Attacco hacker Regione Lazio: il ransomware utilizzato potrebbe essere LockBit 2.0

Attacco hacker Regione Lazio: il ransomware utilizzato potrebbe essere LockBit 2.0

Nella mattinata di domenica, la Regione Lazio ha subito un attacco ransomware che ha crittografato ogni file nel suo data center e ha interrotto la sua rete informatica. Adesso emerge qualche dettaglio in più sul ransomware che sembra sia stato usato per perpetrare l'attacco

di pubblicata il , alle 11:52 nel canale Sicurezza
 

La Regione Lazio ha subito un attacco ransomware che ha disabilitato i sistemi informatici e, in maniera che desta non poche preoccupazioni, il portale di registrazione per le vaccinazioni COVID-19. L’attacco ha bloccato quasi tutti i file del centro elaborazione dati, ma la campagna vaccinale prosegue regolarmente per tutti coloro che si sono prenotati, ha rassicurato il Presidente della Regione Lazio Nicola Zingaretti con un post su Facebook.

Normalmente chi realizza gli attacchi ransomware ha l'obiettivo di rubare dati personali o di tenerli in ostaggio per richiedere un riscatto. Se non si paga non si ha modo di decrittografare i file. Nonostante questo, la Regione Lazio ha subito rilasciato comunicazioni rassicuranti che sostengono che nessun dato sensibile è andato perduto, come i dati sanitari e finanziari. Inoltre, la regione precisa che non ci sono state interruzioni agli appuntamenti esistenti per le vaccinazioni e che il sistema di registrazione online dovrebbe tornare online tra pochi giorni.

RansomEXX o LockBit 2.0?

Secondo quanto ha appreso l'affidabile sito sulla sicurezza informatica BleepingComputer, l'attacco informatico al Lazio è collegato a un gruppo di criminali informatici noto come RansomEXX. Si afferma che, insieme alla richiesta di riscatto, gli hacker hanno incluso un collegamento a una pagina privata del Dark Web che può essere utilizzata per negoziare con gli autori dell'attacco.

Regione Lazio Hacker

Dalla richiesta non si evincono gli autori dell'attacco, ma l'URL Tor utilizzato è conosciuto nell'ambiente per raccogliere le operazioni realizzate attraverso il ransomware RansomEXX. Tuttavia, le informazioni divulgate da BleepingComputer non trovano corrispondenza con quanto afferma JAMESWT, un esperto di malware indipendente che su Twitter ha scritto "In Italia abbiamo prove che sia stato usato LockBit 2.0. 'Qualcuno vuole fuorviare'", senza fornire ulteriori dettagli. Qualora JAMESWT volesse contattarci, siamo ovviamente disposti ad aggiornare questo articolo.

Lockbit 2.0 è uno dei virus informatici più pericolosi sviluppati dagli hacker, più avanzato rispetto al sistema indicato da BleepingComputer. Se JAMESWT avesse ragione, in altri termini, l'attacco alla Regione Lazio sarebbe molto più sofisticato rispetto a quanto preventivato in un primo momento. Questo virus opera la crittografia dei file, bloccandoli fino a quando non viene pagato un riscatto in Bitcoin. Durante il processo di blocco, Lockbit 2.0 rinomina i file con l’estensione “.Lockbit”. Normalmente, Lockbit 2.0 infetta i computer servendosi di un'email di spam che assomiglia alle e-mail di Amazon, eBay, banche o compagnie assicurative. Basta aprire le e-mail perché il malware venga scaricato ed eseguito. Al tempo stesso, l'e-mail non è l'unico veicolo per infettare un computer, perché Lockbit 2.0 si può nascondere in strumenti di attivazione del software illegali o canali di download non attendibili.

Una volta che il ransomware ottiene l'accesso alla rete è in grado di diffondersi fra tutte le risorse di rete e crittografare i file per portare avanti il suo tentativo di estorsione. Per farlo deve ottenere l'accesso al controller di dominio di Windows e in questo modo può crittografare i file di tutti i dispositivi collegati alla rete.

