Attacco ransomware alla Regione Sardegna. 155GB sono in mano a Quantum Locker

Redazione RHC : 17 Giugno 2022 23:19

Erano presenti diverse voci da circa un mese di un presunto incidente informatico alla regione Sardegna, che a quanto pare risulta in atto all’interno delle sue strutture IT.

Lo rende ufficiale la testata indip[.]it che riporta che da ben febbraio scorso, gli hacker si sono intrufolati all’interno della rete della regione, esfiltrando un archivio di 155GB.

Nell’articolo, l’autore Raffaele Angius riportato quanto segue:

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

“A preoccupare maggiormente sono le informazioni personali sui dipendenti e relativi incarichi all’interno della pubblica amministrazione, rese anch’esse consultabili. Tra queste si trovano numeri di telefono privati, indirizzi e documenti d’identità di altissimi dirigenti della Regione e politici, come Indip ha potuto accertare.”

Si tratta di un bel numero di informazioni che a quanto pare contengono dati riservati.

.@indip_it L'avevano promesso, l'hanno fatto: i criminali informatici che a feb hanno colpito Regione Sardegna, hanno pubblicaot 155gb di documenti riservati. Difficile stavolta nascondere il furto, mai confermato, nonostante le nostre rivelazioni https://t.co/owHcghyD6v

— Raffaele Angius (@faffa42) June 17, 2022

Si parla appunto di:

• Numeri di telefono;
• Carte di identità;
• Documenti personali dei dirigenti;
• Carteggi riservati.

Sembrerebbe che per un errore tecnico, l’operazione RaaS Quantum Locker, abbia pubblicato sul suo data-lake-site (DLS) chiamato “Quantum Blog” dei dati.

In questo tempo però, alcuni ricercatori di sicurezza hanno prelevato delle schermate relative alla fuoriuscita dei dati riportata da @sonoclaudio in un tweet di queta mattina che riporta quanto segue:

#Ransom | #Ransomware | #Quantum pubblica (per errore) i dati (155 GB) di #RegioneSardegna
[Rif. inchiesta di @faffa42 | nota per @nuke86] pic.twitter.com/FgozdWIykq

— Claudio (@sonoclaudio) June 17, 2022

Le schermate mostrano moltissimi dati riservati della regione e la data delle cartelle create sul server hanno la data del 21 di Aprile scorso.

Al momento sul data-leak-site (DLS) della cybergang (quantum blog accessibile dalla rete onion), non è presente alcun post o informazioni su tale incidente.

Alcuni segni preliminari dalla Threat Intelligence

Andando ad eseguire una analisi nelle underground, Pietro DI Maria di RHC, ha notato che la regione Sardegna aveva già da tempo diverse botnet attive all’interno dei device utilizzati dai suoi dipendenti per accedere alle infrastrutture della regione.

Accedendo a tali botnet si nota che producono informazioni interessanti ed affidabili per consentire un successivo attacco mirato e tali informazioni sono recenti.

Si parla di accessi a molteplici entry point web (ne abbiamo riportati solo alcuni) presenti nella regione Sardegna e contengono utenza e password a vari servizi.

Come avevamo riportato in passato, la Threat intelligence è una materia fondamentale in questo periodo storico, in quanto ci consente di anticipare le mosse dell’avversario e comprendere quali correttivi implementare all’interno dell’organizzazione, prima che sia troppo tardi.

Per comprendere meglio di cosa si tratta potete leggere il primo report di Talking Cricket, dove spieghiamo con precisione il funzionamento delle botnet e delle tecniche tattiche e procedure TTPs degli attaccanti.

Chi è la cyber gang Quantum Locker

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Il Quantum Locker è un ceppo ransomware scoperto per la prima volta nel luglio 2021. Da allora, il ransomware è stato osservato utilizzato in attacchi ransomware veloci, in alcuni casi anche Time-to-Ransom (TTR) inferiore a 4 ore, lasciando poco tempo ai difensori reagire.

I punti di forza di Quantum Locker sono i seguenti:

• Con tempo di riscatto (TTR) inferiore a 4 ore : dall’infezione iniziale alla crittografia sono necessarie anche meno di 4 ore, lascia una finestra molto breve affinché i difensori si difendano con successo dalla minaccia.
• Severità elevata : il livello di minaccia come ALTO dato il potenziale distruttivo degli attacchi.
• Attacco operato dall’uomo: prima dell’implementazione del ransomware, gli aggressori tentano di infiltrarsi e spostarsi lateralmente all’interno dell’organizzazione, effettuando un attacco RansomOps completamente sviluppato.

Il ransomware Quantum è un altro rebranding del famigerato ransomware MountLocker , lanciato nel settembre 2020. Da allora, la banda di ransomware ha rinominato le sue operazioni con vari nomi, tra cui AstroLocker , XingLocker e ora nella sua fase attuale.

Quantum Locker ha il proprio sito Web TOR per la fuga di dati – “Quantum Blog”. Le richieste di riscatto per la banda variano a seconda della vittima, con alcuni attacchi che richiedono 150.000 dollari per ricevere un decryptor, mentre altri sono richieste multimilionarie, come mostrato di seguito:

La vittima ha solo 72 ore per tornare in contatto con la banda e, in caso contrario, i dati rubati vengono condivisi sul sito Web per il download gratuito per il pubblico.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.