È stata pubblicata durante la serata di sabato, da parte della cyber gang Nova nota per attacchi di tipo ransomware, una rivendicazione criminale di attacco informatico ai danni del Comune di Pisa.
Una grande quantità di dati esfiltrati dichiarati e già diversi sample sono disponibili online.
Vediamo cosa può essere successo.
Indice degli argomenti
Attacco ransomware al Comune di Pisa
La cyber gang Nova (recente re-brand di RALord) ha pubblicato la rivendicazione sul proprio sito Web sotto rete Tor, il 10 maggio.
Da una prima analisi che Cybersecurity360 insieme all’osservatorio ransomware di Ransomfeed.it, ha portato avanti sui sample pubblicati, sembra che la data effettiva di attacco non sia molto distante da questa rivendicazione.
O meglio, per lo meno la data in cui è stata fatta partire la crittografia, che sembra risalire al pomeriggio del 10 maggio stesso, presumibilmente intorno alle 14.25, come dimostrato da alcuni file crittografati dal locker comparsi sulla macchina infetta proprio con questo timestamp. Questo è verificabile dalla presenza dei file con estenzione .NOVARANSOM.
I criminali di Nova, hanno dichiarato di aver esfiltrato in totale 2TB di dati dal comune toscano. Questo annuncio infatti (di 100GB), dovrebbe collocarsi come primo update di una serie di rilasci che presumibilmente arriveranno nel tempo.
È stata anche fissata una deadline per la scadenza del periodo di negoziazione del riscatto con l’ente e la conseguente divulgazione online di tutto il materiale rubato, entro 14 giorni a partire dal 10 maggio.
Tra i sample già inizialmente pubblicati ci sarebbe anche una dimostrazione della quantità dei dati esfiltrati, ovvero un’immagine che mostra proprio la dimensione dell’unità di rete che si dichiara.
Al momento non siamo in grado di sapere se ciò che asserisce la cyber gang corrisponde a verità o se le dicharazioni sono sopravalutate rispetto a ciò che è accaduto, anche perchè finora non è comparso alcun comunicato dell’ente sul presumibile incidente.
Possiamo però mostrarvi ciò che è online come sample.
Per quanto riguarda la qualità dei dati esfiltrati, anche qui in questa fase il condizionale è d’obbligo. Possiamo notare che i criminali asseriscono di avere rubato file riguardanti documenti interni, database di pagamenti, codici sorgenti, file di configurazione, informazioni personali, copie documentali di carte d’identità, fatture e email.
Da questo punto di vista, ciò che è disponibile in questo momento e fino ai prossimi 14 giorni, è un sample di 1,6 GB (compresso), distribuito mediante MEGA così come da modus operandi di Nova.
Dall’analisi di questi dati Cybersecurity360 ha potuto verificare l’effettiva presenza di un importante numero di documenti relativi a dipendenti (valutazioni interne, questioni vari, giustificati di assenza, turni ferie), ma anche esportazioni di conversazioni email interne all’ente (effettuate tramite applicativo Zimbra).
Nel sample è presente anche una parte significativa di fatture da e verso cooperative sociali che orbitano attorno al Comune stesso.
Le possibili conseguenze dell’attacco
Attualmente, lo ricordiamo, sono online dei piccoli sample dimostrativi, ma se quello che asserisce la cyber gang dovesse essere confermato e verificarsi realmente, potrebbe essere una perdita di informazioni sensibili importante, ai danni di dipendenti e cittadini.
Danni non solo direttamente collegati all’ente, ma anche collaterali tramite strutture che lavorano con appalti comunali qualora, nei dischi vittima di attacco, dovessero esserci grandi quantità di dati di questa tipologia.
