RANSOMWARE LOCKBIT

ASP Messina, i dati rubati verranno resi pubblici il 29 aprile: la nostra analisi

Continuano gli attacchi del gruppo ransomware Lockbit al servizio sanitario italiano: l’ultimo in ordine di tempo è quello all’ASP Messina che sta riportando una perdita di dati sensibili. Analizziamo quanto accaduto e la situazione informatica dell’azienda sanitaria post attacco

22 Apr 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

L’ASP di Messina è stata attaccata dalla gang ransomware Lockbit: la conferma è arrivata ieri, quando i cyber criminali hanno pubblicato sul loro data-leak-site (DLS) un avviso per informare che i dati rubati durante l’attacco informatico ai danni dell’azienda sanitaria provinciale della scorsa settimana saranno pubblicati il prossimo 29 aprile alle 17:28 orario UTC.

È dunque iniziato il conto alla rovescia per il termine del pagamento del riscatto, di cui per il momento non si conosce l’ammontare.

Attacco informatico contro ASP Messina

Il settore sanitario ha sofferto molto dagli attacchi informatici per tutto il 2021 in balia, va ricordato, di una risposta alla pandemia di COVID-19. Il 15 aprile è stata la volta dell’azienda provinciale di Messina, che ha comunicato a mezzo stampa l’incidente con le “scuse per eventuali disagi ai cittadini e assicura che quando il sistema verrà ripristinato ne sarà data immediatamente comunicazione”.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

A distanza di 5 giorni non si trovano ancora comunicati stampa ufficiali diffusi dall’ente sul proprio sito ufficiale, ma nelle pagine web della cyber gang Lockbit 2.0 arriva la rivendicazione dell’attacco.

Inizia dunque così il tradizionale conto alla rovescia che abbiamo imparato a conoscere monitorando l’attività di questo gruppo criminale, che sfrutta il ransomware per portare a segno i propri attacchi.

Lockbit 2.0 ha infatti concesso sette giorni di tempo per poter ottemperare alla richiesta di riscatto impartita alla vittima dell’attacco ransomware. Scaduti i quali procederà, come di consueto, alla pubblicazione online dei dati rubati.

Prima dello scadere del conto alla rovescia impostato dalla cyber gang, dunque, non possiamo conoscere la natura e la rilevanza dei dati rubati; dalle prime informazioni trapelate, però, dovrebbe trattarsi di oltre 27.000 file che andranno online entro pochi giorni.

Sappiamo, inoltre, che la vittima è un ente sanitario pubblico, strategico per il paese, per cui il contenuto del data leak potrebbe essere particolarmente essere sensibile.

Va detto, infatti, che il bacino di utenza di questa ASP è di 645mila cittadini dislocati in 108 differenti comuni della Sicilia. Un ampio territorio e un gran numero di persone che affidano alla struttura pubblica la propria fiducia nel trattamento dei dati sanitari.

Lo ricordiamo: un attacco di tipo ransomware di questa tipologia avviene compromettendo tramite email di phishing o allegati (PDF, XLS) malevoli, un computer della rete.

Avvenuta la compromissione, il malware (detto in questo caso ransomware) procederà a crittografare tutti i file che trova nella memoria del device coinvolto, rendendoli di fatto inutilizzabili (da qui i disservizi di indisponibilità del sistema) dopo averne esfiltrato all’esterno una copia.

Questi file fungeranno da ostaggio, per la richiesta di riscatto, commisurata alla dimensione economica della vittima: di solito Lockbit 2.0 prende di mira enti o grandi aziende dal fatturato rilevante, con capacità di spesa elevata.

Il problema del sito web di ASP Messina

Come sta avvenendo sempre più spesso, negli ultimi attacchi rivendicati nel mese di aprile in Italia, si sta verificando la particolare coincidenza di alcuni dettagli. Primo fra tutti spicca il sito web: la sua scarsa manutenzione e l’esposizione al rischio informatico del server che lo ospita. Quando si tratta di un ente pubblico il problema si complica ulteriormente, perché all’interno potrebbero essere in giacenza dati sensibili della popolazione, oltre che quelli del personale sanitario.

E’ l’utente di Twitter “Cuticcio” a far emergere la problematica, evidenziando appunto come si potesse facilmente assistere, ultimamente, alla disponibilità online dei siti web istituzionali (creati mediante WordPress), non correttamente mantenuti, nello specifico recando versioni del software ormai obsolete. Obsolescenza che ovviamente si traduce in maggiore vulnerabilità agli attacchi, visto che tutti gli ultimi miglioramenti di sicurezza sono evidentemente mancanti.

Abbiamo a questo proposito preso in esame il sito web istituzionale della vittima odierna, l’ASP Messina appunto. L’abbiamo analizzato con un semplice tool di verifica per WordPress, CMS utilizzato da questa amministrazione pubblica, facilmente rilevabile anche dalle prime righe del codice sorgente HTML della pagina web.

Ciò che è emerso è appunto una grande obsolescenza nella manutenzione di questo sito web, esponendo in questa maniera a seri rischi il server che lo ospita e quindi l’infrastruttura sanitaria ad esso collegata.

La prima sintesi che il tool di verifica riporta è un chiaro messaggio di colore rosso: “Il vostro sito è vulnerabile ad attacchi!

Immediatamente infatti possiamo notare che la versione del CMS in uso presso l’Azienda Sanitaria Provinciale Messina, sia la numero 5.8.4, molto lontana dall’attuale versione di WordPress 5.9.3 che contiene invece tutte le buone correzioni di sicurezza note, utili a mitigare almeno i rischi sicuramente più probabili: quelli conosciuti.

Proseguendo poi con l’analisi, semplicemente andando a considerare i temi e i plugin che il sito web utilizza, notiamo che su 11 elementi analizzati (1 tema e 10 plugins attivi), solamente due non espongono rischi di sicurezza. Dei 9 rimanenti invece ben tre espongono il server a gravi problemi di sicurezza tra cui i noti pericoli offerti da attacchi di tipo:

  • CSRF (Cross-Site Request Forgery), quindi richieste HTTP che possono essere inviate da attaccanti non autorizzati sulla piattaforma;
  • XSS (Cross-Site Scripting), espone il sito a raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine web;
  • chiamate AJAX non autorizzate.

Queste tre vulnerabilità, identificate nei rispettivi plugin e temi installati e attivi, non adeguatamente aggiornati da parte dell’amministrazione pubblica, sono evidenziate come gravi. Gli altri 6 plugin WordPress invece espongono vulnerabilità meno gravi, ma pur sempre note e rigorosamente da aggiornare. Tutti riportano invece una versione vecchia completamente fuori aggiornamento.

Il quadro che si delinea dunque non è roseo e l’attacco da parte di Lockbit 2.0, probabilmente è solo la punta di un iceberg che sarebbe tutto da revisionare in linea con le vigenti best practice.

Va detto infatti che è di vitale importanza tenere le applicazioni esposte in rete aggiornate al fine di beneficiare della mitigazione necessaria per tutte le possibili vulnerabilità note.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5