LockBit ruba 514 GB di dati all’Università di Siena, mentre l’ateneo adotta contromisure idonee, denunciando l’evento alle autorità e cercando di ristabilire le comunicazioni interne.
Data breach all’Università di Siena
Lo scorso 6 maggio, l’Università di Siena, in un comunicato stampa pubblicato sul proprio blog, aveva annunciato di aver subito un attacco informatico da parte di un gruppo di malintenzionati che aveva messo in tilt la rete dell’Ateneo. In questo modo l’Università ha dimostrato etica e trasparenza fin dalle fasi iniziali dell’attacco.
L’Università di Siena, per far fronte al problema, ha poi comunicato l’episodio all’Agenzia per la cybersicurezza nazionale e denunciato il fatto alla polizia postale e al Garante per la Protezione dei Dati Personali.
Al momento il sito Internet dell’Ateneo risulta accessibile, però la comunicazione interna continua ad essere compromessa.
Per approfondire > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio
Il post sul Data Leak Site (DLS)
Sul Data Leak Site (DLS) è stato pubblicato un post che riporta un countdown, com’è possibile vedere dall’immagine sottostante (aggiornata al 18 maggio 2024). Una tattica, questa, già osservata durante il data breach ai danni di Synlab Italia, che aveva confermato di non aver pagato nessun tipo di riscatto all’organizzazione criminale.
La pubblicazione di un avviso sul data leak site consente a LockBit di aumentare la pressione esercitata nei confronti dell’organizzazione: se le aziende non vogliono pagare per la cifratura dei dati, la cyber gang minaccia l’esposizione dei dati.
Pubblicati anche i samples dei dati rubati all’Università di Siena
All’Ateneo sono stati rubati 514 gigabyte di file. Tra questi:
- documenti con i bilanci;
- documenti approvati dal Consiglio di Amministrazione per il finanziamento di progetti e gare d’appalto 2022–2026;
- documenti con lavori straordinari di costruzioni, nomina dell’appaltatore e assegnazione di un budget di 1,7k euro;
- documento di non divulgazione per WineCraft 2024;
- contratto di progettazione di gara 2023 (budget di contratto);
- documento: piano di investimento dell’appaltatore 2022 (spese, affitti, piano finanziario generale);
Il ransomware Lockbit in breve
LockBit è un gruppo criminale ormai noto in Italia, di cui abbiamo già parlato più volte. E’ una tra le cyber gang più longeve in assoluto. Ha cominciato ad operare nel 2019 con il nome di ABCD per poi cambiarlo in Lockbit. In seguito è stato rinominato in LockBit 2.0 e infine, a giugno 2021, è stata introdotta la piattaforma Lockbit 3.0.
Il gruppo criminale adotta il modello ransomware-as-a-service (Raas). Si tratta di un ransomware progettato per bloccare l’accesso delle infrastrutture informatiche in cambio di un riscatto. Lockbit ha lasciato il segno in tutto il mondo attaccando organizzazioni di ogni tipo.
L’operazione Cronos 1 riuscì a compromettere il Data Leak Site di LockBit tramite una falla PHP nel backend, rivelando pseudonimi degli affiliati. Sebbene il DLS fu ripristinato poche ore dopo con un comunicato di LockBitSupp, le forze dell’ordine sequestrarono nuovamente le infrastrutture IT della gang nell’operazione Cronos 2. Promisero di rivelare l’identità di LockBitSupp e offrirono una taglia di 10 milioni di dollari per informazioni sul leader della gang.
Per approfondire > Ransomware Lockbit down: task force internazionale mette fine alle operazioni
Per approfondire > Lockbit it’s back: ripristinati i server dopo l’irruzione delle forze dell’ordine. L’operazione ransomware è di nuovo attiva
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup: è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
- Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
- Scegli una solida soluzione antivirus e mantienila sempre aggiornata: sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
- Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
- Evita di scaricare file o cliccare su link contenuti nelle email: spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
- Forma i dipendenti, i collaboratori e chiunque acceda alla rete: come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
- Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello). Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile. Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
- Adotta un SOC – Security Operation Center: un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come