FUNKSEC rivendica un attacco Informatico All’Università di Modena e Reggio Emilia. Scopri i dettagli

RHC Dark Lab : 12 Marzo 2025 13:10

Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena e di Reggio Emilia. Nel post pubblicato nel loro blog presente nel clear web (e nelle underground) i criminali informatici riportato che la gang è in possesso di 1GB di dati, esfiltrati dalle infrastrutture IT dell’azienda. Minacciano la pubblicazione tra 7 giorni ed 11 ore.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

I criminali informatici, per poter attestare che l’accesso alle infrastrutture informatiche è avvenuto con successo, riportano una serie di documenti (samples) afferenti all’azienda.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Questo modo di agire – come sanno i lettori di RHC – generalmente avviene quando ancora non è stato definito un accordo per il pagamento sul riscatto richiesto da parte dei criminali informatici. In questo modo, i criminali minacciando la pubblicazione dei dati in loro possesso, aumentano la pressione verso l’organizzazione violata, sperando che il pagamento avvenga più velocemente.

Da tenere in considerazione che questa cybergang, a differenza delle altre, ha un sito web esposto sulla rete internet, pertanto risulta accessibile nel clear web a chiunque, ed indicizzabili dai motori di ricerca.

Visto che (come scopriremo più avanti) FUNKSEC spesso ha riciclato informazioni di precedenti data leak o attività di hacktivismo, rimane da capire quanto questa rivendicazione sia fondata e pertanto deve essere considerata come “informazione di intelligence”.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

La cybergang Funk Sec

Il gruppo ransomware FunkSec è emerso pubblicamente per la prima volta alla fine del 2024 (come riportano i ricercatori di CheckPoint) e ha rapidamente guadagnato notorietà pubblicando oltre 85 vittime dichiarate, più di qualsiasi altro gruppo ransomware nel solo mese di dicembre. Presentandosi come una nuova operazione Ransomware-as-a-Service (RaaS), FunkSec sembra non avere connessioni note con gang ransomware precedentemente identificate e sono attualmente disponibili poche informazioni sulle sue origini o operazioni.

L’attività del gruppo indica che i numeri impressionanti di vittime pubblicate potrebbero mascherare una realtà più modesta sia in termini di vittime effettive che di livello di competenza del gruppo. La maggior parte delle operazioni principali di FunkSec sono probabilmente condotte da attori inesperti. Inoltre, è difficile verificare l’autenticità delle informazioni trapelate poiché l’obiettivo principale del gruppo sembra essere quello di ottenere visibilità e riconoscimento. Le prove suggeriscono che in alcuni casi le informazioni trapelate sono state riciclate da precedenti fughe di notizie correlate ad attività di attivismo, sollevando dubbi sulla loro autenticità.

FunkSec a legami con il mondo dell’hacktivismo e utilizzano strumenti pubblici , tra cui un ransomware personalizzato probabilmente sviluppato da un autore di malware relativamente inesperto con sede in Algeria. I risultati indicano che lo sviluppo degli strumenti del gruppo, incluso il ransomware, è stato probabilmente assistito dall’intelligenza artificiale, il che potrebbe aver contribuito alla loro rapida iterazione nonostante l’apparente mancanza di competenza tecnica dell’autore

Questo caso evidenzia la linea sempre più sfocata tra hacktivismo e criminalità informatica, sottolineando le sfide nel distinguere l’uno dall’altro. Se tale distinzione esista realmente, o se gli operatori ne siano consapevoli o siano interessati a definirla, resta incerto. Ancora più importante, mette anche in discussione l’affidabilità degli attuali metodi per valutare il rischio rappresentato dai gruppi ransomware, soprattutto quando tali valutazioni si basano sulle affermazioni pubbliche degli stessi attori.

L’Università di Modena e di Reggio Emilia

Fin dalle sue origini risalenti al lontano 1175, l’Ateneo ha rappresentato il fulcro della vita scientifica, culturale e sociale e, seppur con fortune alterne legate ai locali mutamenti politici susseguitisi nel corso dei secoli, l’Ateneo si è progressivamente ampliato per diventare una Università multidisciplinare, attiva e dinamica.

Con circa 30.000 studentesse e studenti iscritti ai corsi di studio di I, II e III livello e oltre 1.400 dipendenti tra personale docente, ricercatore e tecnico-amministrativo, Unimore rientra tra gli Atenei di grandi dimensioni, è organizzata a rete di sedi (Modena e Reggio Emilia) ed è costituita da 13 Dipartimenti e 2 Facoltà/Scuole a cui si affiancano le città di Mantova e Carpi (sedi accreditate di Corsi di laurea), oltre che da centri interdipartimentali dislocati sul territorio delle due province di Modena e di Reggio Emilia, dove si svolgono attività di didattica, ricerca, terza missione e relativi servizi a supporto e di trasferimento tecnologico.

Cos’è il ransomware as a service (RaaS)

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

Lista degli articoli