Il Ministero della Cultura colpito da Mad Liberator! Pubblicati i dati online

Un nuovo attacco ransomware ha colpito il Ministero della Cultura italiano. Il gruppo di hacker responsabile, Mad Liberator, ha rivendicato l’attacco sul proprio Data Leak Site, sollevando preoccupazioni riguardo alla sicurezza dei dati e all’integrità delle informazioni sensibili. 

Chi è Mad Liberator?

Mad Liberator è un gruppo di hacker noto per attacchi ransomware mirati. Sul loro sito di fuga di dati, affermano di essere un gruppo globale di hacker con l’obiettivo di aiutare le aziende a risolvere i problemi di sicurezza e recuperare i propri file. Mad Liberator avverte le aziende prima di pubblicare i loro nomi e concede un preavviso di cinque giorni per pagare il riscatto. Se il riscatto non viene pagato entro il termine stabilito, pubblicano le informazioni dell’azienda coinvolta.

Secondo quanto dichiarato sul loro sito, i file con estensioni casuali non sono danneggiati ma criptati usando l’algoritmo AES/RSA. Mad Liberator sostiene di non affiliarsi a nessun gruppo e di prendere grandi precauzioni per criptare i file senza danneggiarli.

Il “Mad Liberator”, attraverso il suo DLS (Data Leak Site), avverte che le vittime dei suoi attacchi potrebbero essere soggette a severe sanzioni governative, come quelle previste dal GDPR, CCPA, POPIA, e altre normative simili. Inoltre, avverte che le informazioni personali trafugate potrebbero essere utilizzate per scopi illeciti e fraudolenti. La gang di ransomware continua a intimidire sostenendo che i dati rubati, ora nelle mani di hacker globali, potrebbero essere sfruttati impropriamente, inclusi possibili attacchi di ingegneria sociale e un potenziale uso da parte di aziende concorrenti per discriminare le vittime.

L’attacco al Ministero della Cultura

L’attacco al Ministero della Cultura è stato annunciato da Mad Liberator sul loro Data Leak Site, dove hanno pubblicato alcuni dettagli relativi alla violazione. Nelle immagini fornite dal DLS, si può vedere una lista di directory e file presumibilmente presi dal sistema del Ministero.

Le cartelle elencate includono nomi come “ACCORDI”, “DOCUMENTAZIONE”, e “FOTOGRAFIE”, tra gli altri, suggerendo una vasta gamma di dati potenzialmente compromessi. Tuttavia, al momento, non possiamo confermare con certezza la veridicità della violazione, poiché il Ministero della Cultura non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente.

I file sono stati resi pubblici il 17 luglio 2024 e, esaminando le date associate a questi documenti, è possibile stimare che i relativi timestamp variano dal 2017 al 2024.

È cruciale notare che il 30 agosto 2023, LOCKBIT, una dei gruppi ransomware più rinomati degli ultimi tempi, ha rivendicato un attacco informatico contro il Ministero dei Beni Culturali Italiani, mostrando campioni di dati esfiltrati evidenziati nella figura seguente.

È possibile consultare l’articolo redatto da RHC tramite questo link.

Le vittime di Mad Liberator

Al momento della stesura di questo articolo, Mad Liberator ha esposto solo sei rivendicazioni sulla propria pagina, ovvero:

1. Vitaldent (Spagna);
2. Il Ministero per i Beni Culturali e Ambientali (Italia);
3. Montero e Segura (Spagna);
4. CROSSWEAR TRADING LTD (Regno Unito);
5. Cities Network (Africa del Sud);
6. ZB Financial Holdings (Zimbabwe).

La Situazione Attuale

Finora, il Ministero della Cultura non ha rilasciato dichiarazioni ufficiali sull’attacco. Questa mancanza di risposta ufficiale lascia molte domande senza risposta riguardo all’entità della violazione e alle misure adottate per mitigare il danno. Senza un comunicato stampa o una conferma ufficiale, l’informazione deve essere considerata come una ‘fonte di intelligence’ piuttosto che una conferma definitiva della fuga di dati.

Conclusioni

L’attacco rivendicato da Mad Liberator contro il Ministero della Cultura evidenzia la crescente minaccia del ransomware e la vulnerabilità delle istituzioni pubbliche. È essenziale che il Ministero della Cultura e altre organizzazioni similari prendano misure immediate per rafforzare la sicurezza informatica e prevenire future violazioni.

Rimanete aggiornati per ulteriori sviluppi su questa situazione, mentre attendiamo una risposta ufficiale dal Ministero della Cultura riguardo all’entità dell’attacco e le misure di risposta adottate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Vincenzo Miccoli

Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.