Redazione RHC : 21 Ottobre 2021 14:34
A seguito dell’incidente ransomware avvenuto alla SIAE (Società Italiana degli Autori e degli Editori), RHC ha fatto una serie di domande agli operatori di Everest, il threat actor che ha violato l’azienda, e le risposte e gli spunti sono interessanti.
Dall’intervista, gli operatori di Everest descrivono la sicurezza dell’infrastruttura della SIAE disastrosa (da 1 a 10, da loro valutata 1) e che NON sono stati cifrati i dati in quanto si è trattato di un attacco informatico classico con successiva data-exfiltration e richiesta di riscatto: “Non uso ransomware da molto tempo. Mi piace specializzarmi di più in documenti”
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Dall’intervista emerge chiaramente che occorre dare molto più peso alla sicurezza informatica, sia a livello di infrastrutture che a livello di “comunicazione” e di “crisis management”. La comunicazione infatti, è oggi parte integrante della gestione di un attacco informatico e la cybersecurity è una componente del business stesso, cosa che non può essere più sottovalutata.
Di seguito trovate la traduzione in italiano, in fondo l’intervista completa in inglese.
RHC: Come hai acquisito l’accesso alla rete, da un intermediario di accesso, da un dipendente infedele o da solo?
Everest: da solo
RHC: Grazie per l’informazione. Se vuoi fare una dichiarazione più tardi, quando tutto sarà finito, fammi sapere che la pubblichiamo.
Everest: ho bisogno di sapere dove pubblicherai le informazioni
RHC: Su una community italiana di ricercatori di cybersecurity, dove abbiamo sempre cercato di sensibilizzare il prossimo al rischio informatico, con scarsi risultati. Sarebbe bello riferire come sei entrato e magari dare qualche consiglio su come le organizzazioni devono migliorare la sicurezza informatica per evitare questi evidenti difetti dei sistemi. In effetti siete ottimi “Auditor” per le aziende 😉 Il blog dove pubblichiamo è www.redhotcyber.com
Everest: Hai scelto bene la definizione del mio lavoro, ci stavo pensando oggi, è ora di entrare nel business dei bianchi. Mi piace spulciare tra gli scaffali e trovare tutto ciò che è nascosto 🙂 Ragazzi come te non saranno in grado di rilasciare nuove notizie, perché le grandi aziende dovrebbero preoccuparsi dei loro dati e della loro sicurezza? Non voglio ancora dirti nulla su questa azienda, ma ti dirò questo, che a queste persone non fregava nulla delle regole di sicurezza. La finanziano la sicurezza? Chiediglielo. Non potevo nemmeno immaginare e sono rimasto scioccato da come archiviano i loro dati, ho pensato che dopo XEFI c’era poco da sorprendermi
Ricordiamo che Everest questo anno ha colpito anche la XEFI, un partner per l’ufficio, per l’IT e per il cloud che opera principalmente in Francia.
RHC: Hai decisamente ragione. In un mondo sempre più dipendente dalle tecnologie digitali, abbiamo un grande bisogno di hacker etici e pochissimi fanno questa professione. Dobbiamo anche far capire alle organizzazioni quanto sia importante la sicurezza oggi. Le organizzazioni pensano solo a fare affari e non si rendono conto che gli affari possono fallire dopo un attacco informatico. Sono diverse le aziende che hanno chiuso per questo e ne abbiamo parlato spesso sul nostro blog. Quindi ti stiamo aspettando dall’altra parte della barricata, magari come bug-hunter? 😉 Se dovessi valutare la sicurezza informatica della SIAE da 1 a 10 quale sarebbe il valore giusto secondo te?
Everest: metterò la valutazione di questa azienda a 1, punto. Forse ti spiegherò un po’ più tardi perché è così e ti parlerò un po’ di più di questa azienda.
RHC: Volentieri per i dettagli. Quando vuoi fornirci notizie nessun problema.
