I dati del Comune di Gorizia sono Online. Scopriamo cosa contengono

Redazione RHC : 15 Settembre 2022 14:47

Come avevamo riportato questa mattina, eravamo in attesa della pubblicazione dei dati del comune di Gorizia sul data leak site (DLS) della cyber gang LockBit e come da countdown avviato circa 2 settimane fa, i dati sono stati pubblicati online.

LockBit, nella pubblicazione del 5 settembre, aveva reso disponibili dei samples, che mostravano il contenuto delle directory in possesso dei criminali informatici, dati esfiltrati dall’interno delle infrastrutture IT del comune.

I dati in questione erano veramente tanti, anche se non veniva specificata ne la loro dimensione e ne la quantità di denaro richiesta come riscatto.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ora LockBit pubblica i dati e in questo articolo analizzeremo il loro contenuto.

Ricordiamo a tutti che l’accesso alla rete onion e al download dei dati (attraverso TOR Browser) è praticabile da chiunque, anche se non dotato di particolari competenze in materia. Ciò significa che tali dati sono accessibili da qualsiasi persona che sappia normalmente utilizzare un PC.

Cosa contengono i dati del Comune di Gorizia

Accedendo al data leak site (DLS) di Lockbit, ci troviamo di fronte alla consueta interfaccia di “directory listing” dove viene riportata l’alberatura dei dati esfiltrati in questo caso dal Comune di Gorizia.

Andando ad analizzare i dati, possiamo sintetizzare di aver visto:

• Dati Personali
• Documenti di identità
• Bilanci interni
• Informazioni sui redditi e nascite
• Informazioni sulle case di riposo gestite
• Consuntivi di attività
• Gare di appalto
• Tagli di Budget
• Stipule con le ditte
• Nomine dei dirigenti
• Piani ferie interni
• Informazioni sugli uffici di Anagrafe, Cimitero, Protocollo, Elettorale, ecc…
• Informazioni sul COVID
• Corte dei Conti

I dati sono veramente moltissimi, pertanto la nostra analisi non è stata particolarmente approfondita. Stiamo parlando infatti di 268.000 files per un totale di 53 GB di dati liberamente visionabili e scaricabili dal sito di LockBit.

Insomma, si parla di veramente tanti dati che fanno comprendere con precisione il funzionamento interno del Comune di Gorizia.

Conosciamo la cyber gang LockBit

LockBit è una cyber gang criminale che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.

LockBit ransomware è un malware progettato per bloccare l’accesso degli utenti ai sistemi informatici in cambio di un pagamento di riscatto. Questo ransomware viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni e gli “affiliati” di LockBit, hanno lasciato il segno minacciando le organizzazioni di tutto il mondo di ogni ordine e grado.

Si tratta del modello ransomware-as-a-service (RaaS) dove gli affiliati depositano del denaro per l’uso di attacchi personalizzati su commissione e traggono profitto da un quadro di affiliazione. I pagamenti del riscatto sono divisi tra il team di sviluppatori LockBit e gli affiliati attaccanti, che ricevono fino a ¾ dei fondi del riscatto.

E’ considerato da molte autorità parte della famiglia di malware “LockerGoga & MegaCortex”. Ciò significa semplicemente che condivide i comportamenti con queste forme consolidate di ransomware mirato ed ha il potere di auto-propagarsi una volta eseguito all’interno di una rete informatica.

LockBit è una cyber gang che restite da molto tempo nel mercato delle affiliazioni RaaS rinnovandosi costantemente. Ha iniziato le sue operazioni a settembre 2019 chiamandosi ABCD per poi cambiare il suo nome in Lockbit. Successivamente il marchio è stato rinominato in LockBit 2.0 apportando diverse novità e a giugno 2021, sono stati apportati dei cambiamenti introducendo la piattaforma Lockbit 3.0.

LockBit 3.0 introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:

• Estensione del “countdown”: la vittima può pagare dei soldi per estendere il countdown per la pubblicazione dei dati;
• Distruzione di tutte le informazioni: la vittima può pagare per distruggere tutte le informazioni esfiltrate dalla sua organizzazione;
• Download dei dati in qualsiasi momento: la vittima può pagare per ottenere l’accesso al download esclusivo di tutti i dati esfiltrati dell’azienda.

Ovviamente il costo per ogni tipologia di “servizio” è differente e si può pagare in Bitcoin o in Monero.

Le vittime di LockBit in Italia.

Lockbit, ha già colpito numerose organizzazioni sia pubbliche che private in Italia, in tutte e tre le varianti ransomware rilevate. Facendo riferimento alle organizzazioni private delle quali abbiamo parlato su Red Hot Cyber troviamo:

• La clinica fisioterapica italiana Don Serafino
• Studio Barba
• MWD Digital
• Alpa
• Multinazionale FAAC
• Datalit
• Vainieri
• Firbarcaiolo
• Venegoni
• SG Service Sud
• Eredi Riva
• Multimmobiliare Ticino
• Ingesw
• Jannone
• Il giallo della Farmacia statuto (Errore di target)
• Rosa Group
• Progetto Edile
• Guzzanti
• Crich
• Confindustria Caserta
• ISMEA
• Montanari
• Matteoli
• IDM
• Torello
• Isnardi
• La Ponte Marmi
• MCS
• Delta Leading Broker
• Mecfond
• Cilento Spa
• Selini Group

Invece per quanto concerne le azienda pubbliche abbiamo:

• ASP Messina
• Comune di Villafranca
• Agenzia Nazionale Turismo
• ULSS6 di Padova
• Comune di Gonzaga
• Comune di Gorizia

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli