Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Attacco Informatico all’Università di Pisa. La Timeline

Come di consueto, per gli incidenti informatici di una certa rilevanza nel panorama italiano, Red Hot Cyber crea le Timeline.

Si tratta di un unico articolo che riunisce al suo interno, tutti gli eventi che giorno dopo giorno si sono susseguiti relativamente ad un determinato attacco informatico.

In questa Timeline. cerchiamo di riportare in modo chiaro e semplice, gli eventi più salienti che hanno ruotato attorno all’attacco ransomware svolto dalla cybergang ALPHV ai danni dell’Università di Pisa.

11 giugno 2022 – La rivendicazione

l’11 giugno del 2022, RHC viene a conoscenza di un attacco ransomware effettuato da ALPHV/BlackCat, ai danni dell’Università di Pisa.

Advertisements

Al momento non si sa nulla relativamente a questo attacco, se non la pubblicazione sul data-leak-site (DLS) di ALPHV/BlackCat l’11/06/2022 alle ore 05:37 pomeridiane.

Schermata del data leak site (DLS) di ALPHV/BlackCat

Andando ad analizzare le underground, Pietro DI Maria, un analista di Threat Intelligence di RHC ha scoperto che una serie di informazioni erano disponibili nelle darknet, ottenibili da analisi OSINT/CLOSINT, le quali possono essere state sfruttate dai criminali informatici per condurre questo attacco.

Tali accessi (ovviamente si tratta di ipotesi), possono aver consentito di ottenere informazioni sull’università in modo indebito e ottenere successivamente il primo accesso alle infrastrutture IT dell’Università italiana.

Chi è la cybergang ALPHV/BlackCat

Questo ransomware, è tecnicamente il terzo ceppo ad utilizzare il linguaggio Rust dopo la pubblicazione di un proof-of-concept che venne rilasciato su GitHub nel 2020 e un ceppo sperimentale, oramai defunto chiamato BadBeeTeam che venne osservato nello stesso anno.

Advertisements

ALPHV (BlackCat) è il primo ad essere creato e distribuito attraverso una cyber gang che opera in modello RaaS (Ransomware as a Service). Seguendo il modello di REvil, la gang pubblicizzò il suo programma di affiliazione all’interno dei forum clandestini di criminalità informatica (XSS e Exploit), invitando altri criminali ad unirsi e lanciare attacchi contro grandi aziende per estorcere denaro.

Coloro che si candidano, noti come “affiliati”, ricevono una versione del ransomware ALPHV (BlackCat) che possono utilizzare negli attacchi per poi spartire i proventi una volta arrivato il pagamento da parte dell’azienda violata.

Tra le funzionalità che pubblicizzano, c’è la possibilità di crittografare i dati su sistemi Windows, Linux e VMWare eSXI e la possibilità per gli “affiliati” di guadagnare tra l’80% e il 90% del riscatto finale, a seconda della somma totale che estraggono dalle vittime .

In sintonia con le tattiche della maggior parte delle principali operazioni di ransomware odierne, il gruppo si impegna anche in una doppia estorsione, in cui utilizzano i dati rubati per fare pressione sulle vittime affinché paghino, minacciando di far trapelare i dati rubati se non lo fanno.

Advertisements

Il gruppo sembra gestire più di un Data Leak Site (DLS), dove ognuno di questi ospita i dati di una o due vittime, con ALPHV (BlackCat) che ne crea uno nuovo da utilizzare in nuovi attacchi. Una teoria è che questi siti di fuga siano attualmente ospitati dagli stessi affiliati ALPHV (BlackCat), il che spiega i diversi URL di fuga dei dati.

Sebbene ci siano stati altri tentativi di creare ransomware in Rust, BlackCat è il primo a rappresentare una vera minaccia e di cui le aziende devono fare attenzione. In un tweet, Michael Gillespie (famoso analista di malware presso Emsisoft e autore di decine di utilità di decrittazione ransomware), descrisse BlackCat come un ransomware “molto sofisticato”.

Tuttavia, BlackCat non è l’unico RaaS professionale ad utilizzare Rust, dove tale linguaggio di programmazione è considerato molto più sicuro rispetto a C e C++.

Anche altri gruppi di criminalità informatica, come gli operatori di BuerLoader e FickerStealer , hanno fatto i primi passi nel 2021 verso l’implementazione delle versioni Rust dei loro strumenti.

Advertisements

13 giugno 2022 – Pubblicati i primi samples

Come avevamo riportato nella giornata di ieri, la cybergang APLPHV/BlackCat ha preso di mira le infrastrutture IT dell’Università di Pisa e oggi pubblica i primi samples.

