SONO PASSATI TRE ANNI E LA GUERRA NON E’ STATA VINTA:

VEDIAMO SU VIRGILIO NOTIZIE LE SCONFITTE DI OGGI.

 

Gli hacker attaccano la sanità Italiana: la risposta della Polizia

Da inizio pandemia +246% di attacchi informatici e +64% di frodi informatiche, scoperto un hacker tarantino che con un virus rubava account bancari a migliaia di vittime.

13 Febbraio 2021 3

Che il 2020 fosse stato un anno difficile per gli esperti italiani di cybersicurezza lo si era intuito già da tempo. Che gli hacker abbiano provato a sfruttare per mesi, e provino tuttora a farlo, la pandemia di Covid-19 per sferrare attacchi a tutti i livelli era altrettanto chiaro. Ora, però, arriva la conferma da parte della Polizia Postale.

Per la precisione da un lungo comunicato stampa del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) della Polizia Postale e delle Comunicazioni, che nei mesi scorsi ha dovuto tenere testa a un forte aumento degli attacchi hacker nel nostro Paese, aggredito sia nel settore pubblico che in quello privato. In questo quadro è nata ed è stata portata a termine l’operazione “Glaaki“, che ha permesso di scoprire e denunciare un hacker tarantino di 45 anni, creatore di un virus scritto ad hoc per spiare le vittime. Ma l’hacker tarantino, in realtà, è solo la punta di un iceberg ben più grande.

Gli hacker attaccano la sanità

Secondo la Polizia Postale con la pandemia gli attacchi informatici sono cresciuti del 246%, mentre le frodi telematiche del 64%: “L’emergenza covid-19 ha offerto ai gruppi cyber-criminali un’ulteriore occasione per strutturare e dirigere attacchi ad ampio spettro, volti a sfruttare per scopi illeciti la situazione di particolare esposizione e maggior vulnerabilità in cui il paese è risultato, e tuttora risulta, esposto“.

Il CNAIPIC rivela anche quali tipi di attacchi sono stati sferrati dagli hacker e verso quali vittime. Tra di esse ci sono state “Alcune delle più rilevanti infrastrutture sanitarie (Enti governativi, ospedali, istituti di ricerca), impegnate nel trattamento dei pazienti covid“.

Nei confronti di queste strutture sanitarie sono state lanciate campagne cyber-estorsione tramite ransomware, finalizzate a criptare tutti i dati dei computer di queste strutture per impedirne il lavoro e per chiedere un riscatto economico.

Ma non solo: sono stati rilevati tentativi di furto di informazioni riservate riguardanti “lo stato di avanzamento della pandemia e l’elaborazione di misure di contrasto, specie con riguardo all’approntamento di vaccini e terapie anti-Covid“.

Ancor più preoccupanti sono state le frodi informatiche, “anche milionarie, nell’approvvigionamento di dispositivi sanitari“, perpetrate sia sul Dark Web che su siti accessibili da tutti.

Infine, non sono mancate le campagne di phishing ai danni di imprese e semplici cittadini, veicolate tramite messaggi di posta elettronica mascherati da email inviate dai Ministeri o da enti sanitari e che, in realtà, nascondevano virus in grado di rubare i dati personali degli utenti.

Operazione Glaaki: denunciato hacker a Taranto

In questo contesto si è svolta l’operazione Glaaki, iniziata proprio all’inizio della pandemia nel febbraio 2020, che ha portato alla denuncia di un informatico quarantacinquenne di Taranto accusato di due reati: “detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici” (art. 615 quater c.p.) e “diffusione di programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico” (art.615 quinquies c.p.).

Secondo quanto ricostruito dalla Polizia Postale, che ha trovato anche diverse prove delle due ipotesi di reato nel corso di una perquisizione a casa dell’indagato, l’hacker tarantino aveva messo in piedi una campagna di phishing proprio mentre l’Italia piombava nell’incubo Covid.

Le email inviate a migliaia di utenti erano messaggi in cui l’hacker, con la scusa di fornire aggiornamenti sullo stato di avanzamento della pandemia, convinceva le vittime a scaricare un file allegato contente un malware.

Il virus in questione era un “keylogger“, uno strumento di spionaggio in grado di spiare il comportamento della vittima e di registrare quanto veniva scritto sulla tastiera. Compresi nome utente e password di tutti gli account delle vittime, tra i quali ovviamente anche gli account delle banche online.

Durante la perquisizione gli agenti di Polizia hanno trovato e sequestrato una “ingente quantità di materiale informatico a riscontro dell’attività investigativa svolta dal centro e che sarà oggetto di successiva analisi forense da parte degli specialisti del Centro“.

TAG:

Leggi anche

  • Cos’è l’attacco della Cameriera Cattiva che ha colpito Leonardo SpA
  • Leonardo Spa è stata vittima di un attacco hacker di tipo diretto, chiamato in gergo “della cameriera cattiva”, ecco di cosa si tratta e perché si dice così
  • 4
  • Sta facendo scalpore la notizia dell’attacco hacker grazie al quale due dipendenti infedeli sono riusciti a sottrarre oltre 10 GB di dati segreti a Leonardo Spa (ex Finmeccanica Spa), azienda che ha come maggior azionista il Ministero dell’economia e delle finanze. Il motivo di tanto scalpore è semplice: Leonardo Spa si occupa di elettronica, sicurezza (civile e militare), aeronautica e tecnologia aerospaziale.
  • La punta di diamante del Tech italiano, quindi, è stata colpita proprio nel suo “core business” e in molti si chiedono come possa Leonardo sviluppare tecnologie di sicurezza per l’Italia se non riesce neanche a difendere sé stessa. La questione, però, è ben più complessa di così perché Leonardo Spa è stata colpita da un attacco informatico diverso dai soliti: un attacco informatico “diretto“. Per la precisione, come dicono gli esperti del settore, un attacco “Evil Maid“, cioè della “cameriera cattiva“, mentre la maggior parte degli attacchi hacker tradizionali sono di tipo “indiretto“.
  • Attacco hacker indiretto: come funziona
  • La stragrande maggioranza degli attacchi hacker che avvengono ogni giorno sono di tipo indiretto. Prevedono, cioè, che l’attaccante non abbia accesso fisico al dispositivo da attaccare. Per questo l’attacco parte dall’esterno e il malware usato per portarlo a termine viene infiltrato nel cellulare o nel computer della vittima quasi sempre tramite una email di phishing.
  • PUBBLICITÀ
  • Cioè una finta email alla quale la vittima abbocca, scaricando un file infetto o facendo click su un link in essa contenuto e che porta verso un sito Web pericoloso, fatto ad arte per diffondere virus. Un altro metodo, altrettanto diffuso, per veicolare un virus informatico è quello di inserirlo in una app che viene poi scaricata dall’utente.
  • La grandissima parte degli attacchi hacker che vi raccontiamo tutti i giorni ha una dinamica simile a queste e quasi tutti i virus vengono diffusi in questo modo: Egregor, Emotet, Ghimob, Alien, Cerberus, Pallax, Ave Maria sono tutti esempi recenti di infezioni malware con questa dinamica.
  • Attacco hacker diretto: come funziona
  • Un attacco hacker diretto, a differenza di quello indiretto, prevede che l’attaccante abbia accesso fisico alla macchina da infettare. E’ proprio quello che è successo a Leonardo Spa, secondo la ricostruzione della Polizia Postale: “Il responsabile di questo attacco è stato un addetto alla gestione della sicurezza informatica della stessa Leonardo Spa che è stato arrestato. Il software da lui creato, era stato inserito mediante chiavette Usb nei pc spiati, in grado così di avviarsi automaticamente ad ogni esecuzione del sistema operativo. Risultava dunque possibile all’hacker intercettare quanto digitato sulla tastiera delle postazioni infettate e catturare i fotogrammi di ciò che risultava visualizzato sugli schermi“.
  • In casi del genere non serve far partire da fuori l’attacco: il cavallo di legno è già dentro le mura di Troia. Nessun dipendente di Leonardo, quindi, sembra abbia avuto comportamenti poco prudenti, nessun allegato è stato scaricato, nessun link è stato cliccato.
  • Perché si chiama attacco hacker della cameriera cattiva
  • Detto tutto ciò, da dove proviene l’espressione “attacco hacker della cameriera cattiva” (Evil Maid)? L’espressione Evil Maid in relazione ad un attacco hacker di tipo diretto è stata inventata dalla ricercatrice informatica polacca Joanna Rutkowska, nel lontano 2009.
  • La cameriera cattiva è una immagine utile a illustrare uno dei possibili scenari di realizzazione di un attacco hacker diretto: la vittima è in hotel con il suo laptop e lo lascia per quale minuto incustodito in stanza, magari mentre è andato a fare colazione.
  • Una finta addetta alle pulizie entra in stanza e ha accesso fisico al computer, potendolo quindi infettare tramite una chiavetta USB o altri mezzi studiati per lo scopo. La vittima non si accorgerà di nulla e l’unico suo errore sarà stato quello di aver lasciato incustodito il computer.
  • Nel caso di Leonardo Spa, invece, non c’è stato neanche questo errore: l’attacco è arrivato dall’interno e la “cameriera cattiva” era, sempre che la ricostruzione della Polizia Postale verrà confermata a processo, un dipendente dell’azienda. Per di più del settore sicurezza.
