Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cyber-attacco al Ministero della Transizione ecologica (MITE). La Timeline

Redazione RHC : 7 Aprile 2022 21:08

Come di consueto, per attacchi di assoluto rilievo sul panorama italiano, realizziamo degli articoli che possano aggregare l’evoluzione dell’attacco informatico producendo la “Timeline”, per far comprendere, in modo semplice e complessivo, gli eventi che si sono susseguiti in un attacco informatico.

Questa volta ad essere colpito è il Ministero della Transizione ecologica (MITE) che nella giornata del 06/04 è andato offline per motivi ignoti, anche se il ministro Cingolani, in una intervista a Radio1 ha riportato in anteprima la notizia, relativamente a “minacce esterne rilevate sulla rete informatica del Ministero

Giornata del 06/04/2022

Il primo che ha riportato la notizia è stato il ministro Roberto Cingolani, collegato in diretta con Radio 1 quando il sito del Mite è andato in disservizio, il quale ha riportato le seguenti parole:

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    “Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”.

    Pertanto in via cautelativa tutti i sistemi sono stati messi in sicurezza con l’effetto dell’indisponibilità del servizio in questo momento, cosa per altro confermata dal servizio http://check-host.net/ con una query da poco lanciata sul sottodominio.

    Cingolani ha anche detto che “La sicurezza è il primo parametro da tenere a mente”, e questa è cosa buona e giusta.

    Analisi di raggiungibilità effettuata in data 06/04/2022 intorno alle ore 20:00

    Rispetto a quanto riportato dal Corriere, sembrerebbe che si tratti di un attacco informatico non meglio precisato, confermato da delle fonti esterne del giornale.

    Di fatto i disservizi alle infrastrutture del Ministero sono iniziate in concomitanza con i disservizi che abbiamo visto la scorsa settimana all’Agenzia delle entrate e alla Sogei, anche se di fatto potrebbe trattarsi solo di una coincidenza.

    Ricordiamo che i problemi relativi all’incidente avvenuto alla Sogei erano di natura elettrica all’interno della rete di alimentazione dei data center, dove un buon numero di apparati ha avuto dei problemi in cascata, cosa che è stata ripristinata sostituendo gli apparati e rifacendoli ripartire.

    Cingolani sempre in radio ha riportato, alla domanda se potesse essere un attacco proveniente dalla Russia che è:

    “Impossibile rispondere in questo momento, ora ci sono le strutture preposte che lavorano, ma in questo momento la sicurezza deve essere obiettivo di tutti gli italiani”

    Giornata del 07/04/2022

    Come abbiamo visto nella giornata di ieri, il sito del Ministero della Transizione ecologica è risultato offline e anche oggi, 7/04/2022 alle 15:30, a distanza di un giorno, il sito risulta ancora down.

    Sembrerebbe si sia trattato di un attacco informatico non meglio precisato, anche se non è arrivata alcuna conferma ufficiale riguardo all’hack.

    Analisi svolta da 6 direttrici internazionali sul servizio HTTP risultato non raggiungibile intorno alle ore 15:00

    Ad annunciare il disservizio è stato proprio il ministro Roberto Cingolani, collegato in diretta con Radio 1 quando il sito del Mite è andato in disservizio, il quale ha riportato le seguenti parole:

    “Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”.

    Giornata 08/04/2022

    Molti giornali iniziano a dire, correttamente, che è necessaria una dichiarazione ufficiale da parte del Ministero e che è corretto che i contribuenti sappiano quello che sta accadendo all’interno delle infrastrutture IT del Ministero.

    Mi ci stiamo avvicinando a due giorni pieni di disservizio.

    Analisi di connettività http del 08/04/2022 alle 17:21

    Un disservizio così lungo fa pensare ad un attacco con un malware non meglio definito, e che l’infrastruttura sembra sia stata scollegata dalla rete per “precauzione”, per evitare una diffusione, così come confermato da Cingolani sempre nell’intervista di ieri.

    Tenendo in considerazione le parole di Cingolani, si potrebbe trattare di un “malware precursore”, ovvero quei malware inoculati all’interno delle organizzazioni, che sono il primo step di infezione prima del lanciare i payload di cifratura dei dati e quindi il cryptolocker.

    Tipica catena di ransomware
    Infografica fonte Lumu Technologies

    Se un’azienda rileva che le sue reti stanno comunicando con quelli che sembrano server C&C attraverso malware come cobalt strike, Emotet, Phorpiex, SmokeLoader, Dridex o TrickBot, cerca di disattivare immediatamente queste connessioni, in quanto questi malware, essendo “precursori”, potranno scatenare più avanti l’esecuzione del payload di cifratura.

    Se così si tratta, il BLUE team che lavora al Ministero è stato molto efficace e proattivo, distaccando prontamente i server dalla rete, ed eliminando i canali di comunicazione del malware verso l’esterno, cosa rarissima in questo periodo.

    Infatti, nella stragrande maggioranza dei casi, i SOC non si accorgono dell’infezione iniziale lasciando scorrazzare i criminali informatici all’interno delle reti, i quali, attraverso movimenti laterali, possono esfiltrare silenziosamente quanti più dati possibili per poter successivamente mettere a segno quella che si chiama “la seconda estorsione”, ovvero il pagamento di un compenso per la mancata pubblicazione di dati sensibili.

    Ad una domanda esplicita posta a Cingolani di fornire informazioni sull’attacco, sembra aver evitato di fornire una risposta in quanto le indagini risultano in corso.

    Giornata del 09/04/2022

    Finalmente il Ministero della transizione ecologia ha ammesso l’attacco informatico, specificando che si è trattato di un malware precursore, inoculato all’interno dell’organizzazione settimane prima attraverso (probabilmente) ad una campagna di malspam.

    Infatti, sembrerebbe che in precedenza si siano rilevate delle mail di phishing ai danni del MITE già dal 23 di Marzo, che aveva come obiettivo inoculare all’interno della rete il malware Ursnif.

    Detto questo è confermata l’ipotesi iniziale fatta da RHC nella giornata di ieri, ovvero non si è trattato di un incidente ransomware, ma solo di una fase iniziale, appunto una infezione da malware “precursore”.

    Sembra infatti che i criminali informatici abbiano utilizzato i beacon Cobalt Strike per diffondere backdoor all’interno dell’azienda.

    Quindi questa volta i complimenti vanno al SOC dell’azienda, che sono riusciti in tempo a fermare l’infezione, anche se i lavori sono in corso per evitare che tale malware non si diffonda in rete ed infetti ulteriori server e che possano comunicare verso i Command & Control (C2) degli attaccanti.

    RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, oppure la stessa azienda voglia fare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

    Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

    Qilin domina le classifiche del Ransomware! 72 vittime solo nel mese di aprile 2025!

    Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...

    Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

    Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

    Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

    È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

    Nessuna riga di codice! Darcula inonda il mondo con il Phishing rubando 884.000 carte di credito

    Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006