Redazione RHC : 17 Giugno 2022 23:19
Erano presenti diverse voci da circa un mese di un presunto incidente informatico alla regione Sardegna, che a quanto pare risulta in atto all’interno delle sue strutture IT.
Lo rende ufficiale la testata indip[.]it che riporta che da ben febbraio scorso, gli hacker si sono intrufolati all’interno della rete della regione, esfiltrando un archivio di 155GB.
Nell’articolo, l’autore Raffaele Angius riportato quanto segue:
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Creare Un Sistema Ai Di Visual Object Tracking (Hands on) Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy? Come Hackerare Un Sito WordPress (Hands on) Il Cyberbullismo Tra Virtuale E Reale Come Entrare Nel Dark Web In Sicurezza (Hands on)
Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
![]()
Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“A preoccupare maggiormente sono le informazioni personali sui dipendenti e relativi incarichi all’interno della pubblica amministrazione, rese anch’esse consultabili. Tra queste si trovano numeri di telefono privati, indirizzi e documenti d’identità di altissimi dirigenti della Regione e politici, come Indip ha potuto accertare.”
Si tratta di un bel numero di informazioni che a quanto pare contengono dati riservati.
.@indip_it L'avevano promesso, l'hanno fatto: i criminali informatici che a feb hanno colpito Regione Sardegna, hanno pubblicaot 155gb di documenti riservati. Difficile stavolta nascondere il furto, mai confermato, nonostante le nostre rivelazioni https://t.co/owHcghyD6v
— Raffaele Angius (@faffa42) June 17, 2022
Si parla appunto di:
Sembrerebbe che per un errore tecnico, l’operazione RaaS Quantum Locker, abbia pubblicato sul suo data-lake-site (DLS) chiamato “Quantum Blog” dei dati.
In questo tempo però, alcuni ricercatori di sicurezza hanno prelevato delle schermate relative alla fuoriuscita dei dati riportata da @sonoclaudio in un tweet di queta mattina che riporta quanto segue:
#Ransom | #Ransomware | #Quantum pubblica (per errore) i dati (155 GB) di #RegioneSardegna
— Claudio (@sonoclaudio) June 17, 2022
[Rif. inchiesta di @faffa42 | nota per @nuke86] pic.twitter.com/FgozdWIykq
Le schermate mostrano moltissimi dati riservati della regione e la data delle cartelle create sul server hanno la data del 21 di Aprile scorso.
Al momento sul data-leak-site (DLS) della cybergang (quantum blog accessibile dalla rete onion), non è presente alcun post o informazioni su tale incidente.
Andando ad eseguire una analisi nelle underground, Pietro DI Maria di RHC, ha notato che la regione Sardegna aveva già da tempo diverse botnet attive all’interno dei device utilizzati dai suoi dipendenti per accedere alle infrastrutture della regione.
Accedendo a tali botnet si nota che producono informazioni interessanti ed affidabili per consentire un successivo attacco mirato e tali informazioni sono recenti.
Si parla di accessi a molteplici entry point web (ne abbiamo riportati solo alcuni) presenti nella regione Sardegna e contengono utenza e password a vari servizi.
Come avevamo riportato in passato, la Threat intelligence è una materia fondamentale in questo periodo storico, in quanto ci consente di anticipare le mosse dell’avversario e comprendere quali correttivi implementare all’interno dell’organizzazione, prima che sia troppo tardi.
Per comprendere meglio di cosa si tratta potete leggere il primo report di Talking Cricket, dove spieghiamo con precisione il funzionamento delle botnet e delle tecniche tattiche e procedure TTPs degli attaccanti.
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
Il Quantum Locker è un ceppo ransomware scoperto per la prima volta nel luglio 2021. Da allora, il ransomware è stato osservato utilizzato in attacchi ransomware veloci, in alcuni casi anche Time-to-Ransom (TTR) inferiore a 4 ore, lasciando poco tempo ai difensori reagire.
I punti di forza di Quantum Locker sono i seguenti:
Il ransomware Quantum è un altro rebranding del famigerato ransomware MountLocker , lanciato nel settembre 2020. Da allora, la banda di ransomware ha rinominato le sue operazioni con vari nomi, tra cui AstroLocker , XingLocker e ora nella sua fase attuale.
Quantum Locker ha il proprio sito Web TOR per la fuga di dati – “Quantum Blog”. Le richieste di riscatto per la banda variano a seconda della vittima, con alcuni attacchi che richiedono 150.000 dollari per ricevere un decryptor, mentre altri sono richieste multimilionarie, come mostrato di seguito:
La vittima ha solo 72 ore per tornare in contatto con la banda e, in caso contrario, i dati rubati vengono condivisi sul sito Web per il download gratuito per il pubblico.
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
La notizia è stata anticipata da politico.eu: a partire da maggio 2025, la Commissione von der Leyen revisionerà il GDPR introducendo semplificazioni. Certo, non sarebbe male pubblicare prim...
Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...
Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006