Dai samples messi a disposizione sul data-leak-site del gruppo ransomware, compaiono delle immagini che mostrano quali informazioni sono state trafugate dal sistema informatico universitario.

La prima print screen che viene mostrata, sembra una tabella di un database, presumibilmente SQL server, riporta delle user e password di accesso di qualche servizio dell’università, compreso il telefono e una serie di ID di tabelle associative presenti nel database.

Da notare che le password risultano in chiaro.

Advertisements

Potrebbe essere possibile che sia stato scaricato un database completo, oppure si tratta di soli archivi contenuti all’interno di file. Questo al momento non è possibile comprenderlo.

La seconda print screen, è una lista di file dove vengono riportati dati degli studenti e di vari dipartimenti, dove tra questi sono presenti file che potrebbero contenere, dal nome riportato, dei dati sensibili degli universitari.

Purtroppo, mentre scaricavamo la precedente print screen, il sito di ALPHV si è bloccato e non siamo riusciti ad analizzare oltre la questione.

ALPHV nel pomeriggio del 13/’6, pubblica ulteriori 2 print screen che riportiamo di seguito, dove nella prima sono presenti importanti indicazioni sulla quantità di dati sottratti.

Advertisements

Infatti, con buona probabilità, si tratta di una indicazione che viene fornita dai criminali informatici relativa alla quantità dei dati trafugati.

Dall’immagine vengono riportati circa 90.000 files contenuti in 8000 cartelle per un totale di 54GB complessivi.

Immagine presente sul data-leak-site di ALPHV/BlackCat

Nel secondo samples, sono presenti ulteriori cartelle rispetto a quelle che sono state pubblicate questa mattina che riportiamo di seguito.

E’ presente anche una directory con il nome di mssql.

Advertisements

Questo lascia pensare che quanto presunto questa mattina relativamente all’immagine relativa ad una tabella degli account di un database, era solo una quota parte dei file dei database probabilmente trafugati dall’università toscana.

Sicuramente, se si tratta di 54GB, si parla di una grande quantità di dati esfiltrati dalla gang, dove qualora non venga pagato un riscatto, tali dati verranno riversati immancabilmente nelle underground.

14 giugno 2022 – La richiesta di riscatto

Da una schermata pubblicata dal ricercatore di sicurezza Dario Fadda che scrive sul blog https://www.insicurezzadigitale.com/, viene diffuso uno screenshot che mostra la richiesta di riscatto da parte della cybergang criminale ALPHV/BlackCat, dove vengono richiesti 4,5 milioni di dollari.

Qualora non venga pagato il riscatto entro il 16 di giugno, il prezzo da pagare aumenterà fino ad arrivare a 5 milioni di dollari.

Advertisements

Al momento sul sito dell’università di Pisa non viene riportata alcuna comunicazione rispetto all’accaduto.

Se di fatto i criminali informatici hanno in mano 54GB di informazioni riservate dell’università, questo potrebbe comportare un incidente informatico che potrebbe sfociare in databreach, con conseguente dirompenti per l’ateneo toscano.

Intanto ALPHV/BlackCat riporta un commento all’interno del suo data-leak-site (DLS) che riporta quanto segue:

Print screen prelevato dal data-leak-site di ALPHV/BlackCat il 14/06/2022 alle 08:50
Buongiorno, Università di Pisa. Giochiamo a "l'Università va a dormire, la mafia si sveglia"?

UPD: Abbiamo 10k license plate - telefono - abbonamento - nome utente - CodiceFiscale - dati studente\insegnante. Quando pubblichiamo questi dati nel nostro blog, alcune persone potrebbero avere difficoltà nella loro vita. Inoltre, non dimenticare che la tua rete è completamente inattiva. Oltre a 54 GB di dati

PS La mafia si addormenta, l'Università si sveglia.

16 giugno 2022 – Il sindacato degli studenti Sinistra Per emette una nota

Da quanto riportato sul sito di “Sinistra per“, c’è preoccupazione da parte degli studenti per quello che sta accadendo alle infrastrutture IT dell’Università di Pisa, dopo tutte le notizie circolate all’interno dei blog specializzati e sulla stampa.

Advertisements

La preoccupazione è ovviamente relativa ai dati personali degli studenti che potrebbero riversarsi online, visto che molte informazioni riservate sembrano essere in “ostaggio” da parte della cybergang ALPHV/BlackCat che sicuramente starà trattando con l’università una forma di riscatto.

Al momento, non si conosce cosa stia accadendo e come questo indicente di sicurezza sia gestito dall’università. Infatti gli studenti chiedono a voce alta un comunicato che riporti nello specifico l’accaduto.

