Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco ransomware alla Regione Sardegna. 155GB sono in mano a Quantum Locker

Redazione RHC : 17 Giugno 2022 23:19

Erano presenti diverse voci da circa un mese di un presunto incidente informatico alla regione Sardegna, che a quanto pare risulta in atto all’interno delle sue strutture IT.

Lo rende ufficiale la testata indip[.]it che riporta che da ben febbraio scorso, gli hacker si sono intrufolati all’interno della rete della regione, esfiltrando un archivio di 155GB.

Nell’articolo, l’autore Raffaele Angius riportato quanto segue:

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    “A preoccupare maggiormente sono le informazioni personali sui dipendenti e relativi incarichi all’interno della pubblica amministrazione, rese anch’esse consultabili. Tra queste si trovano numeri di telefono privati, indirizzi e documenti d’identità di altissimi dirigenti della Regione e politici, come Indip ha potuto accertare.”

    Si tratta di un bel numero di informazioni che a quanto pare contengono dati riservati.

    Si parla appunto di:

    • Numeri di telefono;
    • Carte di identità;
    • Documenti personali dei dirigenti;
    • Carteggi riservati.

    Sembrerebbe che per un errore tecnico, l’operazione RaaS Quantum Locker, abbia pubblicato sul suo data-lake-site (DLS) chiamato “Quantum Blog” dei dati.

    In questo tempo però, alcuni ricercatori di sicurezza hanno prelevato delle schermate relative alla fuoriuscita dei dati riportata da @sonoclaudio in un tweet di queta mattina che riporta quanto segue:

    Le schermate mostrano moltissimi dati riservati della regione e la data delle cartelle create sul server hanno la data del 21 di Aprile scorso.

    Al momento sul data-leak-site (DLS) della cybergang (quantum blog accessibile dalla rete onion), non è presente alcun post o informazioni su tale incidente.

    Alcuni segni preliminari dalla Threat Intelligence

    Andando ad eseguire una analisi nelle underground, Pietro DI Maria di RHC, ha notato che la regione Sardegna aveva già da tempo diverse botnet attive all’interno dei device utilizzati dai suoi dipendenti per accedere alle infrastrutture della regione.

    Botnet attive

    Accedendo a tali botnet si nota che producono informazioni interessanti ed affidabili per consentire un successivo attacco mirato e tali informazioni sono recenti.

    Si parla di accessi a molteplici entry point web (ne abbiamo riportati solo alcuni) presenti nella regione Sardegna e contengono utenza e password a vari servizi.

    Come avevamo riportato in passato, la Threat intelligence è una materia fondamentale in questo periodo storico, in quanto ci consente di anticipare le mosse dell’avversario e comprendere quali correttivi implementare all’interno dell’organizzazione, prima che sia troppo tardi.

    Per comprendere meglio di cosa si tratta potete leggere il primo report di Talking Cricket, dove spieghiamo con precisione il funzionamento delle botnet e delle tecniche tattiche e procedure TTPs degli attaccanti.

    Chi è la cyber gang Quantum Locker

    Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

    Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

    Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

    Il Quantum Locker è un ceppo ransomware scoperto per la prima volta nel luglio 2021. Da allora, il ransomware è stato osservato utilizzato in attacchi ransomware veloci, in alcuni casi anche Time-to-Ransom (TTR) inferiore a 4 ore, lasciando poco tempo ai difensori reagire.

    I punti di forza di Quantum Locker sono i seguenti:

    • Con tempo di riscatto (TTR) inferiore a 4 ore : dall’infezione iniziale alla crittografia sono necessarie anche meno di 4 ore, lascia una finestra molto breve affinché i difensori si difendano con successo dalla minaccia.
    • Severità elevata : il livello di minaccia come ALTO dato il potenziale distruttivo degli attacchi.
    • Attacco operato dall’uomo: prima dell’implementazione del ransomware, gli aggressori tentano di infiltrarsi e spostarsi lateralmente all’interno dell’organizzazione, effettuando un attacco RansomOps completamente sviluppato.

    Il ransomware Quantum è un altro rebranding del famigerato ransomware MountLocker , lanciato nel settembre 2020. Da allora, la banda di ransomware ha rinominato le sue operazioni con vari nomi, tra cui AstroLocker , XingLocker e ora nella sua fase attuale.

    Quantum Locker ha il proprio sito Web TOR per la fuga di dati – “Quantum Blog”. Le richieste di riscatto per la banda variano a seconda della vittima, con alcuni attacchi che richiedono 150.000 dollari per ricevere un decryptor, mentre altri sono richieste multimilionarie, come mostrato di seguito:

    Fonte Cybereason

    La vittima ha solo 72 ore per tornare in contatto con la banda e, in caso contrario, i dati rubati vengono condivisi sul sito Web per il download gratuito per il pubblico.

    Come proteggersi dal ransomware

    Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

    Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

    • Formare il personale attraverso corsi di Awareness;
    • Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
    • Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
    • Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
    • Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
    • Evitare di abilitare le macro dagli allegati di posta elettronicaSe un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
    • Non seguire i collegamenti Web non richiesti nelle e-mail;
    • Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
    • Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
    • Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

    Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

    La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

    Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.