lunedì 27 settembre 2021
Il Ransomware RansomEXX colpisce ancora in Italia: dopo la regione Lazio, rubati i dati di 8 comuni del bolognese
Dopo l'attacco che ha colpito la Regione Lazio, il ransomware RansomEXX torna a colpire in Italia: questa volta la vittima è l'Unione Reno Galliera, che riunisce 8 diversi comuni del bolognese. Sottolineamo come, quasi nelle stesse ore, iniziasse a colpire in Italia anche un nuovo ransomware chiamato BlackByte: prima vittima la BOSCA s.p.a.
L'Unione Reno Galliera riunisce i comuni di Argelato, Bentivoglio, Castello d'Argile, Castel Maggiore, Galliera, Pieve di Cento, San Giorgio di Piano, San Pietro in Casale: i loro dati, anzi 60GB circa di dati rubati per un totale di 120 file, sono stati pubblicati online nel dark web. Parliamo di dati molto sensibili, visto che i comuni che aderiscono all'Unione Reno Galliera hanno affidato all'Unione stessa servizi importanti come quello di Polizia Municipale, gestione del personale, urbanistica e pianificazione del territorio, Protezione Civile, servizi alle imprese ecc...
Ad ora non sono trapelate notizie e non risultano comunicati ufficiali: l'unica traccia dell'avvenuto attacco è, appunto, la lista dei 120 file pubblicati sul sito di leak collegato al ransomware.
I file pubblicati nel dark web. Fonte: Red Hot Cyber
RansomEXX ormai è un habituè in Italia: qualche info tecnica
RansomeEXX è un ransomware in diffusione già da qualche tempo: scoperto per la prima volta nel 2018, negli ultimi 3 anni si è conquistato un posto nella top ransomware mondiale grazie ad attacchi mirati di alto profilo come quelli contro Konica Minolta, Tyler Technologies, Montreal Transit System, Texas Department of Transportation, Brazilian Judiciary, GIGABYTE ecc... In Italia questo nome è rimbalzato agli onori della cronaca nazionale in occasione dell'attacco che ha colpito la Regione Lazio e interrotto svariati servizi, soprattutto quelli sanitari determinando anche un grave data breach.
Le modalità di attacco sono piuttosto ricorrenti: in fase pre attacco, il gruppo ransomware RansomEXX (conosciuti anche come Defray777) cerca di mettere le mani su qualsiasi credenziale utile a violare il perimetro di sicurezza della vittima. Non a caso molto spesso utilizzano credenziali VPN o di Virtual Desktop Infrastructure. Più volte però non ha cercato un accesso autonomo ai sistemi della vittima, ma ha sfruttato chi l'aveva preceduto: sono state numerosi gli utilizzi di malware quale IceID e TrickBot, noti per affittare nel dark web gli accessi alle reti che hanno violato. In questo caso semplicemente utilizzano la breccia già aperta da altri gruppi di attaccanti.
Una volta ottenuto l'accesso alla rete, gli attaccanti diffondono la propria presenza più silenziosamente possibile, quindi rubano i file non criptati per organizzare la doppia estorsione (un riscatto per il decryptor, un riscatto per non vedere pubblicati e venduti online i dati rubati). In generale, dopo aver ottenuto l'accesso, sono utilizzati una serie di tool per ottenere l'accesso con privilegi di amministratore sull'Active Directory: questo passaggio precede la distribuzione di 2 payloads, di secondo e terzo stadio. Il payload di terzo stadio è appunto il ransomware e quasi sempre viene eseguito solo il memoria, senza che sia archiviato sul disco.
Stando alle analisi dei ricercatori, RansomeEXX ha le capacità di colpire e criptare anche i server Linux. Quando viene attaccato un server Linux, gli operatori del ransomware distribuiscono anche un eseguibile ELF (Executable and Linkable format) chiamato "svc.new": è questo file il responsabile della criptazione dei file sui sistemi Linux. Nell'eseguibile Linux sono integrati anche una chiave di criptazione pubblica RSA-4096, la nota di riscatto e un'estensione di criptazione che verrà applicata ai file criptati e che prenderà il nome della macchina della vittima. L'encryptor per Linux è stato sviluppato con l'apposito compito di criptare macchine virtuali che eseguono VMware ESXI.