Non tutti i meandri di questa faccenda sono stati ancora definiti, ma quel che è certo è che si tratta di un attacco più sofisticato di quanto si potesse pensare in un primo momento. Gli indizi finora divulgati non portano ad alcun tipo di evidenza di un attacco di stampo terroristico, piuttosto a un classico attacco criminale effettuato a scopo di estorsione. Attacchi di tipo ransomware di questo tipo hanno già colpito importanti istituzioni come la rete governativa brasiliana, il Dipartimento dei trasporti del Texas (TxDOT), Konica Minolta, IPG Photonics e la società pubblica di telecomunicazioni in Ecuador.

61 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium04 Agosto 2021, 12:05 #1
Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?
aqua8404 Agosto 2021, 12:10 #2
BitLocker??? Siete sicuri sicuri??....
demonsmaycry8404 Agosto 2021, 12:12 #3
emh si insomma la formazione del personale è sempre la difesa TOP .....troppi fastidi ed incredibile che non ci siano delle repliche delle macchine spente
gabriweb04 Agosto 2021, 12:27 #4
Originariamente inviato da: Opteranium
Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?


Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!
DarIOTheOriginal04 Agosto 2021, 12:30 #5
LockBit e Bitlocker sono due cose molto diverse, se non altro perchè il secondo è di MicroSoft!
no_side_fx04 Agosto 2021, 12:37 #6
Originariamente inviato da: demonsmaycry84
emh si insomma la formazione del personale è sempre la difesa TOP .....troppi fastidi ed incredibile che non ci siano delle repliche delle macchine spente


ahaha sarà stato il classico impiegato quasi prossimo alla pensione che è già tanto che ha imparato ad accendere il pc e
si è fatto fregare dalla solita email di phishing e collegato in vpn da casa ha sventrato tutti i sistemi della regione senza manco essersi reso conto
chi gestisce l'it li dentro non ha neanche mezzo backup
e adesso per mascherare l'incompetenza lo chiamano pure "attacco terroristico" davanti ai giornalisti
pagliacci
igiolo04 Agosto 2021, 13:40 #7
Originariamente inviato da: gabriweb
Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!


+1
e ci infilo anche la moria di account office365, sendgrid e google che ultimamente vengono rubati, e usati per spammare e distribuire malware.
tra i nostri fornitori abituali, 4 sono stati bucati, l'unica cosa che li accomuna era una mail di spam 1-2 gg prima che avevano soltanto "aperto", inteso come letta insomma
qualche codice html nel body? Js? che rubano le credenziali SSO?
sarebbe terribile.
zappy04 Agosto 2021, 13:57 #8
Originariamente inviato da: gabriweb
Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

anche a me sembra una cazzata. Sarebbe il caso di scrivere articoli sulla base di info un po' più tecniche.
fabioss8704 Agosto 2021, 14:04 #9
Originariamente inviato da: Opteranium
Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?


Non ci sono ulteriori informazioni al riguardo , se, si sia infettato il pc del dirigente fuori sede o abbiano infettato il pc in sede.
Nel primo caso sicuramente non hanno segmentato la rete, nel secondo caso non ci sono vie di fuga , sfruttano qualche falla per infettare il dominio, supponendo che tutte le policy siano configurate . In questo caso credo sia stato fatto durante il weekend, quando gli amministratori sono fuori sede.
igiolo04 Agosto 2021, 14:13 #10
Originariamente inviato da: zappy
anche a me sembra una cazzata. Sarebbe il caso di scrivere articoli sulla base di info un po' più tecniche.


considera che Libraesva, un noto antispam, ha inserito il disarm di eventuale codice html nei COMMENTI del codice html delle mail stesse, così come gli iframe, i tags ecc
passa codice malvevolo anche da li
quindi si, tecnicamente una mail, magari con client di posta vecchi, basta solo leggerla senza cliccare o aprire nulla.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^