I'm the creeper

Nuovo attacco ransomware: richiesto ingente riscatto all’Università di Pisa

I ransomware continuano a non darci tregua e questa volta a pagarne le conseguenze è stata l’Università di Pisa che ha subito un gravissimo attacco. Alle ore 17:37 del 13 giugno l’Università statale ha subito un attacco di grande portata causato probabilmente dal ransomware BlackCat del gruppo cybercriminale ALPHV. Al momento attuale sembrerebbe che alcuni sample siano già stati diffusi in rete e c’è stata la richiesta di un riscatto di 4.5 milioni di dollari. Come sempre, in questi casi, gli attaccanti hanno predisposto una chat con la vittima attraverso il dark web per poter comunicare e accordarsi sulla modalità di pagamento. Per di più, il gruppo criminale si è allineato con le ultime tecniche di richiesta di doppio riscatto, per cui oltre al pagamento per recuperare i propri dati chiedono anche un ulteriore pagamento per evitare la diffusione di parte dei dati già in loro possesso.

Come funziona il ransomware BlackCat

In generale, gli attacchi ransomware sfruttano un vettore virale già insito nei sistemi oppure una debolezza umana come nel phishing. BlackCat è particolarmente sofisticato rispetto agli altri e viene utilizzato come RaaS. Il gruppo di cybercriminali ha già compromesso oltre 60 compagnie nel mondo e secondo l’FBI uno dei motivi di maggiore diffusione può essere dato da RUST, considerato un linguaggio di programmazione molto più sicuro di C/C++.

Il ransomware sfrutta credenziali utente già pubbliche per ottenere il primo accesso all’infrastruttura della vittima. Una volta acquisito, prosegue impossessandosi dell’utenza Active Directory e compromettendo le utenze amministrative. Per proseguire nella sua diffusione all’interno dei sistemi, BlackCat usufruisce di Windows Task Scheduler per configurare delle GPO malevole di Windows e favorire il replicamento del malware. Le attività essenziali del ransomware vengono eseguite tramite alcuni script di PowerShell che vanno via via a disattivare componenti del sistema operativo ospitante.

Naturalmente l’FBI nella sua nota contro il ransomware scoraggia enormemente di pagare i riscatti agli attaccanti ma comprende anche le difficoltà di protezione dei dati aziendali che portano le compagnie al pagamento.

Evoluzione dell’attacco all’Università di Pisa

L’Università di Pisa sta vivendo attimi di grande difficoltà dal momento che il riscatto iniziale di 4,5 milioni di dollari sta per scadere. Nei giorni prossimi la richiesta per poter ricevere indietro i propri dati potrebbe anche diventare di 5 milioni. Al momento non sono state rilasciate comunicazioni ufficiali da parte dell’istituzione anche se la paternità dell’attacco sembra vera. Infatti, la gang ha rivendicato il potenziale impossessamento dei dati di dipendenti e studenti attraverso alcuni screenshot diffusi nel darkweb.

Le prime fonti parlano di circa 54 GB di dati sottratti all’Università comprendenti informazioni sensibili di molti studenti comprese password in chiaro. Se fosse confermato gli impatti potrebbero essere enormi per tutti i coinvolti nel data leakage dell’Università.

Le azioni di mitigazione sono molte a partire dalle attività sugli utenti finali per aumentare la loro consapevolezza sul tema e sui rischi correlati. Inoltre, a livello sistemistico è sempre bene cercare di implementare più possibile la segregazione degli ambienti e applicare il principio del minimo privilegio. Queste scelte seppur difficili da realizzare su sistemi pensati diversamente in passato, possono salvare le aziende da movimenti laterali di questi malware. Infatti, l’obiettivo principe di questo attacco è cifrare tutti i dati che può trovare. Per questo tenterà di spostarsi e replicarsi fra tutti i sistemi raggiungibili.

Continueremo a monitorare la situazione delicatissima dell’Università, sperando che non vengano pubblicate ulteriori notizie particolarmente negative.

Published by
Nicola Fioranelli