Attacco informatico all’italiana Elefondati. Con il riscatto anche i risultati dell’AUDIT tecnico

Redazione RHC : 15 Agosto 2022 12:01

Oggi, anche a ferragosto, il cybercrime non molla e ne inventa sempre una nuova.

Questa volta, se paghi, avrai anche “Una descrizione dettagliata delle vulnerabilità del tuo sistema e consigli per proteggerlo”. Non male come nuova idea per agevolare il pagamento del riscatto, compreso nel prezzo non è vero?

Nel blog della cybergang LV (quella che colpì anche la GESIS Srl, nel giallo dell’Agenzia delle entrate), viene pubblicato un post nel quale si legge che la gang ha in mano 20GB di dati appartenenti alla ELEFONDATI Srl.

L’azienda ha solo 72 ore per poter procedere a pagare il riscatto, e allo scadere del tempo la gang (cita testualmente):

HAI SOLO 72 ORE!

Hai la possibilità di preservare la reputazione della tua azienda, dei tuoi dipendenti e del tuo management. Se non ci contatti entro 72 ore, su questo blog sarà pubblicato e disponibile per la lettura da molti giornalisti, inclusi i media di livello 1. Se non collabori con noi, riceverai:

- Completa distruzione della tua reputazione;
- Screditare il tuo management per molti anni a venire;
- Numerose cause;
- I tuoi clienti vengono hackerati a tuo nome (non puoi impedirlo modificando i tuoi accessi e le tue apparecchiature);
- Pubblicazione dell'incidente nei media;
- Diffusione di tutti i tuoi dati al pubblico senza possibilità di cancellazione

COSA OTTIENI ACCORDANDO DI LAVORARE CON NOI:

- Recupero completo dei tuoi dati;
- Garantiamo che i tuoi dati non fuoriescano (puoi eliminarli completamente dai nostri server);
- Una descrizione dettagliata delle vulnerabilità del tuo sistema e consigli per proteggerlo;
- Garanzie di riservatezza dell'incidente;
- Garantisce che non verrai attaccato di nuovo da noi;
- Garantisce che non comunicheremo con i tuoi clienti né forniremo loro alcuna informazione;
- Salvaguardare la tua reputazione;
- Capacità di fare affari facilmente con una nuova abitudine e costruire la forza aziendale del tuo sistema secondo uno standard elevato;

In sintesi, i cyber criminali forniranno anche dettagli sulle vulnerabilità rilevate per migliorare la protezione perimetrale dell’azienda, ed inoltre garantiranno che non verranno più attaccati da LV.

Di fatto stanno fornendo il risultato del penetration test svolto sull’infrastruttura dell’azienda compreso nel recupero dei dati a valle del pagamento del riscatto.

La ELEFONDATI SRL è una società specializzata nella progettazione e realizzazione di sistemi di comunicazione, trasmissione dati, sicurezza ed impianti speciali. Il reparto “Telecomunicazioni” è in grado di realizzare i più moderni sistemi di comunicazione, con soluzioni di telefonia IP, Unified Communications e cabling systems.

Il reparto “Progettazione” progetta e realizza sistemi di cablaggio ad alta velocità su rame e fibra ottica, reti LAN/WAN con integrazione completa di dati e voce, reti wireless e ponti radio in Hyperlan e sistemi di videosorveglianza IP per soddisfare qualsiasi esigenza.

YOU HAVE ONLY 72 HOURS!

You have a chance to preserve the reputation of your company, your employees and your management. If you do not contact us within 72 hours, this blog will be published and available for reading by many journalists, including tier 1 media. If you fail to cooperate with us, you will receive:

- Complete destruction of your reputation
- Discredit to your management for many years to come
- Numerous lawsuits
- Your customers being hacked in your name (you cannot prevent this by changing your accesses and equipment)
- Publication of the incident in the media
- Leakage of all your data to the public without the possibility of deletion

Inoltre pubblica anche dei samples che attestano la compromissione dell’infrastrutture IT dell’azienda

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Nel caso in cui l’azienda voglia fornire una dichiarazione, saremo lieti di pubblicarla con uno specifico articolo. Qualora ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda od effettuare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Cos’è il ransomware e come proteggersi

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.