Attacco Informatico al Comune di Ferrara: Il Gruppo Rhysida Rilascia il 33% dei dati. Scopriamo cosa contengono

L’attacco informatico che ha colpito il comune di Ferrara, perpetrato dal gruppo di criminali informatici noto come Rhysida, ha preso la svolta più drammatica, ma assolutamente prevedibile in un attacco di tipo ransomware.

Dopo giorni di tensione e incertezza, il gruppo ha iniziato a pubblicare i dati esfiltrati dalle infrastrutture IT del comune, gettando una luce sinistra sulla vulnerabilità delle istituzioni pubbliche.

I Dati Emergono Gradualmente

L’annuncio del rilascio dei dati è stato fatto attraverso un messaggio apparso nel Data Leak Site dell’operazione RaaS. Il gruppo Rhysida ha dichiarato che il rilascio sarà graduale effettuando la pubblicazione del 33% dei dati esfiltrati, per un totale di cerca 1,6 TB.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I file sono resi disponibili attraverso dei link denominati “Documents (Parti 1)”, “Documents (Parti 2)” e “Documents (Parti 3)”.

E l’asta online?

Inizialmente, dopo il mancato pagamento del riscatto da parte del comune, la cybergang – come consuetudine – aveva messo all’asta i dati sensibili sottratti al comune di Ferrara.

Rhysida aveva stabilito una sorta di ultimatum: l’asta sarebbe stata l’opportunità finale per chiunque avesse voluto impedire la pubblicazione dei dati o l’acquisto dei dati per altre motivazioni. Se l’asta fosse fallita, i dati sarebbero stati resi pubblici.

Sembrerebbe quindi che la pubblicazione dei dati sia una attestazione di un mancato guadagno da parte della gang che di fatto non è riuscita a monetizzare questo attacco informatico avendo una netta perdita nelle sue entrate.

Come sappiamo, ogni attacco informatico per una operazione RaaS ha dei costi. L’acquisto del punto di accesso da un Initial Access Borker (IaB) ad esempio, il team di affiliati che lavorano per effetuare l’attacco, il costo stesso della manutenzione del ransomware e delle infrastruttura di pubblicazione nel Data Leak Site (DLS).

Un’Occhiata ai Dati Rilasciati

I primi report indicano che questi file contengono una vasta gamma di dati sul funzionamento interno del comune, tra cui documenti amministrativi, corrispondenza interna, passaporti, documenti di identità, diagnosi mediche, e informazioni sensibili dei dipendenti del comune e credenziali utente.

Ovviamente la pubblicazione di questi dati nelle underground apre la possibilità che tali informazioni possano cadere in mano a individui non autorizzati, sollevando gravi preoccupazioni per la privacy e la sicurezza del comune e dei lavoratori presso il comune.

La natura esatta dei dati contenuti nei file è ancora in fase di analisi da parte degli esperti di sicurezza informatica e delle autorità locali.

Come abbiamo già menzionato in precedenza, questo attacco informatico si è dimostrato completamente unico rispetto ad altri attacchi che hanno interessato le istituzioni pubbliche. La totale trasparenza del comune ha svelato una prospettiva notevolmente diversa sul suo funzionamento interno.

Nelle prossime ore ci aspettiamo delle dichiarazioni ufficiali da parte del comune di Ferrara riguardo alla pubblicazione dei dati. Dato che finora si sono sempre mostrati disponibili a fornire spiegazioni dettagliate e tecniche, sarà senza dubbio interessante seguire quanto verrà comunicato.

Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Chiara Nardini

Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Aree di competenza: Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione