15 Deface in poche ore di siti italiani! Gli hacker: “Godermi la vita prima che la morte venga a prendermi”

Nelle ultime ore, un’ondata massiccia di defacement ha preso di mira almeno una quindicina di siti web italiani. L’attacco è stato rivendicato dal threat actor xNot_RespondinGx (team xnot_respondingx), che ha lasciato un messaggio in un file readme.txt presente su ciascun dominio compromesso.

Tra i siti sfregiati figurano realtà di vario tipo: agenzie di servizi, istituzioni private e-commerce e portali tecnici, di seguito gli obiettivi colpiti dal defacement da parte degli hacker di xNot_RespondinGx.

• hxxps://www.languageteam.it/readme.txt
• hxxps://www.ficusbarbistrot.it/readme.txt
• hxxps://giuliettaallago.it/readme.txt
• hxxps://www.servicewebsrl.it/readme.txt
• hxxps://shoptechim.joyadv.it/readme.txt
• hxxps://www.techimgroup.it/readme.txt
• hxxps://prenotazioni.ristopollicino.it/readme.txt
• hxxps://www.sape.it/readme.txt
• hxxps://shop.speedyblock.it/readme.txt
• hxxps://www.simasrl.it/readme.txt
• hxxps://www.service3cleaning.it/readme.txt
• hxxps://www.vistadarsena.it/readme.txt
• hxxps://mymi.it/readme.txt
• hxxps://www.strumentidiserraggio.it/readme.txt
• hxxps://www.vinoungherese.it/readme.txt

Tutti quanti i siti rispondono con lo stesso messaggio di errore. La frase “menikmati sisa hidup sebelum ajal menjemputku”. In lingua indonesiana e può essere tradotta in italiano come: “Godermi il resto della vita prima che la morte venga a prendermi.”. È una frase esistenziale e malinconica, spesso usata per esprimere la consapevolezza della mortalità e il desiderio di vivere intensamente ciò che resta della propria vita. Potrebbe anche essere un modo per attirare attenzione, aggiungendo un tono oscuro o introspettivo al gesto.

In passato lo stesso gruppo aveva realizzato deface riportando il messaggio “L’amore può dare forza alle persone, ma a volte le rende deboli”.

L’ondata coordinata di defacement firmata da xNot_RespondinGx è un chiaro segnale del livello di vulnerabilità dei sistemi web in Italia. Se da una parte i defacement non puntano a furti o interruzioni di servizi, dall’altra mostrano debolezze reali nel presidio della sicurezza digitale.

Aziende, enti e gestori di siti web devono considerare questo fenomeno con la massima attenzione, aggiornando regolarmente il proprio stack, blindando gli accessi e attivando un monitoraggio h24. Solo così si potrà recuperare la fiducia degli utenti e prevenire attacchi con conseguenze più gravi.

Che cosa si intende per deface di un sito web

Il deface (o defacement) di un sito web è una tecnica di attacco informatico in cui un attore malevolo riesce ad alterare il contenuto visibile di una pagina web, sostituendolo con messaggi propri, immagini, video o link. In molti casi, si tratta di una forma di protesta (hacktivism), propaganda politica o dimostrazione di forza tecnica da parte di un gruppo o singolo hacker.

A differenza di attacchi volti al furto di dati o alla compromissione economica di un sistema, il defacement ha uno scopo prevalentemente comunicativo. Gli attaccanti vogliono essere visti e lasciare un messaggio, spesso rivolto a un pubblico specifico, a un governo, o per rivendicare un’ideologia.

Il deface avviene in genere sfruttando vulnerabilità note o configurazioni errate del server web o del CMS (Content Management System) utilizzato. I metodi più comuni includono:

• Accesso via FTP o SSH compromesso: password deboli o credenziali trafugate (ad esempio dagli infostealer) permettono agli attaccanti di caricare file o modificare quelli esistenti.
• Sfruttamento di vulnerabilità CMS: molti siti si basano su CMS come WordPress, Joomla o Drupal. Se questi non vengono aggiornati regolarmente, possono essere soggetti a exploit noti.
• Injection di codice via upload: caricamento di file dannosi tramite moduli vulnerabili che non controllano correttamente il tipo di file.
• Escalation di privilegi: un utente con accesso limitato riesce a ottenere privilegi amministrativi tramite bug nel software.

Solitamente l’attaccante sostituisce:

• La homepage del sito o altre pagine di alto profilo.
• File specifici come index.html, index.php o file appositamente caricati come readme.txt, come accaduto nel recente caso italiano.
• Testi, immagini, stili CSS e script JavaScript, spesso con contenuti provocatori, insulti o rivendicazioni politiche.

Anche se non sempre causa danni diretti a livello economico, un deface può:

• Minare la credibilità e la reputazione dell’organizzazione colpita.
• Indicare vulnerabilità latenti nella sicurezza del sito o dell’infrastruttura.
• Essere un campanello d’allarme per attacchi più gravi imminenti, come ransomware o data breach.

In definitiva, un defacement non è solo un atto di vandalismo digitale, ma una chiara indicazione che la sicurezza del sito è stata compromessa e deve essere immediatamente rivista.

Questo articolo si basa su informazioni, integralmente o parzialmente tratte dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber e punto di riferimento globale nell’intelligence sulle minacce informatiche. La piattaforma fornisce analisi avanzate utili a individuare e contrastare attività malevole nel cyberspazio.

Sandro Sana

CISO, Head of Cybersecurity del gruppo Eurosystem SpA. Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity. Autore del libro "IL FUTURO PROSSIMO"

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore