualcosa del genere.
Le macchine che mi consentivano l'accesso dall'esterno erano anche vulnerabili a vari exploit noti che consentivano LPE.
La cosa divertente? La password "principale" veniva utilizzata quasi ovunque.
Dagli account locali agli account di rete AD.
"Sviluppo.1864" o "Sviluppo.1864!" molto divertente e facile.
Inoltre era sufficiente agire di notte, perché il loro EDR inviava avvisi/eventi alla loro JIRA interna.
In breve è stato facile e per niente difficile, l'unico problema è stato quando ho catturato 13TB di video interni e non interni. Che furono esclusi completamente dalla discarica perché avrebbe richiesto troppo tempo e avrebbe fatto molto "rumore" nella rete e nei loro sistemi fortinet interni.
Oltre a questo, goditi i codici sorgente interni, i database, alcuni backup e molto altro.
Non ho inserito il ransomware semplicemente perché lo trovo del tutto inutile e sbandante, personalmente.
Ho solo una richiesta, se puoi eseguire il mirroring il più possibile, perché il DCMA e le politiche di base di Gofile fanno praticamente schifo.
Buona giornata a tutti, soprattutto alle aziende TI e alla prossima! o/
PS .
Inoltre se vuoi ho sempre una backdoor nascosta per accedere nuovamente, se vuoi te la posso mandare in PM per chi è interessato e vuole continuare a divertirsiIl Threat Actors per poter avvallare quanto riportato inserisce in allegato degli screenshot dove è possibile vedere all’interno delle macchine Windows Server con il logo della croce rossa oltre ad informazioni in chiaro provenienti dai database interni.
Come riportato all’inizio, è possibile ipotizzare che la rivendicazione du Breach Forums fa seguito all’attacco del 18 Gennaio 2024, come da comunicato stampa della Croce Rossa.
Infatti il threat actors riporta che non si tratta dell’attacco alla croce rossa del 2022, ma bensì di un nuovo attacco. “Prima di dire stronzate, le persone che fanno Threat Intelligence (o meglio, provano a farlo senza sapere nulla), dovrebbero effettivamente controllare ciò che ho condiviso. Perché quello che ho fatto non ha nulla a che fare con la violazione del 2022. Ragazzi, siete troppo divertenti!”
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
RedazioneL’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...
Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...
Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...
Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...
Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