1 è una situazione disastrosa. Ma perché pensi che le aziende di oggi non capiscano quanto possano essere gravi le conseguenze di un incidente di sicurezza o di un ransomware? Il direttore generale della Siae, Gaetano Blandini, ha dichiarato al Tg1: “Per fortuna non sembrerebbero esserci (tra i dati sottratti)… dati economici ma SOLO dati anagrafici relativi a carte d’identità o cose del genere”. Sembra che non sia chiaro perché la sicurezza informatica sia l’ultimo problema del mondo.
Everest: È molto strano sentire un simile comunicato stampa, probabilmente sa di cosa sta parlando. I dati personali non fanno paura, lascia che lo racconti a migliaia di truffatori di diverso tipo. Quando inizieranno a usare i passaporti in vari servizi e i clienti gli fotteranno la testa, sarà divertente. A quanto pare solo io e te sappiamo come possono essere utilizzati i dati personali, vive in un mondo parallelo. Mandami un link dove mi dice che i dati personali non sono importanti, lo pubblicherò nel blog.
RHC: Questo è proprio il limite della Cybersecurity oggi, non sanno quale sia. È una questione complessa e poche persone sanno difendere un’azienda. Il problema è che queste persone sono poche e spesso, i tecnici all’altezza, sono dall’altra parte della barricata. Se stai ancora pensando di diventare un white hacker, il mondo è costantemente alla ricerca di queste persone. 😉 Non voglio rubarti tempo, ma se posso ti faccio questa domanda. Di Everest si sa poco in rete. Facendo Osint c’è un po’ di IoC in giro, ma come sapete le riviste specializzate parlano di REvil, DarkSide, oggi di Blackmatter, Conti, ecc… Da quanto sono riuscito a capire, sembrerebbe che sia una distro di Everbe 2.0 e che sei in Russia. Non possiamo chiederti da dove operi, ma per “classificare” meglio Everest, puoi darmi qualche info in più? Ad esempio, operi in RaaS o sei una cerchia chiusa di hacker?
Everest: “sembra che sia una distro di Everbe 2.0” – Questa è una completa stronzata inventata da qualche deficiente. Non uso ransomware da molto tempo. Mi piace specializzarmi di più in documenti. Non ho nessun partner, l’annuncio è appeso all’fbi, a loro piace scrivermi tutte le sciocchezze che divertono 🙂
RHC: Quindi, per quanto ho capito, hai usato alcuni difetti di sistema, senza usare malware per la crittografia, hai rubato i dati e hai chiesto il riscatto pubblicando i campioni sul tuo data-leak-site. Qui in Italia, i professionisti del settore e devo dire anche noi, abbiamo pensato che si trattasse di un ransomware per via del riscatto. In realtà, di crittografia dei dati non si è mai parlato. Grazie per questa intervista che pubblicheremo sul nostro blog, con la speranza che la nostra bella Italia si organizzi al meglio per essere più resiliente agli attacchi informatici, cosa che a quanto pare oggi non sembra essere così. Se vuoi darci maggiori informazioni, fammi sapere. Grazie ancora per le informazioni.
Everest: No, non ho crittografato i dati di questa azienda. Scrivi se non altro 🙂
RHC: Quindi posso scrivere, niente ransomware, solo penetration-test e data-exfiltration di dati, giusto?