Sinistra per” è il più grande sindacato studentesco di movimento presente all’interno dell’Ateneo pisano.

E’ un’organizzazione che ogni giorno promuove, attraverso lo strumento fondamentale della rappresentanza, il miglioramento delle condizioni materiali della componente studentesca.

Advertisements

In una nota pubblicata da Sinistra per si legge:

Alcune testate giornalistiche online, dallo scorso sabato sera, hanno suggerito che l’Università di Pisa possa avere subito un attacco hacker di consistenti dimensioni. Queste notizie non sono al momento confermate dall’Ateneo. Vi consigliamo in ogni caso di cambiare preventivamente la password all’interno del portale Alice.

Per costruire una password sicura è importante che sia complessa, composta da numeri, lettere maiuscole, minuscole e simboli. E che soprattutto non sia riconducibile ai propri dati personali.

Vi consigliamo caldamente di fare attenzione alle mail dell’università; se queste notizie fossero malauguratamente vere potrebbe trattarsi di tentativi di Phishing.

Vi consigliamo di non cliccare su link sospetti e di fare attenzione alle mail provenienti dagli indirizzi della segreteria del rettore, delle credenziali unipi, ed a tutti gli indirizzi mail dell’ateneo in generale.

Le testate giornalistiche indicano anche una notevole mancanza all’interno del sistema informatico d’ateneo, suggerendo che le informazioni di studentɜ e professorɜ vengano salvate IN CHIARO all’interno dei database. 

Noi pretendiamo dall’ateneo che i nostri dati siano PROTETTI e CRIPTATI, in quanto la nostra sicurezza deve essere la massima priorità dell’Università di Pisa. 

In mezzo a tutte queste voci che circolano, pretendiamo inoltre che l’Ateneo pubblichi un comunicato ufficiale, in cui chiarisca la vicenda, e se effettivamente risultano esserci state sottrazioni dei nostri dati!

17 giugno 2022 – Ancora nuovi samples

L’attacco all’Università di Pisa sta avendo il suo epilogo con la pubblicazione dei dati.

Ma la cybergang ALPHV le sta provando tutte per poter ottenere il pagamento del riscatto da parte dell’Università Toscana, e pubblica ulteriori dati sul suo data-leak-site (DLS) raggiungibile dalla rete onion.

Questa volta vengono pubblicati i dati degli studenti con un samples che riporta quanto segue:

Advertisements
  • Codice Fiscale
  • Nome e Cognome
  • Comune di residenza
  • Indirizzo di residenza
  • Data di nascita
  • Numero di telefono
  • email

Facendo comprendere che le informazioni in possesso dei criminali informatici sono molte di più e che presto saranno pubblicate online oppure vendute nei mercati underground.

Poi viene pubblicato un ulteriore samples che riporta il budget dedicato alle attività di ricerca per uno specifico dipartimento, ma anche in questo caso, è altamente probabile che i criminali informatici abbiano la stessa informazione anche per altri dipartimenti dell’università.

Inoltre, vengono riportate informazioni di natura gestionale/finanziaria, che fanno comprendere il funzionamento interno dell’Università toscana.

Proprio ieri, i ragazzi di “Sinistra per …” (il più grande sindacato studentesco di movimento presente all’interno dell’Ateneo pisano) aveva riportato all’interno di un comunicato le loro preoccupazioni relative a questo incidente dichiarando che sarebbe necessario da parte dell’Università un comunicato che potesse spiegare l’accaduto e cosa si sta facendo in proposito:

Advertisements

“Noi pretendiamo dall’ateneo che i nostri dati siano PROTETTI e CRIPTATI, in quanto la nostra sicurezza deve essere la massima priorità dell’Università di Pisa” e che “l’Ateneo pubblichi un comunicato ufficiale, in cui chiarisca la vicenda”.

Infatti, come dicevano giustamente i ragazzi, le informazioni personali una volta pubblicate in rete, potranno essere utilizzate da altri criminali informatici per condurre attività di ingegneria sociale da parte.

Samples che riporta le informazioni degli universitari
Informazioni sul budget dei dipartimenti
Informazioni di gestione finanziaria

18 giugno 2022 – BlackCat/ALPHV scrive a RHC

La pressione si fa sempre più importante da parte di ALPHV nei confronti dell’Università di Pisa che ha in mano 10.000 record di dati personali degli studenti che presto verranno resi pubblici nelle underground.

ALPHV scrive alla redazione di RHC questa mattina intorno alle 13:00 riportando quanto segue:

Unipi si aspetta un destino come quello dell'Allison. il tutto verrà pubblicato, in 3 giorni, se non viene effettuato alcun contatto. Pubblicheremo tutti i dati degli studenti e del personale. aspettati grandi multe GDPR per l'archiviazione di dati sensibili in chiaro!

