Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un presunto data leak di circa 1.9GB, attribuito ad una scuola italiana, è stato pubblicato su un forum underground dall'utente BlackVulcan. Il contenuto, è nascosto e accessibile tramite interazione all'interno del forum. Se autentici, i dati potrebbero alimentare campagne di phishing e frodi mirate, inoltre, quando dati di questo tipo coinvolgono i più piccoli, il problema più grave è la persistenza del dato che una volta fuori, è fuori per sempre.
C’è un momento ben preciso, in cui le storie emergono
Inizialmente sono silenziose, quasi marginali, ma poi iniziano a fare rumore. È quello che sta accadendo con un post comparso nelle prime ore della giornata, precisamente alle 03:25, pubblicato da un utente malintenzionato dal nome BlackVulcan, all’interno di un forum di criminalità informatica. Il titolo è diretto e brutale, si mettono a disposizione della comunità 1.9GB di dati freschi, attribuiti ad una scuola italiana.
Non è un dump pubblico scaricabile liberamente, il contenuto è per il momento nascosto, ma accessibile dopo aver interagito con il thread pubblicato dal criminale informatico. Si tratta di una dinamica classica in questi circuiti illegali, dove la visibilità e la credibilità si costruiscono così, con meccanismi di engagement che mascherano un sistema molto ben più rodato.
Il messaggio è creato con consapevolezza in quanto c’è una narrativa. L’attore afferma di aver ottenuto questi specifici dati, in seguito ad un cyberattacco sferrato ai server di questa scuola non meglio precisata. Successivamente elenca, senza entrare in dettagli operativi, le categorie delle informazioni esfiltrate e presenti all’interno dell’archivio.
La scelta di non mostrare il contenuto è strategica perché ha impostato il blocco “Hidden Content”, il quale obbliga chi è interessato ad interagire. Più risposte avrà da queste interazioni, più avrà visibilità e credito all’interno del circuito underground. Più visibilità, vuol dire più valore percepito del leak ed è una dinamica che chi frequenta questi ambienti riconosce subito.
Curioso il fatto che il leak non sia ancora stato valutato dalla community e non ha nessun rating e nessun feedback. Una zona grigia, dove tutto è possibile: dal colpo reale alla pura operazione di marketing criminale.
Come riportato, il leak non è in vendita e non c’è alcuna richiesta esplicita di denaro, almeno nella porzione visibile, ma questo non significa che il dato sia gratuito. In molti casi, thread come questo rappresentano la fase iniziale, ovvero una vetrina per far accedere ad un sample che riporti la veridicità dei dati trafugati. Il vero scambio dell’intero dataset potrebbe avvenire in privato, tramite messaggi diretti o canali alternativi.
Il profilo dell’utente non offre degli elementi solidi per una la valutazione del threat actors. Pochi post e una attività limitata, infatti non si tratta di un nome affermato all’interno del forum underground e questo potrebbe cambiare tutto.
Nel mondo dei leak, la reputazione è moneta suonante. Senza questa reputazione, ogni dichiarazione resta sospesa e da verificare. Potrebbe essere reale, ma potrebbe anche essere uno Scam, una prova di ingresso oppure, banalmente una mossa per farsi notare e l’assenza di feedback da parte della community rafforza questo dubbio.
Se il leak fosse autentico, le implicazioni potrebbero essere serie per la scuola italiana. Non tanto per il volume dei dati, quanto per il suo specifico contesto. Un ambiente scolastico implica una superficie di rischio diversa, molto più delicata di una azienda. La diffusione di informazioni potrebbe generare effetti a catena come tentativi di frode, campagne di phishing mirate, abusi difficili da tracciare. Ma c’è un altro effetto ancora più importante che si verifica quando al centro della diffusione dei dati personali ci sono i più piccoli: la persistenza del dato e una volta fuori, è fuori per sempre.
Perché episodi del genere continuano a emergere con una frequenza che non può più essere eccezionale? Forse il problema non è solo di chi attacca, ma a nostro avviso a chi continua a sottovalutare le implicazioni della sicurezza informatica.