Everest: Giusto
RHC: Greetings, We are an Italian cybersecurity magazine and we have recently learned about the cyber attack on the SIAE. We ask you if you can answer some questions:1) which vulnerability was exploited to access the SIAE infrastructures? 2) how much was requested as a ransom? 3) the company has already reported that it will not pay any ransom. Do you think it will pay off in the end? We thank you in advance for the information you will be able to provide us. ThanksEverest: Hello, 1. No comments 2. 3.000.000 eur 3. It can bring some profit RHC: But I ask you one last thing if you can provide it. Did you acquire access to the network from an access broker, from an unfaithful employee, or by yourself?Everest: By yourself RHC: Thanks again for the info. And if you want to make a statement later, when everything is done, let me know that we publish it. Thanks againEverest: I need to know where you will publish the information RHC: On an Italian community of cybersecurity researchers, where we have always tried to raise awareness of risk, with poor results. It would be nice to report how you got in and maybe give yourself some advice on how organizations need to improve cybersecurity to avoid these glaring systems flaws. In fact, you are a great “auditor” for companies 😉 The blog where we publish is www.redhotcyber.comEverest: You have well chosen the definition of my work, I was thinking about it today, it’s time to go into the white business. I like to sort through the shelves and find everything that is hidden 🙂 Guys like you won’t be able to release new news, why would big companies care about their data and security? I don’t want to tell you anything about this company yet, but I’ll say this, these guys didn’t give a damn about all the safety rules. Do they finance it for security ? Ask them. I couldn’t even imagine and was shocked by how they store their data, I thought that after XEFI there was little to surprise me with RHC: You are definitely right. In a world increasingly dependent on digital technologies, we badly need white hat hackers and very few do this job. We also need to make organizations understand how important security is today. Organizations only think about doing business and don’t realize that today, business can fail after a cyber attack. There are several companies that have closed for this and we have often talked about it on our blog. So are we waiting for you on the other side of the fence, maybe as a bug-hunter? 😉 If you had to evaluate the IT security of the SIAE from 1 to 10, what would be the right value in your opinion? Everest: I will put the rating of this company at 1 point. Maybe I’ll explain to you a little later why this is so and tell you a little more about this company. RHC: Gladly for details. When you want to hear from us, it’s a pleasure to talk to you.Indeed 1 is a disastrous situation. But why do you think today’s businesses don’t understand how serious the consequences of a security incident or ransomware can be? The general director of the SIAE, Gaetano Blandini, told TG1: “Fortunately, there would not seem to be (among the stolen data) … economic data but ONLY personal data relating to identity cards or things of the kind”. It seems that it is not clear why cyber security is the last problem in the world. Everest:It’s very strange to hear such a press release, he probably knows what he’s talking about. Personal data is not scary, let him tell it to thousands of scammers of different kinds. When they start using passports in various services, and customers will fuck his head, that will be fun. Apparently only you and I know how personal data can be used, he lives in a parallel world. Send me a link where he tells me that personal data is not important, I will publish it in a blog. RHC: This is precisely the limit of Cybersecurity today, they don’t know what it is. It is a complex matter and few people know how to defend a company. The problem is that these people are few and often, the technicians at the height, are on the other side of the fort. If you are still thinking about becoming a white hat, the world is constantly looking for these people. 😉 I don’t want to steal your time, but if I can I ask you this question. Of Everest, little is known on the net. By doing Osint there is some IoC around, but as you know, the specialized magazines talk about REvil, DarkSide, today about Blackmatter, Conti, etc … From what I managed to understand, it would seem that it is a distro of Everbe 2.0 and that you are in Russia. We can’t ask you where you operate from, but to better “classify” Everest, can you give me some more info? For example, do you operate in RaaS, or are you a closed circle of hackers? Everest: ” it would seem that it is a distro of Everbe 2.0 ” – This is complete bullshit invented by some moron. I haven’t used ransomware for a long time. I like to specialize in documents more. I don’t have any partners, the ad is hanging from the fbi, they like to write me all sorts of nonsense that amuses 🙂 RHC: So, for as long as I understand, you have used some system flaws, without using malware for encryption, you have stolen the data and demanded the ransom by publishing the samples on your data leek site. Here in Italy (the professionals of the sector and I must say us too), they all believe that it was In a ransomware 😉 In fact, there has never been any talk of data encryption. Thank you very much for this interview that we will publish on our blog, with the hope that our beautiful Italy will organize itself better in order to be more resilient to cyber attacks, which apparently does not seem to be so today. If you would like to give us more information, let me know. Thanks again for the information.Everest: No, I didn’t encrypt the data from this company. Write if anything 🙂 RHC: So I can write, no ransomware, just penetration testing and data exfiltration, right?Everest: Right