  • Virus Egregor: l’allarme dell’FBI
  • L’FBI lancia l’allarme e offre consigli per difendersi dagli attacchi hacker dell’Egregor Team, ma dietro il messaggio c’è un film in cui i federali sono solo comparse.
  • 8 Gennaio 2021 5
  • La minaccia Egregor è fuori controllo: il malware che buca le reti aziendali, cripta i dati dei computer attaccati e poi chiede un riscatto alle aziende ha già fatto oltre 150 vittime in tutto il mondo da quando ha iniziato a circolare a settembre 2020. A lanciare l’allarme è l’FBI, in una nota inviata alle compagnie private americane.
  • L’FBI ricorda alle aziende che tra le vittime ci sono anche grandi nomi dell’economia mondiale, come Ubisoft, Kmart, Randstad, Barnes and Noble, Cencosud, Crytek e TransLink, compagnia che gestisce la metropolitana di Vancouver in Canada. Tuttavia il servizio di sicurezza interna statunitense sconsiglia alle aziende colpite di pagare il riscatto richiesto dagli hacker, invitandole invece a segnalare gli attacchi alle autorità. Anche pagando, infatti, non è detto che si ritorni in possesso dei dati crittografati. Poi il messaggio alle società private che assistono le vittime di questi attacchi: aiutare chi ha subito una infezione da ransomware potrebbe violare la legge statunitense. Dietro questa nota, per chi non lo avesse capito, c’è una sottile guerra di nervi.
  • Che succede dietro Egregor
  • Per capire la nota inviata dall’FBI bisogna ripescare il famoso comunicato stampa di Egregor, quello dell’altrettanto famoso “contratto“. Con quel messaggio il Team Egregor, che sviluppa il virus e coordina gli attacchi, ribadiva che chi paga riottiene i dati e chi afferma il contrario mente.
  • L’FBI sa benissimo che qualcuna delle vittime ha già pagato e sta cercando di scoraggiare gli altri dal farlo. I federali sanno anche che ci sono “consulenti” che aiutano le aziende colpite a trovare i bitcoin necessari a pagare il riscatto e a farli arrivare nei wallet degli hacker.
  • Cybercrime Spa è un fenomeno con tanti attori e tanti ruoli, ma l’FBI al momento non è tra gli attori protagonisti.
  • Egregor: i consigli dell’FBI
  • Secondo l’FBI bisogna prevenire e non curare: fare il backup regolare dei dati critici, istallare e aggiornare regolarmente gli antivirus, usare solo connessioni di rete sicure ed evitare il Wi-Fi pubblico, usare l’autenticazione a due fattori ed evitare di fare click su link o aprire allegati presenti nelle email sospette.
  • Consigli classici, che sembrano quasi una presa in giro dopo che i centri del potere politico americano sono stati clamorosamente bucati dagli hacker russi nelle scorse settimane.
  • Il virus Egregor terrorizza gli utenti con le stampanti
  • Attacco hacker da film horror in una catena di supermercati del Sud America: gli hacker terrorizzano clienti e commessi dei punti vendita.
  • 19 Novembre 2020 6
  • Dopo il ricatto, anche il terrore: è questa la strategia che stanno adottando i gruppi hacker per convincere le vittime degli attacchi ransomware a pagare il riscatto. Una strategia che sembra uscita da un film horror degli anni novanta, quelli in cui l’entità sovrannaturale malefica di turno prendeva il controllo degli elettrodomestici. E l’entità in questione si chiama “Egregor“.
  • Sta succedendo in Cile, dove la multinazionale del commercio al dettaglio Cencosud è stata presa di mira dai cybercriminali. Cencosud è un gigante che possiede oltre 600 supermerkati e oltre 50 sportelli bancari in tutto il Sud America ed è proprio all’interno dei suoi store che il malware Egregor sta seminando il terrore per costringere i manager del gruppo a pagare un riscatto la cui cifra non è stata resa nota.
  • Cosa sta succedendo negli store Cencosud
  • Gli hacker hanno attaccato Cencosud la settimana scorsa, infiltrando nei suoi sistemi informatici il virus Egregor. Cioè un ransomware dal funzionamento abbastanza tipico: entra, cripta tutto, sottrae dati riservati e poi chiede un riscatto per sbloccare server e computer.
  • L’ultimatum, di appena 3 giorni, è scaduto il 15 novembre e gli hacker hanno iniziato la fase due, quella del terrorismo psicologico negli store: dalle stampanti degli scontrini hanno fatto uscire chilometri di carta con sopra stampato il messaggio di ricatto originale: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.
