Università di Salerno: tutti i dettagli di un attacco hacker

La temuta cybergang Rhysida torna a colpire in Italia, scegliendo come bersaglio l’ateneo della principale università partenopea.

Era il 30 giugno 2023 quando iniziò un lungo incubo per l’Università di Salerno, che ha sfortunatamente coinvolto tutti i suoi studenti.
Non è la prima volta che un’università italiana si trova coinvolta in un attacco hacker, che espose a rischi non indifferenti gli studenti. L’esempio più recente è stato quello legato al collettivo Alphv e all’attacco all’Università di Pisa.

Nell’attacco preso in esame ritorna una minaccia che ha destato più di un clamore a livello mondiale: Rhysida, la temuta cybergang filorussa già nota agli esperti di cybersecurity per il suo ransomware omonimo e per l’aggressività che dimostra in ogni suo attacco.
Ma come sempre andiamo con ordine e analizziamo l’argomento per gradi.

Due parole su Rhysida
Attacco all’Università degli studi di Salerno
Email della Polizia Postale di Salerno
Conseguenze dell’attacco
Best practice contro i Ransomware-as-a-Service

Due parole su Rhysida

Rhysida è una cybergang avvolta dal mistero.
Nonostante si sia tentato di trovare risposte a innumerevoli interrogativi, le informazioni in possesso degli esperti sono sparse e vaghe.
Stando alle analisi condotte dal gruppo di cybersecurity Secureworks, capitanato da Rafe Pilling, i membri di Rhysida proverrebbero da:

Russia
Kazakistan
Bielorussia.

Ciò che ha destato più di una preoccupazione a riguardo, è la sua rapidissima espansione.
Sebbene sia attiva solo dal 2021, Rhysida è divenuta una delle più temute minacce informatiche al mondo grazie a due elementi: l’aggressività delle sue azioni e il ransomware omonimo.
Quest’ultimo è concepito come un Ransomware-as-a-Service, ovvero come un prodotto di consumo sviluppato, aggiornato e rivenduto a terzi nei black market presenti sul Dark Web.
Al prezzo di vendita è aggiunta una clausola: a Rhysida deve essere corrisposta una percentuale sui proventi del riscatto ad attacco eseguito.
Come accade con molti ransomware odierni, anche questo prevede più di un metodo di deploy.

Oltre alle classiche campagne di phishing, il più preoccupante è quello legato al modulo Beacon di Cobalt Strike, poiché il deploy è condotto come se si trattasse di una simulazione di red team effettuata da un team di esperti di cybersecurity.
Ciò rende l’attacco difficilmente anticipabile, a maggior ragione se si pensa che viene utilizzato un software commerciale progettato proprio per agevolare tali operazioni.

Tra le vittime accertate di Rhysida si ricordano:

Azienda Ospedaliera Universitaria Integrata di Verona
The British Library
Esercito del Cile
Prospect Medical Holdings
Ministero della Salute del Kuwait
Insomniac Games

L’attacco all’Università degli studi di Salerno

Nella giornata del 30 giugno 2023, il sito internet di UNISA è risultato irraggiungibile sia internamente dagli addetti ai lavori, che all’esterno da parte di studenti e utenti interessati all’ateneo.
Come ogni attacco hacker che si rispetti, questo è il primo campanello di allarme, in quanto un criminale ha come obiettivo primario introdursi nella rete dell’organizzazione presa di mira e isolarla dall’esterno.

In particolare, è emerso che l’entry point per il deploy del ransomware Rhysida sono stati tre server su cui era in esecuzione il front-end della piattaforma online dell’università.
Questi si sono presto ritrovati con l’intero contenuto cifrato e il blocco incondizionato dei servizi, tra cui si citano:

I profili degli studenti
Il calendario degli esami
La prenotazione agli appelli

La situazione si è aggravata ulteriormente nel momento in cui una delegazione della Polizia Postale si è recata sul posto, con l’obiettivo di analizzare la situazione e cercare di porvi rimedio entro breve termine.
Tuttavia, si è trattato di uno sforzo vano, in quanto molti dati importanti erano già stati estratti e dirottati verso i server controllati dalla cybergang.

L’11 luglio 2023 sono emersi ulteriori dettagli in merito all’attacco. Oltre ai server che ospitavano il front-end dei servizi online, si è appreso che altri sistemi sono caduti vittima del ransomware. Nello specifico si trattava del NAS dell’ateneo Dell EMC Isilon, un Apache web-server per i servizi di back-end web, un Windows Server dedicato al PDC (Primary Domain Controller), l’Active Directory di Windows per le cartelle condivise, il sistema Cisco per la protezione della rete e l’Oracle DBMS per la gestione dei database.

Ad aggravare la situazione è stata la completa assenza dell’autenticazione a più fattori (Multi Factor Authentication – MFA) sia sull’infrastruttura client, che su quella server, oltre al personale che non ricorreva all’autenticazione mediante le credenziali di dominio.

L’email della Polizia Postale di Salerno

Nel marzo 2022 la Polizia Postale di Salerno aveva iniziato a tenere sotto controllo UNISA, in virtù di alcune segnalazioni in merito ad attività sospette e anomale che erano state rilevate nella sua rete. In un documento allegato ad un’e-mail che questa aveva inviato all’ateneo in data 6 ottobre 2022, emerge che la Polizia Postale aveva richiesto informazioni riguardo ad accessi abusivi condotti mediante l’exploit di sicurezza Log4j.

Nel documento veniva specificato, inoltre, che uno dei server interni dell’ateneo risultava già compromesso.
Si trattava di quello su cui era in esecuzione VMWare Horizon, il software mediante cui era stato effettuato il provisioning dell’infrastruttura desktop virtuale (Virtual Desktop Infrastructure – VDI).

A tal proposito sembrerebbe proprio che UNISA avesse deciso volutamente di ignorare tali avvisi, preferendo proseguire come se nulla fosse accaduto.
Sebbene la falla nel server di VMWare non sia direttamente correlata con Rhysida, è comunque da tenere in considerazione come evidenza di un’infrastruttura compromessa da ben prima che questa sferrasse l’attacco.

Conseguenze dell’attacco

Nelle ore successive all’attacco subito, l’ateneo di UNISA ha immediatamente avviato un’indagine interna, con la collaborazione congiunta del nucleo di Polizia Postale, riuscendo a ripristinare la normale funzionalità dei propri servizi web dopo 48 ore di blackout.

Attraverso un comunicato il rettorato ha informato gli studenti che nessun dato sensibile era stato trafugato e che tutto era nuovamente sotto controllo.
Tuttavia, la verità si è presto rivelata essere un’altra ed è giunta solo cinque mesi dopo l’attacco.
Nel dicembre 2023 un’e-mail proveniente direttamente da UNISA ha messo in guardia gli studenti, invitandoli a cambiare la password di accesso alle loro aree riservate. Questo perché era stata condotta una nuova indagine, che aveva rivelato come in realtà dei dati personali erano stati trafugati da Rhysida.

Nello specifico è emerso che la cybergang ha estratto dai server dell’ateneo ben 208 GB di dati, per un totale di 565.778 file, pubblicati in seguito sul loro portale di supporto su rete TOR. Questo perché l’università non era scesa a compromessi con i criminali, rifiutando di pagare i 300.000 euro di riscatto richiesti per riappropriarsi dei dati sottratti.

Ciò confermò in via definitiva una denuncia che era già stata effettuata dagli studenti nell’agosto 2023, ma a cui l’ateneo non aveva mai risposto.

Best practice contro i Ransomware-as-a-Service

Una procedura univoca per prevedere un attacco da parte di un ransomware come Rhysida, è pressoché impossibile, ma restano sempre dei consigli su come poter evitare una possibile infezione e mitigare i danni.

Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza.
Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità.
Ciò riduce di molto le possibilità di un’infezione da ransomware.

Adottare una soluzione di filtraggio e-mail efficace
Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.

Implementare un piano di monitoraggio degli endpoint affidabile
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia.
Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.

Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi.
Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.

Effettuare un backup del database e dei propri servizi online
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

L’attacco all’Università di Salerno è l’ennesima dimostrazione della fragilità delle infrastrutture italiane e della continua sottovalutazione della sicurezza informatica. L’assenza di trasparenza nella comunicazione con gli studenti, i server compromessi e l’aver ignorato gli avvisi giunti dal nucleo della Polizia Postale, sono tutti elementi a dir poco inaccettabili.

Adottare adeguate misure di sicurezza per i propri sistemi e garantire protezione ai propri studenti, deve essere la prassi di qualsiasi ateneo, proprio perché in gioco non ci sono solo le informazioni sensibili, ma soprattutto la propria reputazione.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.