Attacco informatico alla Croce Rossa italiana. Pubblicati dati ed informazioni all’interno dell’underground

Redazione RHC : 3 Maggio 2024 11:35

All’interno del famigerato forum underground Breach Forums, qualche giorno fa è stato pubblicato un post che ha come titolo “Italian Red Cross Breach” da parte di un Threat Actors.

In tale post, il criminale informatico riporta dei dettagli su come l’attacco informatico sia avvenuto oltre a pubblicare specifici samples, per attestare l’accesso alla rete IT dell’azienda. Ma andiamo con calma.

L’attacco informatico alla Croce Rossa del 18 Gennaio 2024

Tale attacco, potrebbe essere la rivendicazione da parte del Threat Actors relativamente all’incidente informatico subito dalla Croce Rossa Italiana ad inizio del 2024. L’incidente era stato dettagliato con uno specifico comunicato stampa da parte dell’ente il 6 febbraio scorso.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In tale comunicato si legge quanto segue: “il 18 gennaio di quest’anno, i sistemi informatici della Croce Rossa Italiana hanno subito un sofisticato attacco hacker alla propria sicurezza che ha determinato la violazione dei dati personali. I dati non sono andati persi ma, per un periodo di tempo imprecisato, sono stati resi visibili agli hacker e probabilmente, ma non ne siamo ancora certi, potrebbero essere stati trafugati. Le informazioni che vi riguardano sono i dati raccolti da Croce Rossa nell’ambito della propria attività di volontariato nonché quelli utilizzati per fornire i servizi sociali ed umanitari; alcuni di essi possono avere natura anche sensibile.”

La rivendicazione dell’attacco alla Croce Rossa su Breach Forums

L’autore del post afferma di essere riuscito ad accedere alla rete della Croce Rossa Italiana senza incontrare alcuna difficoltà significativa senza riportare un periodo preciso.

Sorprendentemente, sembra che le misure di difesa utilizzate, tra cui il sistema di rilevamento e risposta agli incidenti (EDR/XDR), siano state inefficaci nel rilevare o bloccare l’attacco. Persino l’ottenimento di privilegi amministrativi sulla rete aziendale (Active Directory) è stato descritto come relativamente semplice, senza la necessità di utilizzare tecniche avanzate come Kerberoast o s4u.

Una delle vulnerabilità evidenziate riguarda l’uso diffuso di una password comune, “Sviluppo.1864”, che sembra essere stata utilizzata su diversi account, sia locali che di rete Active Directory. Questo scenario è un chiaro esempio di pratica di sicurezza debole, che ha permesso all’hacker di muoversi liberamente all’interno del sistema.

Ma le vulnerabilità non si fermano qui. L’autore del post rivela di aver trovato macchine accessibili dall’esterno che erano vulnerabili a exploit noti, consentendo così di ottenere privilegi di esecuzione locale. Questo dimostra una mancanza di manutenzione e aggiornamento del sistema, rendendo la rete ancora più vulnerabile agli attacchi esterni.

Uno degli aspetti più inquietanti della violazione è la quantità di dati sensibili che l’hacker è stato in grado di accedere e recuperare. Si stima che siano stati catturati 13 terabyte di video interni ed esterni, insieme a codici sorgente interni, database e backup. Questo solleva gravi preoccupazioni per la privacy e la sicurezza dei dati degli utenti e delle parti interessate.

Il post conclude con una nota sinistra, in cui l’autore offre di condividere una backdoor nascosta per consentire l’accesso futuro alla rete compromessa.

All’interno del post viene riportato quanto segue:

Così, molto tempo fa, sono riuscito ad entrare nella rete della Croce Rossa Italiana. Ho incontrato come EDR/XDR, Trend Micro Apex One. La peggiore soluzione di difesa di sempre. Anche con una semplice shell PHP, non veniva né visto né bloccato. Insomma, meglio così, no?

Diventare amministratore della rete aziendale (Active Directory) è stato relativamente semplice.

Niente Kerberoast, niente s4u o qualcosa del genere.

Le macchine che mi consentivano l'accesso dall'esterno erano anche vulnerabili a vari exploit noti che consentivano LPE.

La cosa divertente? La password "principale" veniva utilizzata quasi ovunque.
Dagli account locali agli account di rete AD.

"Sviluppo.1864" o "Sviluppo.1864!" molto divertente e facile.
Inoltre era sufficiente agire di notte, perché il loro EDR inviava avvisi/eventi alla loro JIRA interna.

In breve è stato facile e per niente difficile, l'unico problema è stato quando ho catturato 13TB di video interni e non interni. Che furono esclusi completamente dalla discarica perché avrebbe richiesto troppo tempo e avrebbe fatto molto "rumore" nella rete e nei loro sistemi fortinet interni.

Oltre a questo, goditi i codici sorgente interni, i database, alcuni backup e molto altro.

Non ho inserito il ransomware semplicemente perché lo trovo del tutto inutile e sbandante, personalmente.
Ho solo una richiesta, se puoi eseguire il mirroring il più possibile, perché il DCMA e le politiche di base di Gofile fanno praticamente schifo.
Buona giornata a tutti, soprattutto alle aziende TI e alla prossima! o/

PS .
Inoltre se vuoi ho sempre una backdoor nascosta per accedere nuovamente, se vuoi te la posso mandare in PM per chi è interessato e vuole continuare a divertirsi

Il Threat Actors per poter avvallare quanto riportato inserisce in allegato degli screenshot dove è possibile vedere all’interno delle macchine Windows Server con il logo della croce rossa oltre ad informazioni in chiaro provenienti dai database interni.

Non si tratta dell’attacco del 2022, ma probabilmente di quello del 2024

Come riportato all’inizio, è possibile ipotizzare che la rivendicazione du Breach Forums fa seguito all’attacco del 18 Gennaio 2024, come da comunicato stampa della Croce Rossa.

Infatti il threat actors riporta che non si tratta dell’attacco alla croce rossa del 2022, ma bensì di un nuovo attacco. “Prima di dire stronzate, le persone che fanno Threat Intelligence (o meglio, provano a farlo senza sapere nulla), dovrebbero effettivamente controllare ciò che ho condiviso. Perché quello che ho fatto non ha nulla a che fare con la violazione del 2022. Ragazzi, siete troppo divertenti!”

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli