Attacco ransomware alla Regione Sardegna:
sottratti 155gb di dati sensibili
La Regione Sardegna è stata vittima di un attacco hacker all’inizio del mese di febbraio le cui conseguenze sono state rese note lo scorso 24 giugno tramite una nota ufficiale della stessa Regione.
A seguito dell’attacco informatico sono stati pubblicati sul web dati sensibili sia di utenti che di dipendenti dell’Ente, come si evince dal comunicato emesso dalla Regione Sardegna stessa.
Non appena la regione è venuta a conoscenza della diffusione dei dati rubati in quello che è stato riconosciuto come un vero e proprio attacco ransomware, investigato già nei primi mesi del 2022 da un’inchiesta pubblicata sul periodico di approfondimento indipendente “Indip”.
Come si è sviluppato l’attacco informatico ai danni della Regione Sardegna?
In questo articolo ci occuperemo di analizzare l’accaduto e le conseguenze dell’attacco hacker che ha prodotto una significativa fuga di dati sensibili ai danni dell’Ente.
Sommario degli argomenti
Lo scorso 25 giugno la Regione Sardegna ha pubblicato un comunicato ufficiale sul proprio sito web prendendo posizione sull’attacco hacker di cui è stata vittima a febbraio 2022.
“La Regione Autonoma della Sardegna rende noto che lo scorso 17 giugno ha ricevuto comunicazione della pubblicazione nel dark web di cartelle contenenti dati personali dei propri dipendenti e degli utenti di alcune Direzioni generali. La documentazione illegittimamente divulgata potrebbe arrecare conseguenze ai diritti degli interessati coinvolti quali ad esempio l’usurpazione di identità, la perdita di controllo da parte degli interessati sui dati personali che li riguardano, l’utilizzo dei dati personali degli interessati a scopo di phishing”.
Si apprende dal comunicato ufficiale che sono state diverse le Direzioni coinvolte in questo attacco ransomware ovvero “la Direzione generale degli enti locali e la Direzione generale della Protezione civile; le stesse Direzioni hanno attivato delle caselle e-mail dedicate a cui i potenziali interessati possono rivolgersi per avere informazioni sulla natura dei dati coinvolti”.
L’attacco informatico di cui è stata vittima la Regione Sardegna è stato rivolto alla società in-house della Regione stessa denominata SardegnaIT, referente per l’infrastruttura tecnologica dell’Ente, e sferrato dal gruppo Quantum Locker che ha pubblicato i dati sensibili rubati e li ha resi accessibili agli utenti.
Non si trovano, invece, dichiarazioni ufficiali di paternità dell’attacco hacker da parte del gruppo stesso anche se la diffusione dei contenuti ottenuti illecitamente è apparsa sul loro data-lake-site (DLS) denominato “Quantum Blog”.
La società in-house SardegnaIT ha riscontrato una cinquantina di server compromessi sui quali sono state attivate le procedure necessarie per ripristinare tutte le funzionalità andando in primis a ripulire il software. I dati della Regione Sardegna contenuti sui server compromessi sono stati però resi pubblici sul web da parte del gruppo che ha sferrato l’attacco informatico e oggi risultano accessibili a chiunque sotto rete Tor.
In concreto quale è stata la portata dell’attacco ransomware che ha colpito la Regione Sardegna?
Dalle analisi effettuate risulta che il gruppo criminale Quantum Locker sia stato in grado di rubare 155 GB di dati sensibili interni alla Regione, gestiti sui server di SardegnaIT.
Si tratta di un cyber attack di portata massiccia riconosciuto ad oggi come la più grande fuga di dati della quale sia stata vittima una pubblica amministrazione in Italia.
I file rubati e resi pubblici sul web sono suddivisibili in diverse categorie:
- Documenti
- Verbali riservati
- Immagini e video
Ciò che si può reperire online a seguito dell’attacco informatico alla Regione Sardegna sono:
- documenti di identità
- anagrafiche complete con numeri di telefono
- indirizzi email
- indirizzi di domicilio e residenza dei collaboratori
- mansionari
- documenti relativi allo stato di salute dei dipendenti
- cambi di ruolo all’interno dell’ente stesso.
Non si sono salvati nemmeno i dati sensibili relativi ai cittadini che sono entrati in contatto con l’Ente pubblico nel corso del tempo.
Infatti, si possono trovare sul web anche anagrafiche, verbali di accertamento, contratti con imprese per gare di appalto aggiudicate e informazioni relative a verifiche sui tributi non pagati o versati.
Tra i 169.225 file divulgati su internet si possono scovare altresì documenti sugli accertamenti a seguito di sopralluoghi e su abusi edilizi con dovizia di particolari (dati personali e amministrativi). E ancora documenti, contratti sottoscritti tra la Regione e le imprese, nonché note disciplinari nei confronti dei dipendenti.
Tra le immagini e i video è possibile visionare riunioni tra dirigenti, fotografie di cantieri e sopralluoghi nelle varie fasi di avanzamento lavori.
