Bentornati e bentrovati.

Come anticipato nei mesi scorsi il panorama informatico ha preso una brutta piega, sono girati troppi soldi e troppi riscatti sono stati pagati. Tanti informatici hanno capito che il crimine (informatico) paga. L’unica nota positiva è che in Italia le nostre care e vecchie mafie sono troppo retrograde e legate alla vecchia lupara o al traffico di stupefacenti, oltre che non competenti, per potersi mettere a operare nel mondo della malavita informatica.

Chi gioca la questa partita sono gruppi principalmente locati nell’est: in nazioni che vedono di buon occhio, o non fanno molto comunque, nel contrastare queste attività. Scovarli è già difficile, ma poi provate voi da investigatore statunitense a fare delle indagini in Russia o in Cina. Che collaborazione credete gli venga riservata? In Italia sappiamo bene cosa vuol dire investigare su eventi o persone legate a stati stranieri, vedi le indagini su Giulio Regeni in Egitto dove non siamo riusciti ad ottenere ufficialmente nulla.

Non voglio allarmarvi. Niente di nuovo sotto il sole, semplicemente la cosiddetta trasformazione digitale sta trasformando anche il crimine. Questa newsletter nasce proprio per evitare al cittadino comune di muoversi il più in sicurezza possibile in rete evitando comportamenti ad alto rischio. Ricordate però che serve anche un po’ di intelligenza perchè come dice Frediani (una delle migliori divulgatrici di infosec italiane peraltro) bisogna sempre calarsi nel contesto specifico in cui si opera.

Carola Frediani @carolafrediani

Molti dei consigli di cybersicurezza dati abitualmente non vanno bene in situazioni di emergenza, caos, violenza e rischio per incolumità fisica. Possono anche essere un boomerang. Mai come ora qualsiasi consiglio deve essere valutato nel contesto specifico. E no, non è facile

8:24 AM ∙ Aug 20, 2021

---

133Likes18Retweets

Cosa è successo nel mondo informatico e quindi nel mondo reale ad agosto?

La Regione Lazio è stata colpita da un ransomware. Ufficialmente i dati sono stati recuperati da un fortuito recupero di un backup. Purtroppo date le modalità sconclusionate di comunicazione con cui il presidente della regione Lazio Zingaretti contraddiceva le comunicazioni tecniche fornite dal team che stava lavorando sul caso è lecito pensare che sia stata impagliata una versione ufficiale per coprire la realtà dei fatti, ovvero che sia stato pagato il riscatto di 5 milioni. Non c’è modo di provare nulla, come dice Bonfiglio.

Giorgio Bonfiglio @g_bonfiglio

@mondinet Su quello concordo, sarebbe speculativo e pure peggio degli articoli fatti a caso che abbiamo adesso. Su Regione Lazio sappiamo tutti com'e' andata, ma non ci sono (e non si troveranno mai) prove, quindi e' inutile parlarne.

6:56 AM ∙ Aug 21, 2021

Uno degli argomenti fortissimi a favore del pagamento del riscatto è che LockBit (il gruppo di criminali che ha infettato la Regione Lazio) se non paghi pubblica i dati, lo ha fatto sempre. Lockbit non ha pubblicato nulla: l’unica altra opzione, molto remota, è che un interlocutore terzo abbia acquistato i dati.

Perlomeno oggi sappiamo come tecnicamente è andata. Inizialmente i giornali hanno lanciato le ipotesi più assurde pensate che Repubblica scrisse che l’attacco era passato attraverso Engeneering (grossa azienda italiana che opera a livello globale), poi ha dovuto ritrattare perchè non c’erano prove e Engeneering ha presentato il conto tramite i suoi avvocati per il danno di immagine che gli ha provocato. In italia ci sono forse 2 giornalisti (due!) competenti nel mondo della sicurezza informatica, e no, non lavorano per nessuna delle principali testate giornalistiche italiane. Queste sono le conseguenze.

Come è andata? la banda di criminali LockBit ha comprato un accesso a LazioCrea, l’azienda che fornisce i servizi informatici alla regione. Si è quindi introdotta nei sistemi e ha passato un po' di tempo a scansionare la rete per capire come fosse organizzata per qualche settimana. E’ una prassi normale e consolidata. Dopo aver individuato la posizione dei backup e dei dati di valore, se li è copiati, poi ha cancellato i backup e lanciato il ransomware che ha iniziato a crittografare tutti i dati.

Vi starete chiedendo cosa vuol dire “comprare un accesso”, immagino. Significa proprio quello: che nei bassifondi del web (darkweb) qualcuno ha messo in vendita le credenziali (utente e password probabilmente) di accesso di un amministratore del sistema. Anche questo purtroppo è ormai prassi consolidata: c’è chi è bravo a fregare utente e password e chi è bravo a chiedere riscatti software. Anche nel crimine informatico i criminali si sono specializzati in settori precisi.

Che altro è successo?

Accenture, una delle più grandi multinazionali è stata vittima di ransomware: decine di milioni di dati personali sono stati prelevati e ora se non pagano saranno pubblicati.

T-mobile, grandissima azienda delle telecomunicazioni (come ad es. in italia è TIM o Vodafone) americana è anche lei stata vittima di ransomware. Ha subito il furto di dati personali di 56 milioni di persone.

Il governo Biellorusso è stato vittima del più grande furto di dati personali della storia condotto contro uno stato.

Tadeusz Giczan @TadeuszGiczan

A short thread about what is perhaps the most successful cyber attack in the history of any nation state conducted by a group called “Belarusian Cyber-partisans”. Last month they hacked the servers of Belarusian police and the Interior Ministry. 1/6

2:09 PM ∙ Aug 9, 2021

---

8,115Likes3,913Retweets

Sono stati sottratti i dati di tutti i cittadini biellorussi, documenti di identità, passaporti, foto, residenza, luogo di lavoro, 10 anni di telefonate registrate alla polizia e pronto soccorso, i database della polizia di stato e le registrazioni di migliaia di telecamere.

Ovviamente questo è cyberwarfare ovvero attività offensive condotte da nazioni e non da semplici criminali. Immagino che tutti sappiate la situazione della Biellorussia una dittatura sempre al limite dell’equilibrio che un giorno cerca gli aiuti della Russia e il giorno dopo li chiede all’Europa, ottenendo l’effetto di averceli tutti contro.

Ci sono stati altri attacchi, come al ministero degli esteri Lituano al quale è stata sottratta tutta la corrispondenza ed è stata messa in vendita pubblicamente, ma sono troppi e sono già stato molto lungo oggi.

Concludo ricordando che tutti questi attacchi comportano un flusso di denaro sempre più importante verso il crimine informatico che grazie a questi soldi riesce a garantirsi personale sempre più competente e strumenti sempre più efficaci. La cosa più triste, nota a pochissimi, è che alle aziende non interessa molto investire in sicurezza per proteggersi. Perchè sono spregiudicate? no. Forse le più piccole. Quelle grandi no, sanno benisssimo i rischi che corrono, semplicemente preferiscono pagare una assicurazione. Perchè in Italia e in tutto l’occidente non è reato ed è lecito che le assicurazioni paghino i riscatti come parte integrante dei contratti di assicurazione. Io ne ho sentite personalmente 2 tra le più importanti (una italiana, l’altra londinese) che fanno del loro punto di forza la loro disponibilità a pagare un eventuale riscatto in caso di ransomware.

Ecco, questa sarebbe la prima cosa da mettere fuorilegge.

Ciao!

La prossima volta riprendiamo con i suggerimenti. Oggi mi premeva darvi un po’ di contesto della realtà attuale, non per spaventarvi, ma per allertarvi, per mettervi in guardia.