Contatta ora per fare un affare!

Hacker

Immediatamente dopo viene pubblicato un aggiornamento all’interno del data-leak-site (DLS), dove la gang minaccia l’università che se non verrà pagato il riscatto, tra 3gg i dati esfiltrati verranno pubblicati online.

Advertisements

Infatti nel messaggio da poco pubblicato da ALPHV viene riportato quanto segue (la parte in neretto è stata aggiunta da poco):

Abbiamo 10.000 informazioni come - telefono - abbonamento - nome utente - CodiceFiscale - dati studente\insegnante. Quando pubblichiamo questi dati nel nostro blog, alcune persone potrebbero avere difficoltà nella vita. Inoltre, non dimenticare che la tua rete è completamente inattiva. Oltre a 54 GB di dati

UPD: Ci chiediamo cosa dovrebbero fare 10.000 studenti e insegnanti in merito alla tua negligenza affinché i loro dati vengano divulgati online in 3 giorni? I giochi sono finiti! Il prossimo aggiornamento è il rilascio dei dati personali al pubblico.

UPD: Se non ci contatti entro 3 giorni e il pagamento non viene effettuato, entro tale lasso di tempo, pubblicheremo tutti i dati di studenti e dipendenti sul nostro blog. E poi aspettati una multa di $ 20 milioni ai sensi del GDPR.
Schermata prelevata dal DLS di ALPHV il 18/06/2022 alle 14:52

La cosa interessante da notare nella mail arrivata a RHC, è che ALPHV riporta “archiviazione di dati sensibili in chiaro!”, cosa non esplicitamente riportata nel blog. Probabilmente sarà stata verificata la mancanza di sistemi (ad esempio) di Transparent Data Enceyption all’interno dei database dell’università.

Ad oggi, sono stati fatti circa 4 aggiornamenti al post da parte di ALPHV con diverse immagini pubblicate che riportano samples dei dati sottratti dalle infrastrutture informatiche dell’università toscana.

ALPHV minaccia l’università anche di ripercussioni sia da parte degli studenti (che come abbiamo visto in precedenza chiedono chiarezza su quanto successo), che ai sensi del GDPR, riportando una ipotetica multa di 20 milioni di euro.

Advertisements

In effetti, l’Università di Pisa ancora non ha rilasciato un comunicato che spieghi l’accaduto e a 3 giorni dalla pubblicazione dei dati, sarebbe importante che questo venga fatto. Questo anche per dar modo alle persone coinvolte di comprendere meglio cosa sta accadendo e cosa sta facendo l’Università in relazione all’incidente informatico.

19 giugno 2022 – Il post non c’è più

Questa mattina, accedendo al data leak site (DLS) della cybergang ALPHV, per vedere se erano stati pubblicati aggiornamenti, il sito risponde con la pagina di “Not Found”, come viene riportato dalla print screen seguente:

Print screen del 19/06/2022 alle 10:40 prelevata dal DLS di ALPHV

successivamente dopo meno di un’ora, il sito ha riportato il consueto messaggio con i sample già conosciuti.

RHC ha scritto alla cybergang ALPHV alcune domande in risposta alla mail ricevuta il 18 di giugno, ma non ha ancora ricevuto risposta.

Advertisements

Al momento mancano solo 2 giorni alla pubblicazione dei dati da parte di ALPHV dell’Università di Pisa.

20 giugno 2022 – Il tempo sta finendo

Domani, come da countdown di ALPHV/BlackCat, verranno pubblicati i dati sottratti dall’Università di Pisa.

Avvertiamo tutti gli studenti e tutti i dipendenti dell’università toscana di eseguire prontamente un cambio password impostando una password robusta su tutti gli account afferenti ai sistemi dell’università.

La cybergang ALPHV/BlackCat, con un post sul data-leak-site (DLS) pubblicato il 18/06, ha riportato che tra 3 giorni i dati sarebbero stati disponibili al download nelle underground.

Advertisements

Questo lo avevano anche riportato in una mail che la cybergang aveva scritto a Red Hot Cyber lo stesso giorno, riportando quanto segue:

Unipi si aspetta un destino come quello dell'Allison. il tutto verrà pubblicato, in 3 giorni, se non viene effettuato alcun contatto. Pubblicheremo tutti i dati degli studenti e del personale. aspettati grandi multe GDPR per l'archiviazione di dati sensibili in chiaro!

Contatta ora per fare un affare!

