Lockbit : ransomware " gang"
- Risposta miglioreimpostato da Vladimir
Vladimir LockBit è un ransomware, ovvero:
Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione
Avevamo già parlato in termini generali di LockBit (e come difendersi) oltre al recente fatto di cronaca, azienda Rovagnati colpita da malware LockBit.
Nel primo articolo che hai linkato, si parla di "gang del ransomware". Tuttavia, da ricordare che parliamo di social engineering (analogo a phishing, ecc) quindi è sufficiente un po' di consapevolezza e attenzione quando abbiamo a che fare ad esempio con email da sconosciuti, contenenti link, ecc. Personalmente, mi preoccupa molto ma molto di più una minaccia del tipo zero-click, che sfrutta determinate vulnerabilità presenti, senza il consenso dell'utente (del tipo "clicca qui, scarica/installa"). Casi che rientrano nella social enginerring invece, siamo in grado (dovremmo esserlo) di prevenirli!
Aggiornamento inerente al tema: wired.it riporta:
Quanto è costato l'attacco ransomware a Regione Lazio
In data 30 luglo 2021 c'è stato un attacco informatico, in particolare un ransomware ai sistemi informatici della regione Lazio (la società pubblica LazioCrea, che gestisce data center e sistemi informatici della regione). In particolare, il portale per la prenotazione del vaccino anti-COVID è stato inaccessibile per ore. Il malware usato era Lockbit 2.0.
Secondo un report di Group Ib, <<tra il secondo semestre del 2021 e il primo del 2022, il 34% della pubblicazione di dati di aziende europee attaccate sul mercato nero dei dati è opera di Lockbit 2.0>>.
Fortunatamente la Regione Lazio non ha dovuto pagare alcun riscatto, avendo a disposizione un backup dei dati (cosa che consigliamo sempre!!!). Tuttavia l'azione di controffensiva a questo malware, in totale è costata 136.824€+IVA ovvero circa 167.000 euro, che si è aggiudicata Microsoft grazie ad un appalto ufficializzato il 5 agosto 2021.
Una notizia simile alla precedente, sempre da wired.it:
10 giga di dati sottratti all'Asl dell’Aquila sono stati pubblicati sul dark web
Continuano gli attacchi all'azienda sanitaria abruzzese da parte della gang Monti Ransomware
L'attacco ha origine dal gruppo Monti e si tratta appunto sempre di un ransomware, che in data 3 maggio 2023 ha rubato 500 GB di dati all'Asl 1 Avezzano Sulmona L'Aquila (Abruzzo), pubblicando 10 GB di questi sul Dark Web.
In attesa di ulteriori aggiornamenti, per ora la sicurezza informatica sta lavorando per ripristinare e risolvere il problema.
Sempre meglio riportare i consigli generali di sicurezza informatica (anche aziende grandi o enti pubblici, senza un'adeguata organizzazione e formazione al singolo lavoratore in tal senso, possono presentare criticità, vulnerabilità potenzialmente sfruttabili da malintenzionati).
"Back to School" & cybersecurity: consigli agli studenti
Cybersecurity per il Parlamento
Cybersecurity: nuove 'rules' per i dispositivi IoT
Poste Italiane: colpita da ransomware della gang Medusa
Per "festeggiare" Ferragosto, la gang Medusa ha colpito Postel ovvero la società controllata da Poste Italiane per l'invio massivo di email (non so perché, sto pensando al termine "spam" 😅) e campagne DEM (Direct Email Marketing).
L'attacco informatico di tipo ransomware, ad opera della gang Medusa, ha quindi rubato <<documenti personali dei dipendenti, abilitazioni Spid, file di tipo fiscale e amministrativo>>. Il gruppo minaccia di pubblicare le informazioni rubate se non riceve entro otto giorni un riscatto di 500.000$. L'attacco è avvenuto alle 11.43 del 15 agosto 2023, sono state inizialmente notate attività anomale nei sistemi (tentativi di accessi esterni), poi il sito web è rimasto offline fino alla mattinata del 16 agosto 2023.
L'azienda ha già provveduto al ripristino, backup dei propri sistemi. Poste Italiane dichiara che <<attualmente risultano essere stati interessati solo dati interni all’azienda>>, mentre stando alle dichiarazioni dell'organizzazione hacker, i dati totali siano ben altri.
Una cosa è certa, per quanto riguarda la sicurezza, aziende e soprattutto l'ente pubblico italiano ne hanno ancora molta di strada da fare per garantire un livello quantomeno di "accettabilità"!
Approfondimento: wired.it
Sony vittima di attacco ransomware (Ransomed.vc)
Un gruppo di cybercriminali chiamato Ransomed.vc, aggressori provenienti da Russia e Ucraina, ha preso di mira Sony, rubando "tutti i sistemi" (così dichiarato) e, se non verrà pagato un riscatto di 2,5 milioni di dollari entro domani 28 settembre 2023, i dati saranno resi pubblici (si tratta di credenziali d'accesso, file e documenti vari ad uso interno).
La situazione comunque è piuttosto complicata e controversa, diversamente dai "classici attacchi hacker" in cui siamo portati ad etichettare facilmente "buono" e "cattivo". Infatti, almeno a parole, Ransomed.vc si autodefinisce in questo modo:
Una soluzione sicura per affrontare le vulnerabilità della sicurezza dei dati nelle aziende
Ransomed.vc inoltre afferma che concentra i propri sforzi sulle grandi aziende che dovrebbero rispettare il GDPR e le altre misure sulla privacy dei dati degli utenti. Già nel 2011 Sony era stata vittima di un attacco, incentrato su PlayStation Network, un disservizio durato ben 23 giorni con una perdita totale stimata di circa 100 milioni di dollari! Vedi PSN Hack.
Oltre a questo attacco di Ransomed.vc datato 25 settembre 2023, proprio oggi 27 settembre 2023 è avvenuto un altro attacco, da parte di un hacker indipendente con pseudonimo MajorNelson. Sembrerebbe che i dati siano già stati pubblicati su un forum di hacking (nel web tradizionale, non nel Dark Web), scaricabili gratuitamente. Secondo quanto dichiarato, i dati conterrebbero: SonarQube, Creators’ Cloud, Sony’s certificates, A device emulator for generating licences, A device emulator for generating licences, Qasop security, Incident response policies e altro ancora.
Approfondimenti: