Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Incidente informatico al Comune di Torino: sospesa l’anagrafe.

Redazione RHC : 15 Novembre 2021 12:52

  

La morsa del cybercrime non accenna a diminuire contro le infrastrutture pubbliche o private italiane. Dopo tanti hack di rilievo come la Regione Lazio, l’ospedale San Giovanni Addolorata, ASL Roma 3, SIAE, oltre ad una miriade di altri piccoli incidenti (Unione terre di pianura, Maggioli, Artsana, San Carlo, ASL2) si aggiunge anche la Città di Torino.

Cosa sta succedendo

Questa mattina è apparso nella sua home-page una news che riporta quanto segue:

“Sospesa l’attività di anagrafe e di alcuni uffici comunali a causa del malfunzionamento del sistema informativo. Tecnici al lavoro per riattivarlo al più presto”

E sebbene tutto questo sembri presagire un semplice malfunzionamento tecnico, nel testo successivo viene esplicitato quanto segue:

“La Città di Torino comunica che, a causa di un probabile attacco hacker al proprio sistema informativo, è stata sospesa questa mattina l’attività di alcuni servizi, tra cui quelli anagrafici.”


Il sito web alle 13:57 del 15/11/2021

Ed infine ha aggiunto:

“I tecnici della Città e del Csi Piemonte sono al lavoro per ripristinare il funzionamento corretto del sistema e, al più presto, consentire a uffici e sportelli di operare in sicurezza.”

Sembra si tratti di un ransomware

Il comune ha confermato che si tratta di un attacco informatico, dove nello specifico si parla di ransomware e con buona probabilità potrebbe essere Conti Ransomware.

RHC al momento non ha trovato informazioni sul suo DLS (data leak site) e delle principali cyber-gang ransomware. Il comune potrebbe essere venuto a conoscenza da pochissimo della richiesta di riscatto e quindi siano in avvio le trattative per il pagamento del riscatto.

Una nota positiva al momento c’è in quanto sembrerebbe che il comune abbia riportato quanto segue:

“Il numero delle postazioni di lavoro colpite risulta essere contenuto… Il Comune di Torino e il Csi Piemonte si sono subito attivati con azioni di contrasto mirate a circoscrivere il perimetro oggetto di attacco: in particolare sono stati staccati i domain-controller per evitare accessi agli share di rete, sono state cambiate le utenze di admin, è stata chiusa la rete comunale e avviata comunicazione interna e ad altri clienti”.

Ai dipendenti del comune di Torino è stato inoltre consigliato di non accedere ai computer, per evitare che il ransomware si diffonda ulteriormente.

Le attività dell’italiana Cluster25

Dagli inizi di Novembre 2021 il team Cluster25 ha iniziato ad osservare un maggior livello di attenzione di alcuni gruppi di minaccia verso infrastrutture governative periferiche sia negli States che in Europa.

A questo proposito, durante la scorsa settimana, è stata privatamente condivisa della reportistica relativa a potenziali attacchi verso organizzazioni italiane da parte di diversi attori di minaccia fra i quali la gang Conti, probabile autore dell’attacco al comune di Torino.

Quest’ultimo, allo stato attuale, forse rappresenta il rischio più elevato nel panorama delle minacce a scopo estorsivo in considerazione del loro modello di lavoro basato su di una forte collaborazione fra gli affiliati che lo compongono.

Con molta probabilità si parla di un vettore di attacco iniziato da un RDP esposto con password predicibili banali oppure una VPN non configurata correttamente. Normalmente altri criminali informatici chiamati “broker di accesso”, vendono alle organizzazioni del RaaS (Ransomware as a service) come Conti l’accesso iniziale alla rete, in modo che una volta “atterrati” all’interno della rete dell’organizzazione si possa in una fase successiva effettuare il lancio del “Payload” del ransomware.

Se vuoi approfondire meglio quello che si intende per RaaS, di seguito vi forniamo una serie di link.


I disservizi attuali

Al momento alcuni servizi come l’anagrafe sono non utilizzabili, inoltre il comune ha riportato in una nota quanto segue:

“I servizi del Comune non sono stati compromessi, ma possono verificarsi alcuni disservizi agli sportelli, dovuti a misure cautelative di contrasto alla diffusione del malware. Si rassicurano gli utenti che nessun dato personale è stato compromesso e che sono disponibili i backup”.

La nota riporta anche che nelle prossime ore si saprà con maggiore precisione le tempistiche per il ripristino di tutti i servizi.

RHC monitorarà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni in forma anonima, potete contattarci utilizzando le mail crittografate accessibili a questa URL: https://www.redhotcyber.com/contattaci

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.