Hacker

Abbiamo riscritto ad ALPHV nella giornata di oggi chiedendo se i dati sarebbero stati pubblicati nella giornata di domani, se l’Università era in contatto con loro e cosa potevamo riportare ai ragazzi di “Sinistra per…”, il sindacato degli studenti dell’Università di Pisa che in precedenza avevano emesso un comunicato sul loro sito.

Questa è stata la loro risposta:

Bello stare all’inferno se non ci contattano.
Quindi, puoi dire di tenere sotto controllo i loro affari.

BlackCat
ALPHV

In sintesi, sembrerebbe che non ci siano al momento contatti tra la cybergang e l’Università toscana e che con buone probabilità i dati verranno rilasciati domani nelle underground.

Advertisements

A questo punto, rimaniamo in attesa monitorando le underground, in modo da comprendere con precisione cosa accadrà relativamente a questa complessa vicenda, che vede 10.000 record di dati personali degli studenti dell’Università di Pisa in mano ad una operazione ransomware as a service che probabilmente verranno diffusi nelle underground.

Si parla di 54GB complessivi pari a circa 90.000 files contenuti in 8000 cartelle, come riportato in precedenza.

Sul data leak site ALPHV/BlackCat riporta poco fa un ulteriore update che recita quanto segue:

UPD: Il tempo sta finendo.
Print screen del DLS di ALPHV/BlackCat del 20/06/2022 alle 18:54

E pubblica ulteriori dati personali di dirigenti dell’Università toscana.

Advertisements
Di conti correnti

E documenti dell’INAIL con dati personali

Come sempre, RHC monitorerà la questione in modo da pubblicare ulteriori news sulla vicenda sul blog, qualora ci siano novità sostanziali.

21 giugno 2022 – RHC dice agli studenti “Cambiate le password!”

Nella giornata di oggi, secondo le dichiarazioni dell’operazione RaaS ALPHV/Blackat, i dati esfiltrati dalle infrastrutture IT dell’università di Pisa, verranno rese pubbliche sul darkweb.

Sono passati 3 giorni da quando la gang ha aggiornato il proprio data leak site (DLS) riportando che se l’Ateneo toscano non si fosse fatto vivo, i dati sarebbero stati pubblicati e quindi sarebbero liberamente consultabili sulla rete onion.

Advertisements

Ricordiamo a tutti che l’accesso alla rete onion e al download dei dati sul data leak site di ALPHV/Blackat (attraverso TOR Browser) non richiede alte capacità informatiche o doti particolari. Infatti, chiunque può farlo con due ricerche su Google e 4 click e senza alcuna autenticazione.

Dalle principali anticipazioni dei samples emesse dalla gang, una tra queste ci è sembrata particolarmente “delicata”. Si trattava di una schermata di una tabella di un database (presumibilmente Microsoft SQL server), dove venivano riportati i record degli utenti con le password in chiaro e nei successivi samples erano presenti delle directory che facevano comprendere che un intero database erano stato sottratto dalla gang.

Un samples che riporta la directory standard di installazione di SQL server

Probabilmente tali dati presenti nella tabella erano afferenti ad un database interno che contiene informazioni relative ai profili di accesso degli studenti dell’Ateneo e risultavano in chiaro. Generalmente le password vengono archiviate all’interno delle base dati utilizzando algoritmi di hash di nuova generazione, che ne rendono difficile la loro identificazione.

Anche se alcuni stanno dicendo che si tratta di dati vecchi e stanno minimizzando la questione (in effetti le date di nascita presenti nella lista dei dati personali erano afferenti a persone di minimo 33 anni)ancora non possiamo comprendere gli impatti che ne potranno conseguire una volta che tali dati saranno riversati nelle underground, quindi vale il regime di “massima allerta”.

Advertisements

Inoltre, come spesso riportiamo su RHC, ogni dato riversato nelle underground è un dato perso per sempre e utilizzabile per correlazioni di altra natura.

Nel mentre, anche se non sappiamo di quale sistema si tratta e se tali password siano vecchie o riutilizzate in altri sistemi dell’Ateneo, consigliamo a tutti gli studenti dell’università di eseguire un cambio password massivo di tutti i loro account, compresa la posta elettronica.

Vi consigliamo anche di eseguire una scansione preventiva del vostro device/computer con il vostro antivirus prima di effettuare il cambio password, per scongiurare la presenza di eventuali botnet e infostealer (vedi redline) che possono rubare l’accesso riversandolo nuovamente nelle underground.

Inoltre, anche gli studenti che hanno completato il percorso di studi potrebbero essere impattati da tale perdita di dati, quindi tale consiglio in via precauzionale lo diamo a tutti, compreso il personale dell’ateneo mentre attendiamo un comunicato ufficiale da parte dell’università.

Advertisements

Tali dati infatti potrebbero essere utilizzati per accedere in modo abusivo ai sistemi sui quali siete profilati oltre ad avviare attività di social engineering nei confronti di studenti e personale dell’ateneo.

Concludendo, prestate massima attenzione alle mail di phishing che potrete ricevere a valle della pubblicazione dei dati e aumentate al massimo il livello di attenzione.

Se volete raccontarci qualsiasi esperienza intorno a questa vicenda, potete scrivere alla redazione di RHC.

21 giugno 2021 – RHC e Sinistra Per conducono una intervista incrociata

RHC ha ricevuto diverse richieste da parte degli studenti dell’Università di Pisa che hanno scritto alla redazione con domande relative a cosa potrebbe accadere una volta che i dati personali si sarebbero diffusi nell’underground.

Advertisements

Ovviamente la preoccupazione è alle stelle in quanto tali dati, se diffusi, potrebbero essere utilizzati per le più disparate forme di frodi telematiche.

Proprio per questo RHC assieme a “Sinistra per…” hanno voluto redigere una “Intervista incrociata”, ovvero una intervista dove le domande vengono poste da entrambe le comunità, per consentire agli studenti di vederci più chiaro in questa complessa e difficile vicenda.

22 giugno 2022 – La rivendita dei dati sul forum underground XSS

Come avevamo riportato nella giornata di ieri, la cybergang ALPHV/BlackCat si stava preparando a pubblicare i dati sul suo data leak site (DLS) esfiltrati dalle infrastrutture telematiche dell’Università di Pisa.

Infatti, nella giornata di ieri tutti si aspettavano la pubblicazione dei dati che però non è avvenuta, come da “countdown” riportato dalla gang 4 giorni fa da parte della gang.

Advertisements

Da un samples pubblicati in precedenza, si parlava di 90.000 files contenuti in 8000 cartelle per un totale di 54GB complessivi

Ma ancora questa mattina, come mostra la print screen del loro DLS, scattata il 22/06/2022 alle ore 08:03, non c’è traccia di nuovi aggiornamenti.

Con una mail inviata alla redazione questa mattina presto, ALPHV/BlackCat invia un link che descrive la posizione esatta del post pubblicato.

Tale post è stato pubblicato su un forum underground russo molto conosciuto nella community del cybercrime, il famoso XSS.

Advertisements
Mail arrivata in redazione di BlackCat/ALPHV

Come sappiamo, le operazioni ransomware as a service, devono in qualche modo monetizzare, pertanto, visto che non si è trovato un accordo con l’università toscana e i dati potevano essere di interesse si è puntato al mercato nero.

Ecco quindi che non sono stati pubblicati nel loro DLS scaricabili in modo gratuito, ma richiesta una somma di denaro pari a un milione di dollari, praticamente 4 volte in meno rispetto al prezzo del riscatto richiesto all’università.

Samples che riporta i dati in vendita dell’Università di Pisa

All’interno del post vengono pubblicati alcuni samples e un file in formato compresso dove è presente tutta l’alberatura dei dati esfiltrati dall’università.

Sito per il download del FIleTree

Inoltre vengono pubblicati ulteriori samples.

Advertisements
Un samples che pubblica delle directory contenenti alcuni file esfiltrati
Un semplase di ulteriori dati personali

Andando ad aprire il file FileTreeUNI.txt, contenuto all’interno di un archivio rar, viene mostrato questo file di testo che riporta tutta l’alberatura dei dati.

All’interno dell’alberatura sono presenti anche informazioni relative ai brevetti, anche se al momento non possiamo comprendere di quali dati si tratti in quanto non sono scaricabili perchè in vendita.

FileTree con ricerca relativa ai brevetti

E informazioni sulle password

22 giugno 2022 – BlackCat/ALPHV parla con il rettore di UNIPI?

Oggi le notizie sull’attacco informatico all’Università di Pisa si susseguono a ritmo frenetico.

Advertisements

Dopo la mail arrivata in redazione da parte di BlackCat/ALPHV che riportava precisamente il post sul forum underground russo XSS, nel quale sono stati messi in vendita i dati esfiltrati della infrastrutture informatiche dell’Università di Pisa, ora BlackCat pubblica un aggiornamento.

Nell’aggiornamento sul suo data leak site (DLS), viene riportato che BlackCat è in contatto con il rettore dell’Università di Pisa “Masimo Aguela“.

Sembra una notizia poco sensata in quanto il vecchio rettore dell’Università toscana era Massimo Mario Augello, mentre l’attuale rettore ad oggi è Paolo Maria Mancarella.

Intanto riportano che qualora l’università li contatti e si arrivasse ad una conclusione, la pubblicazione dei dati non avverrà.

Advertisements

Poi fissano la nuova data del 24/12/2022 alle ore 23:00 per la scadenza della trattativa.

"Aggiorna: Università di Pisa. Abbiamo parlato ieri con il tuo rettore, Masimo Aguela. Ci ha chiarito che oggi i negoziati (22/06/22) inizieranno tra noi e l'Università. Ma ahimè, nessun progresso oggi. Possiamo vedere che gli studenti sono preoccupati per l'incidente e non vogliamo ferirli. 

Ecco perché non stiamo ancora pubblicando i dati sul nostro blog, perché potrebbe ferirli. Il che non vuol dire degli insegnanti. Stiamo dando a questa situazione un'ultima possibilità per una risoluzione costruttiva. 

Venerdì, 24/12/22, 23:00 è la scadenza. 

Se l'università non ci contatta, pubblicheremo sul nostro blog tutti i dati su studenti e docenti, nonché sul resto dei documenti che abbiamo ottenuto. Buon giorno, signor Masimo Aguela. E bei giorni, Università di Pisa".
Schermata prelevata dal DLS di BlackCat il 22/06/2022 alle 14:00

Ovviamente, rimaniamo a disposizione dell’università di Pisa, qualora voglia effettuare una dichiarazione sulla vicenda in modo da darne risalto all’interno delle nostre pagine.

23 giugno 2022 – BlackCat elimina il post dal forum XSS

Nella giornata di ieri, la cybergang BlackCat/ALPHV aveva creato un post sul famigerato forum underground XSS dove metteva in vendita per un milione di dollari i dati esfiltrati dall’Università di Pisa.

Andando oggi a verificare, il post risulta eliminato, come riportato dalla print screen scattata il 23/06/2022 alle ore 07:56.

Advertisements

La rimozione del post avviene anche dopo un aggiornamento pubblicato sul data leak site (DLS) di BlackCat/ALPHV dove venivano riportati dei presunti contatti tra la gang e il rettore dell’università, anche se il nome riportato risultava sbagliato.

A questo punto le ipotesi potrebbero essere due:

  • La prima, che ci siano stati contatti con qualcuno dell’Università Toscana, che ha dato modo a BlackCat di rimuovere il post da XSS sperando in un pagamento del riscatto;
  • La seconda che un acquirente ha sborsato un milione di dollari per l’acquisto di queste informazioni.

Si tratta solo di ipotesi in quanto non sappiamo se quanto riportato nelle fonti pubbliche sia una precisa ricostruzione dei fatti o quanto BlaclCat stia cercando un modo per monetizzare.

Ricordiamo sempre che tutte le operazioni RaaS, dopo un attacco informatico, devono monetizzare. In caso contrario tutto lo sforzo utilizzato per l’attacco, il pagamento di un eventuale broker di accesso, lo sviluppo del software, risulta solo una perdita per tutta la piramide del RaaS.

Advertisements

La cosa che speriamo che non accada (e quello che hanno minacciato di fare), è la sorte della Allison, dove i dati sono stati pubblicati, organizzati e ricercabili tramite un motore di ricerca nel clearweb. Nel caso dell’Università di Pisa, i dati sembrano più destrutturati (anche se non sappiamo con precisione il database esfiltrato cosa contenga) e potrebbe essere dispendioso per BlackCat procedere in questo modo.

24 giugno 2022 – L’Università emette un comunicato

Finalmente dopo più di 2 settimane dall’inizio dell’incidente informatico all’Università di Pisa, l’Ateneo invia una email a tutti gli studenti.

La notizia ci è arrivata in redazione da uno studente dell’ateneo che ringraziamo.

La comunicazione riporta quanto segue:

Advertisements
Carissime/i,

all’esito dell’informativa ricevuta dal Presidente del Sistema Informatico di Ateneo, a fronte di notizie inesatte e non consapevoli diffuse sull’argomento in oggetto, si rende necessario un chiarimento, comunque non esaustivo, essendo l’attività di verifica ancora in corso. 

Il nostro Ateneo, in data 11 giugno, ha subito ripetuti attacchi hacker internazionali condotti usando il ransomware Black Cat/ALPHV.

Le possibili conseguenze di un simile evento sono, comunemente, la criptazione dei sistemi e dei documenti e il totale blocco dei servizi. 

Il sistema difensivo dell’Ateneo è entrato subito in azione, riducendo il numero di file crittografati, evitando il processo di cifratura ricorsiva su altri sistemi e database. L’aggiornamento dei sistemi e degli antivirus presenti sui server virtuali oggetto dell’attacco ha limitato l’esecuzione del ransomware e, quindi, il relativo impatto. L’interruzione dei servizi è rimasta circoscritta a poche ore, senza pervenire al blocco degli stessi.

