Università di Pisa: i dettagli dell'attacco hacker

L’ombra di Alphv, una temuta cybergang russa, si abbatte su un’istituzione italiana con la tecnica della doppia estorsione mediante ransomware.

Era l’inizio delle tensioni tra Occidente e Russia, in seguito all’invasione dell’Ucraina da parte di quest’ultima, quando una violenta ondata di attacchi hacker è stata condotta a livello internazionali da svariati collettivi e cybergang filorussi.
Certamente uno dei più seri e violenti è stato proprio quello avvenuto contro l’Università di Pisa, rivendicato poco dopo dalla cybergang Alphv.
Il risultato? Dati sensibili trafugati e un riscatto di oltre quattro milioni di dollari per impedirne la diffusione.

Ma come sempre, andiamo con ordine e analizziamo l’argomento per gradi.

Chi è Alphv?
L’attacco all’Università di Pisa
Come funziona il ransomware BlackCat?
Best practice contro BlackCat e ransomware-as-a-service

Chi è Alphv?

I collettivi hacker e le cybergang si moltiplicano continuamente, tuttavia pochi possono vantare lo stesso livello di pericolosità e capacità di anonimizzarsi assoluto come Alphv.
Nello specifico si parla di un gruppo di hacker provenienti dalla Russia attivo sin dal 2020.
La sua arma riconoscitiva è un ransomware chiamato BlackCat, appartenente alla categoria di ransomware-as-a-service e il primo del suo genere scritto in Rust.

Secondo le analisi condotte dagli esperti di cybersecurity Recorded Future e MalwareHunterTeam, i membri di Alphv appartenevano precedentemente al temuto collettivo REvil.

Inoltre, il loro ransomware è stato pubblicizzato nei forum del settore, XSS ed exploit, in modo da invitare altri collettivi e hacker indipendenti a unirsi alla loro crociata. L’obiettivo rimane sempre lo stesso: individuare falle nella sicurezza di grandi aziende e attaccarle senza alcuna pietà.
Si stima che tra novembre 2021 e marzo 2022 Alphv ha condotto oltre 60 attacchi hacker in tutto il mondo. Tuttavia, il loro vero punto di forza risiede nel completo anonimato, a tal punto che nel febbraio 2024 l’FBI ha promesso una ricompensa di 10 milioni di dollari a chiunque sia in grado di identificare i leader della gang.

L’attacco all’Università di Pisa

L’11 giugno 2022 si veniva a conoscenza che Alphv aveva effettuato con successo un attacco all’Università di Pisa.
La notizia è stata riportata sul data-leak-site omonimo della cybergang.

Analizzando le informazioni pubblicate, si è scoperto che Alphv era riuscita ad avere accesso alle infrastrutture IT dell’Università sfruttando informazioni sensibili ottenute mediante analisi OSINT/CLOSINT.

Due giorni dopo la cybergang ha pubblicato alcuni sample, in cui era possibile osservare direttamente quali informazioni erano state effettivamente trafugate dai server dell’università.
Il primo a balzare agli occhi è stato il database delle credenziali utenti, completo di:

Accesso ai servizi universitari
Numeri di telefono associati
ID di “tabelle associative”
Password in chiaro e non criptate

Il totale di informazioni trafugate ammonta a 90.000 files e 8000 cartelle, per un totale di 54 GB di dati.

La richiesta di riscatto è giunta nella giornata del 14 giugno 2022.
Alphv ha chiesto all’Università di Pisa ben 4,5 milioni di dollari da versare nel breve termine, con un aumento a 5 milioni netti se il pagamento non sarebbe giunto entro il 16 giugno 2022.
Nonostante la minaccia, l’Università non ha rilasciato alcuna dichiarazione ufficiale, scatenando le ire dei sindacati studenteschi quando, nella giornata del 17 giugno 2022, Alphv ha pubblicato una tabella con sopra riportate informazioni personali e dati sensibili degli studenti stessi.

Nello specifico si trattava di:

Codice Fiscale
Nome
Cognome
Comune di residenza
Indirizzo di residenza
Numero di telefono
Indirizzi e-mail
Data di nascita

La situazione ha spinto gli studenti a chiedere spiegazioni in merito alla questione,
in quanto tali informazioni possono essere utilizzate dai cybercriminali per dare vita a vere e proprie campagne di phishing mirate, mediante tecniche di ingegneria sociale.

L’Università di Pisa ha finalmente parlato pubblicamente nella giornata del 24 giugno, quasi due settimane dopo l’attacco.
Il rettore ha spiegato la posizione dell’istituzione e promesso una soluzione in tempi brevi. Tuttavia, la pubblicazione dei dati estratti dai server, avvenuta il 15 luglio 2022 su clearweb, ha fatto comprendere che l’Università non è scesa a patti con i criminali.

Come funziona il ransomware BlackCat?

Come detto in fase di introduzione, BlackCat è il primo ransomware della sua specie scritto interamente in Rust, un linguaggio di programmazione multi-paradigma open source sviluppato da Mozilla Research, che possiede una notevole velocità di esecuzione ed elevati livelli di sicurezza.
Dalle analisi condotte dal MalwareHunterTeam, emerge che BlackCat condivide importanti similitudini con un altro ransomware: BlackMatter.
In particolare, il ransomware fa uso di ben 21 parametri interni, ci cui 6 sono condivisi tra i due virus:

kill_services
kill_processes
exclude_directory_names
exclude_file_names
exclude_file_extensions
credential, in cui sono memorizzate le credenziali di dominio della vittima.

BlackCat è risultato estremamente efficace su un gran numero di sistemi operativi sia consumer, che entreprise, in particolare:

Windows XP e successivi (incluso Windows 11
Windows Server (2008 e successivi)
Debian
Ubuntu
VMware ESXi
ReadyNAS
Synology

Le tecniche adoperate da BlackCat per condurre un attacco sui sistemi della vittima, sono:

Inibire ESXi di VMware ed eliminare ogni backup presente sul server.
Usare un comando di PowerShell per disabilitare Windows Defender, o ridurre le misure di sicurezza di Windows ad un punto tale da rendere irraggiungibili determinate funzioni.
Usare PsExec per attaccare direttamente gli account utente e amministratore basati su Active Directory.
Installare un pentest tool di CobaltStrike e usarlo per spostarsi in tutta la rete del sistema infettato.
Prevenire il rilevamento del proprio codice sorgente, disabilitando gli hypervisor delle VM e inibendo i loro processi.
Estrarre direttamente file con estensione .PDF, .DOC, .DOCX, .XLS, .TXT, .BMP, .RDP, .SQL, .ZIP e altri, mediante il software Fendr, noto anche come ExMatter.
Eliminare ogni copia di backup di Windows e criptare i file obiettivo.

Come se non bastasse, BlackCat possiede anche uno schema di criptazione modulare definito tramite un json di configurazione, che permette la creazione di una chiave univoca da usare in maniera indipendente tra gli attacchi che vengono condotti.
A ciò si aggiunge un sistema multi-thread per una criptazione veloce ed efficace basata su AES-128, cosa che rende il processo di decriptazione quasi impossibile senza chiave.

Best practice contro BlackCat e ransomware-as-a-service

Una procedura univoca per prevedere un attacco da parte di un ransomware come BlackCat, è pressoché impossibile, ma restano sempre dei consigli su come poter evitare una possibile infezione e mitigare i danni.

Aggiornare sempre i software di sistema e i protocolli di sicurezza.
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.

Adottare una soluzione di filtraggio e-mail efficace.
Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.

Implementare un piano di monitoraggio degli endpoint affidabile.
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.

Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.

Effettuare un backup del database e dei propri servizi online.
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti.
Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

Conclusione

L’attacco condotto contro l’Università di Pisa rappresenta non solo un grave danno d’immagine per l’istituzione in termini di privacy e reputazione, ma ha mostrato ancora una volta la fragilità e le vulnerabilità intrinseche all’infrastruttura informatica delle istituzioni italiane.
Nonostante la diffusione di dati sensibili importanti, come le informazioni personali degli studenti, sembra che nessuno abbia preso seri provvedimenti per contenere concretamente i danni. Sfortunatamente questo tipo di mentalità non protegge nessuno, ma sottolinea ulteriormente la necessità da parte dell’Italia di potenziare le proprie infrastrutture e investire concretamente nella sicurezza informatica.

Se si vuole veramente entrare a far parte del Web 4.0 e contrastare efficacemente il fenomeno di attacchi ransomware nel nostro Paese, la sola strada percorribile è quella appena discussa.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.