Insomma: un’infinità di informazioni preziose che non dovevano fuoriuscire dal perimetro di rete dell’istituzione.
Ciò di cui è stata vittima la società in-house SardegnaIT e conseguentemente la Regione Sardegna ha tutte le caratteristiche per essere ricondotto a un attacco nei confronti di fileserver utilizzati dalla Regione e dai dipendenti per archiviare documenti di varia natura.
Ciò che è emerso in fase di analisi è la presenza di alcune botnet attive nei device dei dipendenti della Regione Sardegna.
Collegandosi alle botnet, si è potuto constatare che, grazie alle informazioni che rilasciavano, era possibile organizzare un attacco mirato e rubare informazioni sensibili.
Nel caso dell’attacco ransomware da parte di Quantum Locker ai danni della Regione Sardegna è stato utilizzato l’omonimo malware di tipo ransomware attivo dall’anno 2021.
Sono tre gli aspetti da considerare per quanto concerne il Quantum Locker:
TTR inferiore alle 4 ore, ovvero dall’attacco iniziale alla crittografia basta solamente un tempo massimo di quattro ore.
Ciò comporta una ridotta tempistica a favore delle vittime di attacco hacker per difendersi;
Livello alto di minaccia ovvero ha un potenziale distruttivo molto elevato
Intervento anche da parte dell’uomo ovvero la cybergang tenta di infiltrarsi all’interno dell’organizzazione attraverso un attacco della tipologia RansomOps
In seguito all’attacco ransomware di febbraio 2022 in cui sono stati colpiti 50 server di SardegnaIT, il gruppo Quantum Locker aveva inoltrato una richiesta di pagamento di riscatto ma grazie ad alcuni backup dei dati rubati non era stato corrisposto alcunché. Ciò che emerge da un controllo più approfondito è che il malware sarebbe stato installato da un dipendente di SardegnaIT per mero errore umano durante l’installazione di un software.
I dati rubati durante l’attacco informatico sono poi stati messi in vendita in uno spazio sul web con conseguente richiesta di pagamento di circa 31mila euro pagabili attraverso i Bitcoin per tutto l’archivio dei dati sottratti illegalmente.
Dal giorno 13 giugno, poi, il gruppo Quantum Locker ha diffuso illegalmente i dati sensibili rubati dando la possibilità agli utenti di consultare il database.
Tra le conseguenze dell’attacco ransomware vi è la diffusione di dati sensibili che ha coinvolto i cittadini entrati a contatto con l’Ente.
Per questo motivo la Regione Sardegna ha divulgato sul proprio sito ufficiale i contatti utili per capire se i propri dati siano rientrati nell’attacco in questione. Inoltre, sono stati divulgati suggerimenti per ridurre le conseguenze di questa attività illecita. Tra i consigli si invitano gli utenti a prestare attenzione all’attività di messaggistica tradizionale e istantanea, al ripristino di password per accedere a siti web sensibili e fare una valutazione in caso di e-mail sospette ricevute con richieste di conferma di dati personali.
Non solo Regione Sardegna è stata vittima di un attacco hacker.
Anche il Comune di Palermo e l’Università di Pisa hanno riscontrato recentemente attacchi informatici ai danni delle loro infrastrutture di rete.
Cosa fare in questi casi?
La prevenzione diventa l’arma migliore per contrastare possibili cyber attack ai sistemi oltre a una formazione adeguata del personale dipendente.
Un attacco ransomware può avere conseguenze di portata molto estesa come dimostra il caso accaduto alla Regione Sardegna.
Le pubbliche amministrazioni dovrebbero quindi puntare su accorgimenti quali:
Adeguata formazione del personale dipendente
Affidarsi a backup costanti per limitare l’eventuale perdita di dati
Aggiornare costantemente il sistema operativo utilizzato
Affidarsi ad un antivirus aggiornato
Dare le autorizzazioni minime e necessarie al personale non qualificato per operare sui server
Utilizzare password complesse e sicure
Attivare l’autenticazione a due fattori
Non scaricare file sospetti
In generale, è estremamente importante che si diffonda una cultura consapevole di sicurezza informatica affidandosi a tecnici specializzati e qualificati in cybersecurity per prevenire e fronteggiare minacce di attacchi informatici di qualsiasi portata.
La Regione Sardegna è un esempio di quanti danni possa creare un attacco ransomware non solo ai dipendenti stessi ma anche ai cittadini coinvolti nei rapporti più svariati con la pubblica amministrazione.
Resta quindi, essenziale che siano mantenuti standard di sicurezza informatica elevati per proteggere i dati sensibili. Prevenire, quindi, è la chiave.
La sfida, in questo caso, è essere più veloci degli hacker, i quali cercheranno di colpire i sistemi informatici prima che siano aggiornati gli stessi sistemi.
Farsi trovare pronti di fronte ad attacchi messi a segno dalla criminalità informatica in costante evoluzione rispondendo con misure di sicurezza adeguate alla propria realtà è quindi una chiave essenziale sulla quale puntare in ambito pubblico e privato.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.