Gli investimenti e gli interventi degli ultimi anni, effettuati dall’Ateneo nella revisione dell’architettura di rete (introducendo un modello di sicurezza a bolle protette da firewall di ultima generazione), ha impedito la proliferazione degli attacchi, limitando la propagazione del virus, salvaguardando server, macchine virtuali e sistemi di backup, impedendo così la perdita di dati. 

Dalla scoperta dell’incidente è iniziata, in modo capillare e in collaborazione con l’autorità giudiziaria, l’attività di indagine, analisi e bonifica dei sistemi informatici.

L’impatto dell’attacco ha portato a una possibile esposizione di un numero minimo di dati, in una frazione inferiore a uno su diecimila, presenti in documenti prodotti dai sistemi e memorizzati in locale per permettere agli operatori di svolgere l’attività amministrativa. È comunque in atto un’attenta analisi dei dati esposti che permetterà la notifica agli eventuali interessati dalla violazione, ai sensi dell’art. 34 del Regolamento UE n. 679/2016. 

Inoltre, nelle prime 48 ore dalla scoperta dei fatti, l’Ateneo ha provveduto a una preliminare notifica al Garante per la protezione dei dati personali, a tutela della comunità universitaria, dell’avvenuta violazione di dati.

Il Team informatico dell’Ateneo sta lavorando per la messa in sicurezza post attacco dell’intero sistema informatico, caratterizzato da un numero elevato di server, database e macchine virtuali, la cui complessità giustifica tempi di reazione all’evento che non possono essere immediati, se non a scapito della affidabilità del sistema stesso. 

All’avvenuta chiusura dell’incidente informatico, saranno comunicate le opportune istruzioni di comportamento.

Tuttavia, per estrema cautela, viene raccomandato fin d’ora di prestare attenzione ad eventuali richieste di dati personali, realizzate anche attraverso l’utilizzo di link, della cui provenienza non abbiate certezza.

In proposito, si è conclusa la verifica di integrità del servizio di cambio password ed è quindi accertata la sicurezza della procedura di cambio della password delle credenziali di Ateneo, a cui voi tutti siete invitati.

Cordiali saluti. 

Il Rettore
L’informativa arrivata in redazione

Oggi si sta tenendo il consiglio di amministrazione dell’Università di Pisa, dove con molta probabilità si starà parlando anche di questo incidente informatico.

25 giugno 2022 – BlackCat pubblica i primi 698MB di dati

Come promesso in precedenza dalla cybergang, BlackCat/ALPHV, è stato pubblicato il primo blocco di 698MB di dati esfiltrati dalle infrastrutture informatiche dell’Università di Pisa.

Ricordiamo che in precedenza, la cybergang aveva riportato che era in contatto con il rettore dell’Università e che se l’Ateneo non si fosse fatto vivo, entro la data del 24/06 avrebbe pubblicato i dati.

Infatti viene riportato un aggiornamento nel data leak site (DLS) di BlackCat che riporta un primo lotto da scaricare di 698MB liberamente dalla rete onion.

Advertisements

Non appena si accede alla directory contenenti i file, ci si trova di fronte a queste informazioni.

Da una veloce analisi possiamo riportare che i dati pubblicati contengono:

  • Risultati di ricerche
  • Elenco di circa 270 numeri telefonici e mail dei docenti
  • Bandi e circolari e provvedimenti
  • Piani Ferie
  • Elenco dei beni
  • Missioni
  • Modulistiche
  • Informazioni sullo smart working dei docenti
  • Elenchi del personale tecnico nei dipartimenti
  • Informazioni sulle timbrature
  • Coordinate bancarie

Questa prima pubblicazione, da una breve analisi condotta da RHC sembrerebbe che non contenga informazioni afferenti agli studenti di Pisa. Probabilmente la cybergang si riserva queste informazioni (compreso il database) per una ultima pubblicazione aumentando ancora la pressione e per cercare di monetizzare ad ogni costo.

Ricordiamo a tutti che l’accesso alla rete onion e al download dei dati sul data leak site di ALPHV/Blackat (attraverso TOR Browser) non richiede alte capacità informatiche o doti particolari. Infatti, chiunque può farlo con due ricerche su Google e 4 click e senza alcuna autenticazione.

Advertisements
Elenco aggiornato dei docenti

RHC monitorerà la questione in modo da pubblicare ulteriori news sulla vicenda sul blog, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, oppure la stessa azienda voglia fare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.