  • In centinaia di negozi, quindi, il personale ha visto le stampanti impazzire davanti ai propri occhi dopo che praticamente tutti i sistemi elettronici di pagamento e i software gestionali erano già andati in tilt, bloccati dal reparto IT per evitare l’espandersi dell’infezione.
  • Come funziona il ransomware Egregor
  • Egregor è “ransomware-as-a-service“, cioè una sorta di virus informatico distribuito in abbonamento, sotto forma di una specie di kit pronto all’uso. Basta pagare per usarlo. E’ stato avvistato la prima volta a metà settembre quasi in contemporanea alla chiusura del gruppo hacker Maze. Secondo quanto riferito da alcune fonti riservate a Bleeping Computer dietro Egregor ci sarebbero diversi fuoriusciti di Maze.
  • Una volta entrato in una rete aziendale Egregor riesce a crittografare tutti i dati presenti su computer e dispositivi connessi. Come ha dimostrato con le stampanti degli scontrini, Egregor è assolutamente in grado di prendere il controllo di ciò che è connesso alla rete che ha infettato.
  • Nonostante sia un malware molto “giovane“, Egregor ha già alle spalle una “onorata carriera“: in poche settimane ha mandato KO le reti di colossi come Crytek, Ubisoft e Barnes and Noble.
  • Egregor: il virus delle stampanti attacca la Metro di Vancouver
  • Prima hanno attaccato il gigante sudamericano dei supermercati Cencosud, poi hanno reso pubblico il loro minaccioso “contratto”, ora gli hacker del Team Egregor hanno infettato con il loro ransomware TransLink.
  • 4 Dicembre 2020 4
  • L’Egregor Team ci ha preso gusto: dopo il gigante sudamericano della grande distribuzione Cencosud ora gli hacker si sono spostati in Canada, dove hanno attaccato e infettato la rete di TransLink, azienda che grstisce la metropolitana di Vancouver.
  • Il meccanismo di questo gruppo di cybercriminali è sempre lo stesso: l’infezione del malware parte da una email di phishing alla quale un dipendente abbocca, poi c’è il ricatto con richiesta di riscatto. O, come lo chiamano loro, il “contratto“: i dati dell’azienda vengono copiati su un server remoto e poi criptati sui server locali dell’azienda che, per potervi accedere nuovamente, deve pagare un riscatto milionario. TransLink non ha comunicato né a quanto ammonta il riscatto, né quali dati sono stati rubati. Ma la gravità dell’attacco è confermata da due sintomi già visti nel recentissimo passato: i sistemi elettronici di pagamento (in questo caso dei biglietti della metro) sono stati bloccati per sicurezza e le stampanti degli uffici hanno iniziato a stampare l’ormai famoso messaggio del ransomware Egregor.
  • Il messaggio di Egregor
  • Jordan Armstrong, giornalista dell’emittente televisiva canadese Global News, ha pubblicato su Twitter lo stampato che contiene il messaggio con richiesta di riscattoda parte del ransomware. Un messaggio identico, parola per parola, a quello inviato alle stampanti di Cencosud: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.
  • Segue la minaccia di pubblicare i dati se la vittima non si mette in contatto con gli hacker e persino un breve “hot to” per farlo: TransLink deve scaricare il browser Tor e connettersi al sito Web ufficiale dell’Egregor Team per ricevere ulteriori comunicazioni.
  • TransLink non vuole pagare
  • TransLink non ha rivelato a quanto ammonta la richiesta di riscatto, ma il Team Egregor non si muove per meno di una cifra a sei zeri. Spesso il riscatto supera i 10 milioni di dollari. E, non pagandolo, TransLink ha già pagato in altro modo con danni economici ingenti: solo nelle ultime ore i sistemi di pagamento elettronici sono stati sbloccati, mentre non è ancora noto se e dove i cybercriminali abbiano diffuso le prime informazioni rubate.
  • Il contratto di Egregor
  • Il Team Egregor è un gruppo di hacker con ottime capacità tecniche, ma anche comunicative. Sembra infatti avere un vero e proprio “ufficio stampa“, tanto che il 30 novembre ha pubblicato un vero e proprio comunicato stampa nel quale mette nero su bianco quello che chiama “il contratto“.
  • Secondo questo contratto, a dir poco unilaterale, la vittima ha tre giorni di tempo per contattare il Team con il metodo già descritto. Se non lo fa gli hacker procedono a pubblicare i primi dati rubati: tra l’1% e il 2%. Se alla fine la vittima non accetta il contratto (cioè se non paga il riscatto milionario) tutti i dati vengono venduti al miglior offerente.
  • Tra i dati di TransLink potrebbe esserci di tutto, compresi i dati degli abbonati e quelli delle carte di pagamento da loro usate.
  • Il virus Egregor terrorizza gli utenti con le stampanti
  • Attacco hacker da film horror in una catena di supermercati del Sud America: gli hacker terrorizzano clienti e commessi dei punti vendita.
  • 19 Novembre 2020 6
  • Dopo il ricatto, anche il terrore: è questa la strategia che stanno adottando i gruppi hacker per convincere le vittime degli attacchi ransomware a pagare il riscatto. Una strategia che sembra uscita da un film horror degli anni novanta, quelli in cui l’entità sovrannaturale malefica di turno prendeva il controllo degli elettrodomestici. E l’entità in questione si chiama “Egregor“.
  • Sta succedendo in Cile, dove la multinazionale del commercio al dettaglio Cencosud è stata presa di mira dai cybercriminali. Cencosud è un gigante che possiede oltre 600 supermerkati e oltre 50 sportelli bancari in tutto il Sud America ed è proprio all’interno dei suoi store che il malware Egregor sta seminando il terrore per costringere i manager del gruppo a pagare un riscatto la cui cifra non è stata resa nota.
  • Cosa sta succedendo negli store Cencosud
  • Gli hacker hanno attaccato Cencosud la settimana scorsa, infiltrando nei suoi sistemi informatici il virus Egregor. Cioè un ransomware dal funzionamento abbastanza tipico: entra, cripta tutto, sottrae dati riservati e poi chiede un riscatto per sbloccare server e computer.
  • L’ultimatum, di appena 3 giorni, è scaduto il 15 novembre e gli hacker hanno iniziato la fase due, quella del terrorismo psicologico negli store: dalle stampanti degli scontrini hanno fatto uscire chilometri di carta con sopra stampato il messaggio di ricatto originale: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.
  • In centinaia di negozi, quindi, il personale ha visto le stampanti impazzire davanti ai propri occhi dopo che praticamente tutti i sistemi elettronici di pagamento e i software gestionali erano già andati in tilt, bloccati dal reparto IT per evitare l’espandersi dell’infezione.
  • Come funziona il ransomware Egregor
  • Egregor è “ransomware-as-a-service“, cioè una sorta di virus informatico distribuito in abbonamento, sotto forma di una specie di kit pronto all’uso. Basta pagare per usarlo. E’ stato avvistato la prima volta a metà settembre quasi in contemporanea alla chiusura del gruppo hacker Maze. Secondo quanto riferito da alcune fonti riservate a Bleeping Computer dietro Egregor ci sarebbero diversi fuoriusciti di Maze.
  • Una volta entrato in una rete aziendale Egregor riesce a crittografare tutti i dati presenti su computer e dispositivi connessi. Come ha dimostrato con le stampanti degli scontrini, Egregor è assolutamente in grado di prendere il controllo di ciò che è connesso alla rete che ha infettato.
  • Nonostante sia un malware molto “giovane“, Egregor ha già alle spalle una “onorata carriera“: in poche settimane ha mandato KO le reti di colossi come Crytek, Ubisoft e Barnes and Noble.
  • Egregor: il virus delle stampanti attacca la Metro di Vancouver
  • Prima hanno attaccato il gigante sudamericano dei supermercati Cencosud, poi hanno reso pubblico il loro minaccioso “contratto”, ora gli hacker del Team Egregor hanno infettato con il loro ransomware TransLink.
  • 4 Dicembre 2020 4
  • L’Egregor Team ci ha preso gusto: dopo il gigante sudamericano della grande distribuzione Cencosud ora gli hacker si sono spostati in Canada, dove hanno attaccato e infettato la rete di TransLink, azienda che grstisce la metropolitana di Vancouver.
  • Il meccanismo di questo gruppo di cybercriminali è sempre lo stesso: l’infezione del malware parte da una email di phishing alla quale un dipendente abbocca, poi c’è il ricatto con richiesta di riscatto. O, come lo chiamano loro, il “contratto“: i dati dell’azienda vengono copiati su un server remoto e poi criptati sui server locali dell’azienda che, per potervi accedere nuovamente, deve pagare un riscatto milionario. TransLink non ha comunicato né a quanto ammonta il riscatto, né quali dati sono stati rubati. Ma la gravità dell’attacco è confermata da due sintomi già visti nel recentissimo passato: i sistemi elettronici di pagamento (in questo caso dei biglietti della metro) sono stati bloccati per sicurezza e le stampanti degli uffici hanno iniziato a stampare l’ormai famoso messaggio del ransomware Egregor.
  • Il messaggio di Egregor
  • Jordan Armstrong, giornalista dell’emittente televisiva canadese Global News, ha pubblicato su Twitter lo stampato che contiene il messaggio con richiesta di riscattoda parte del ransomware. Un messaggio identico, parola per parola, a quello inviato alle stampanti di Cencosud: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.
  • Segue la minaccia di pubblicare i dati se la vittima non si mette in contatto con gli hacker e persino un breve “hot to” per farlo: TransLink deve scaricare il browser Tor e connettersi al sito Web ufficiale dell’Egregor Team per ricevere ulteriori comunicazioni.
  • TransLink non vuole pagare
  • TransLink non ha rivelato a quanto ammonta la richiesta di riscatto, ma il Team Egregor non si muove per meno di una cifra a sei zeri. Spesso il riscatto supera i 10 milioni di dollari. E, non pagandolo, TransLink ha già pagato in altro modo con danni economici ingenti: solo nelle ultime ore i sistemi di pagamento elettronici sono stati sbloccati, mentre non è ancora noto se e dove i cybercriminali abbiano diffuso le prime informazioni rubate.
  • Il contratto di Egregor
  • Il Team Egregor è un gruppo di hacker con ottime capacità tecniche, ma anche comunicative. Sembra infatti avere un vero e proprio “ufficio stampa“, tanto che il 30 novembre ha pubblicato un vero e proprio comunicato stampa nel quale mette nero su bianco quello che chiama “il contratto“.
  • Secondo questo contratto, a dir poco unilaterale, la vittima ha tre giorni di tempo per contattare il Team con il metodo già descritto. Se non lo fa gli hacker procedono a pubblicare i primi dati rubati: tra l’1% e il 2%. Se alla fine la vittima non accetta il contratto (cioè se non paga il riscatto milionario) tutti i dati vengono venduti al miglior offerente.
  • Tra i dati di TransLink potrebbe esserci di tutto, compresi i dati degli abbonati e quelli delle carte di pagamento da loro usate.
  • Virus Egregor: l’allarme dell’FBI
  • L’FBI lancia l’allarme e offre consigli per difendersi dagli attacchi hacker dell’Egregor Team, ma dietro il messaggio c’è un film in cui i federali sono solo comparse.
  • 8 Gennaio 2021 5
  • La minaccia Egregor è fuori controllo: il malware che buca le reti aziendali, cripta i dati dei computer attaccati e poi chiede un riscatto alle aziende ha già fatto oltre 150 vittime in tutto il mondo da quando ha iniziato a circolare a settembre 2020. A lanciare l’allarme è l’FBI, in una nota inviata alle compagnie private americane.
  • L’FBI ricorda alle aziende che tra le vittime ci sono anche grandi nomi dell’economia mondiale, come Ubisoft, Kmart, Randstad, Barnes and Noble, Cencosud, Crytek e TransLink, compagnia che gestisce la metropolitana di Vancouver in Canada. Tuttavia il servizio di sicurezza interna statunitense sconsiglia alle aziende colpite di pagare il riscatto richiesto dagli hacker, invitandole invece a segnalare gli attacchi alle autorità. Anche pagando, infatti, non è detto che si ritorni in possesso dei dati crittografati. Poi il messaggio alle società private che assistono le vittime di questi attacchi: aiutare chi ha subito una infezione da ransomware potrebbe violare la legge statunitense. Dietro questa nota, per chi non lo avesse capito, c’è una sottile guerra di nervi.
  • Che succede dietro Egregor
  • Per capire la nota inviata dall’FBI bisogna ripescare il famoso comunicato stampa di Egregor, quello dell’altrettanto famoso “contratto“. Con quel messaggio il Team Egregor, che sviluppa il virus e coordina gli attacchi, ribadiva che chi paga riottiene i dati e chi afferma il contrario mente.
  • L’FBI sa benissimo che qualcuna delle vittime ha già pagato e sta cercando di scoraggiare gli altri dal farlo. I federali sanno anche che ci sono “consulenti” che aiutano le aziende colpite a trovare i bitcoin necessari a pagare il riscatto e a farli arrivare nei wallet degli hacker.
  • Cybercrime Spa è un fenomeno con tanti attori e tanti ruoli, ma l’FBI al momento non è tra gli attori protagonisti.
  • Egregor: i consigli dell’FBI
  • Secondo l’FBI bisogna prevenire e non curare: fare il backup regolare dei dati critici, istallare e aggiornare regolarmente gli antivirus, usare solo connessioni di rete sicure ed evitare il Wi-Fi pubblico, usare l’autenticazione a due fattori ed evitare di fare click su link o aprire allegati presenti nelle email sospette.
  • Consigli classici, che sembrano quasi una presa in giro dopo che i centri del potere politico americano sono stati clamorosamente bucati dagli hacker russi nelle scorse settimane.

l nuovo virus che ricatta la vittima e poi propone un contratto

Il gruppo di hacker che sta diffondendo il malware Egregor si muove sempre più come una azienda: ora spunta un contratto con precise clausole per salvare i propri dati.

2 Dicembre 2020 14

Egregor Team Press Release – November 30 2020“: non è un comunicato stampa di una ignota azienda americana, ma l’incipit dell’ultima comunicazione ufficiale dell’Egregor Team, cioè il gruppo di hacker che sta infettando i computer di mezzo mondo con il pericolosissimo virus Egregor. Un collettivo di cybercriminali che si muove sempre più come una azienda, tanto è vero che ormai parla apertamente di “contratti” stipulati con le proprie vittime, che chiama “clienti“.

Sembrerebbe una presa in giro, ma non lo è poi molto visto che Egregor è un malware di tipo ransomware. Cioè un virus che, una volta entrato in un dispositivo, cripta e copia tutti i dati che trova e poi chiede un riscatto alla vittima. In cambio dei soldi avrà indietro i suoi dati e, se il “cliente” paga, i dati privati non verranno rivelati in pubblico. Un riscatto più che un contratto, come il termine inglese “ransom” conferma. Eppure, come detto, l’Egregor Team si muove proprio come una azienda e ha reso pubblico questo contratto, affinché le prossime vittime sappiano già cosa devono fare se vogliono tornare in possesso dei propri dati e non vogliono che le proprie informazioni vengano divulgate in pubblico. Ecco cosa c’è scritto in questo contratto.

Il contratto di Egregor

L’Egregor Team, tramite la sua ultima comunicazione ufficiale, vuole sia spaventare che rassicurare le sue future vittime. Il “comunicato stampa” recita infatti: “Attenzione! Se hai stipulato un contratto con noi, tutte le conseguenze descritte in questo comunicato non ti toccheranno. Noi rispettiamo sempre i termini del contratto“. Una ditta seria, quindi, con la quale fare affari, “di noi ti puoi fidare“.

Poi nel “contratto” compaiono le clausole:

  • Prima che tu decida se avere un contratto con noi oppure no le tue informazioni non verranno pubblicate o rivelate in alcun modo
  • Nel caso tu non ci contatti entro tre giorni pubblicheremo l’1%-3% delle tue informazioni. La struttura dei tuoi file non verrà rivelata a terze parti
  • In caso di contratto con noi tutte le informazioni verranno cancellate, senza possibilità di recupero. Ti verrà fornito un report sull’eliminazione dei file.
  • Poi il Team ribadisce di aver sempre rispettato i patti e che, mediamente, le società di data recovery fanno pagare dal 10% al 50% in più del riscatto richiesto per decriptare i dati. Insomma: conviene pure!

I problemi, invece, arrivano se il “contratto” non viene stipulato. Cioè se non si paga il riscatto chiesto dall’Egregor Team.

Virus Egregor: che succede se non paghi

Veniamo alle note dolenti: se la vittima si rifiuta di pagare, che succede? Anche in questo caso l’Egregor Team ha una lista puntata, chiara ed esplicita:

  • I tuoi dati saranno caricati online e resi pubblici, oppure no in caso tu faccia un contratto con noi e paghi per i dati
  • La struttura dei tuoi file sarà mostrata a terze parti affinché possano scegliere cosa comprare, a meno che tu non faccia un contratto
  • I tuoi file saranno venduti e non ci importa cosa ne farà chi li ha comprati né dove verranno pubblicati
  • il team, infine, specifica che non rispondere alla richiesta di riscatto equivale a rifiutare il contratto. Con tutte le sue conseguenze.

Perché Egregor è pericoloso

Tutte queste parole sarebbero semplicemente una inutile manfrina, se non fosse che il virus Egregor è veramente pericoloso. Tecnicamente è un ransomware, cioè un virus che cripta i file e chiede soldi per decriptarli. Ma in realtà può fare molto di più.

A metà novembre Egregor è stato infiltrato nella rete del gigante sudamericano della grande distribuzione Cencosud, al quale è stato richiesto un riscatto del quale si sa però poco o nulla. Quello che è certo, però, è che Cencosud ha “rifiutato il contratto” e ha subito le conseguenze di questa decisione.

Dopo tre giorni dalla prima richiesta, infatti, è stata lanciata la prima ritorsione: dalle stampanti degli scontrini di centinaia di negozi hanno cominciato a uscire, a ripetizione, messaggi che ribadivano la richiesta di riscatto: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.

Una scena di sicuro non bella da vedere né per i dipendenti degli store né per i clienti. Decisamente un enorme danno di immagine, ma non solo: il reparto IT di Cencosud si è trovato costretto a bloccare e isolare tutta la rete interna, compresi i pagamenti elettronici, per tentare di arginare l’infezione virale di Egregor.

Se il contratto è “professionale“, quindi, il “prodotto” non è da meno.

In Florida un hacker ha provato ad avvelenare l’acquedotto pubblico

Accedendo da remoto un ignoto cybercriminale ha innalzato di 110 volte i livelli di soda caustica immessa nell’acqua potabile: semplice hacker o bioterrorista?

9 Febbraio 2021

Ha guadagnato l’accesso remoto al sistema idrico di Oldsmar, in Florida, con l’intento di alterare i livelli di soda caustica nelle riserve della città. È stato questo il tentativo criminale, fortunatamente sventato prontamente da un tecnico in servizio nell’impianto, di un hacker avvenuto lo scorso venerdì.

Attraverso un attacco mirato ai sistemi informatici del centro che si occupa del trattamento delle acque, il cyber criminale è riuscito ad accedere all’impianto modificando i parametri che regolano la presenza di soda caustica all’interno dei bacini di conservazione delle acque potabili. Il contatto con l’idrossido di sodio, sostanza che normalmente viene utilizzata in piccole dosi per prevenire la corrosione delle tubature e alzare il pH dell’acqua, può causare gravi ustioni sulla pelle e danni irreversibili agli occhi. Appare dunque evidente come un attacco di questo tipo, andando a segno, avrebbe potuto avere conseguenze gravissime sulla salute della popolazione locale.

Attacco hacker a un acquedotto pubblico, le dinamiche dei fatti

Lo sceriffo della Contea di Pinellas, Bob Gualtieri, ha spiegato durante una conferenza stampa indetta per l’occasione tutte le dinamiche dell’accaduto. L’hacker, non ancora identificato, avrebbe avuto a disposizione l’accesso remoto al sistema per circa tre-cinque minuti. Dopo aver visualizzato alcune delle funzioni disponibili, il criminale ha provveduto a modificare quella relativa all’idrossido di sodio da riversare nell’acqua potabile.

È stato poi un operatore a notare la presenza dell’hacker nel sistema, rilevando l’utilizzo di un particolare software in grado di consentire l’accesso anche dall’esterno agli utenti autorizzati, al fine di effettuare il monitoraggio e consentire interventi di manutenzione in caso di problemi. Il pronto intervento dell’esperto ha immediatamente riportato ai valori originali le impostazioni dei livelli della sostanza potenzialmente pericolosa, segnalando l’accaduto ai suoi supervisori. Ciò ha portato rapidamente a un blocco temporaneo delle funzionalità, in attesa di ulteriori indagini da parte dell’FBI.

Attacco hacker all’acquedotto: bioterrorismo?

L’hacker ha modificato l’idrossido di sodio da circa cento parti per milione a 11.100 parti per milione“, ha dichiarato lo sceriffo alla stampa. Incalzato sulla possibilità di un attentato bioterroristico, Gualtieri ha risposto attendendosi ai fatti, sottolineando inoltre come non si trattasse del primo tentativo di intrusione nel sistema informatizzato dell’impianto: “Qualcuno che ha violato il sistema, non solo una ma due volte… ha avviato il programma e ha cambiato i livelli da 100 a 11.100 parti per milione con una sostanza caustica. Quindi, potete chiamarlo come preferite ma i fatti restano questi“.

Attacchi hacker ai sistemi pubblici, è già successo?

Non è la prima volta che un hacker, o un gruppo di criminali della rete, riesce ad accedere a un sistema di gestione di tali proporzioni. Solo all’inizio di dicembre 2020 è stata la volta del cyber attacco a TransLink, azienda che gestisce della metropolitana di Vancouver, attraverso il ransomware Egregor.

A causa della presenza del cosiddetto virus delle stampanti all’interno del sistema, TransLink è stata costretta a bloccare i pagamenti elettronici, creando di fatto ingenti danni economici all’azienda. Inoltre, i criminali sono riusciti ad accedere – stando a quanto dichiarato dall’email di riscatto – ai dati riservati dell’azienda, con rischi non indifferenti per la privacy degli utenti registrati ai servizi.

Per fermare l’attacco e prevenire la pubblicazione dei dati (almeno in prima battuta) è stato richiesto a TransLink il pagamento di un riscatto a sei zeri; in caso negativo, il gruppo ha dichiarato la volontà di vendere al migliore offerente l’intero pacchetto delle informazioni. Un modus operandi differente, quindi, rispetto a quello di Oldsmar, che però ancora una volta è riuscito a mettere sotto i riflettori i punti deboli delle procedure di accesso a sistemi di tale importanza, non sempre all’altezza del loro compito di difesa.