Il ransomware LockBit colpisce aziende ed istituzioni: online i dati rubati al Comune di Gorizia

venerdì 16 settembre 2022
Il ransomware LockBit colpisce aziende ed istituzioni: online i dati rubati al Comune di Gorizia

Certo, è impossibile (né è nostro scopo) elencare dettagliatamente tutti gli attacchi informatici avvenuti in Italia negli ultimi giorni. Alcuni però sono importanti, sia perché indicano tendenze sia perché indicano, invece, gravi mancanze dalle quali si può sempre imparare.

Per approfondire > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC

LockBit colpisce la Software Line e il Comune di Gorizia
LockBit 3.0 è ormai, indubbiamente, in vetta e saldamente al comando tra le operazioni Ransomware: il più efficace, il più efficiente, quello che miete più vittime. In Italia ormai ve n'è una distribuzione costante e, di settimana in settimana, aumentano le vittime: di conseguenza continueremo, come stanno facendo giustamente tutti i nostri colleghi di settore, a lanciare l'allarme sul pericolo ransomware e sull'urgenza, ormai irrimandabile, di correre ai ripari.

In ordine di tempo, l'attacco più recente segnalato dagli attentissimi esperti di red Hot Cyber è stato quello della Software Line, comparsa pochi giorni fa nel leak site di LockBit 3.0: il countdown per il pagamento del riscatto è fissato al 24 Settembre.

Fonte: Red Hot Cyber

Come si può vedere, al countdown sono allegati alcuni sample che, come da consuetudine, servono a provare che l'attacco è realmente avvenuto e riuscito.

Si è invece avuto notizia dell'attacco subito dal Comune di Gorizia Lunedì 29 Agosto: quello che inizialmente sembrava un banale disservizio o malfunzionamento, si è rivelato poi un attacco ransomware da parte di qualche affiliato di LockBit 3.0. L'attacco ha costretto a diversi giorni di sospensione di una serie di servizi, alcuni invece sono rimasti attivi perché ospitati su server esterni.

“Per riavere i dati contenuti nel sistema informatico del Comune dovrete pagare seguendo le istruzioni contenute in questo messaggio, in caso contrario i dati saranno pubblicati on line e quindi visibili a tutti”

è il messaggio comparso sui server del Comune.

Il sito web è rimasto sempre attivo, ma non funzionante, forse per mancanza dei backup necessari a ripristinarlo: è tornato consultabile pochi giorni fa.

Fonte: Red Hot Cyber

Due giorni fa la cybergang di LockBit ha pubblicato i dati esfiltrati dai sistemi. Red Hot Cyber li ha visionati e contengono:

dati personali;
Documenti di identità;
Bilanci interni;
Informazioni sui redditi e nascite;
Informazioni sulle case di riposo gestite;
Consuntivi di attività;
Gare di appalto;
Tagli di Budget;
Stipule con le ditte;
Nomine dei dirigenti;
Piani ferie interni;
Informazioni sugli uffici di Anagrafe, Cimitero, Protocollo, Elettorale, ecc…
Informazioni sul COVID;
Passaporti di minori ucraini ecc...
Si parla di 268.000 files per un peso totale di 53GB che possono essere consultati da chiunque e scaricabili liberamente dal leak site di Lockbit. Nella foto sotto, a titolo esemplificativo, riportiamo un file contenente nomi e cognomi, numeri di telefono e contatti email dei consiglieri comunali

Fonte: Red Hot Cyber
Per saperne di più > I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.

Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.

Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.

Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.

Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.

Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.

Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy