Allarme Lockbit

Accenture sotto scacco del ransomware che devasta l'Italia

Nelle scorse settimane, bersaglio di Lockbit 2.0 sono state altre realtà produttive e industriali del nostro Paese, come Erg, Acquazzurra Firenze, GiCinque Srl e molte altre. Alla multinazionale della sicurezza potrebbe essere stata esfiltrata una notevole quantità di dati
3 minuti di lettura

Perfino Accenture è finita nelle mani delle gang del ransomware: la grande multinazionale di consulenza è stata colpita nella notte di San Lorenzo da un attacco informatico. Gli autori lo hanno rivendicato con un post sul loro sito nel Dark Web.

Non è l’unica delle big four della consulenza a essere stata attaccata dai criminali cibernetici di Lockbit 2.0, un software malevolo in grado di installarsi nei sistemi della vittima impedendogli di accedere a file e risorse fino al pagamento di un riscatto.

Accenture in una nota ha sbrigativamente dichiarato che “durante lo svolgimento dei nostri protocolli di sicurezza abbiamo identificato attività irregolari in uno dei nostri ambienti. L’incidente è stato prontamente contenuto e i server colpiti immediatamente isolati. Non c’è stato alcun impatto sulle operation di Accenture e sui sistemi dei nostri clienti”. Alcune fonti estere ritengono che la sezione italiana non sia stata compromessa, ma questo lo scopriremo nei prossimi giorni.

Per Accenture solo in italia lavorano 17mila persone, e come clienti ha tutte le più grandi aziende italiane, anzi le prime 500 al mondo sono tutte loro clienti. La gang criminale ha minacciato di rivelare tutti i dati in proprio possesso relativi a dipendenti e clienti.

I dati pubblicati online
Il contatore per pagare il riscatto scadeva alle 17.30 dell’11 agosto e all'1.41 della notte fra 11 e 12, i criminali hanno dato notizia di avere reso pubblici 63 Tb di dati rubati ad Accenture, perché il riscatto di 50 milioni di dollari non è stato pagato; hanno spiegato di essere stati "aiutati da un interno". Poi la quantià è stata ridimensionata da alcune fonti, che parlano invece di 6,3 Tb. Comunque vada adesso, questa non sarà l’ultima volta che sentiremo parlare di Lockbit, come avevamo già scritto. Nelle scorse settimane, bersaglio di Lockbit 2.0 sono state altre realtà produttive e industriali del nostro Paese: Erg, che produce e trasporta energia, Acquazzurra Firenze, Csp Mould, Mascherpa Tecnologie Gestionali, GiCinque Srl e qualche altra.

Come funziona Lockbit 2.0?
Come dice un quick report di Telsy, azienda italiana specializzata nella protezione delle infrastrutture e nello sviluppo di tecnologie per la sicurezza informatica, questo ransomware è apparso per la prima volta nel panorama delle minacce cibernetiche nel settembre 2019, evolvendosi negli anni con l’introduzione di nuove funzionalità fino a implementare un modello di Ransomware as a Service (in sigla, RaaS).

Detto in parole povere, gli sviluppatori di ransomware affittano varianti di ransomware nello stesso modo in cui gli sviluppatori di software legittimi affittano i loro prodotti su cloud. Questo software a consumo (o in affitto) offre a tutti, anche alle persone senza molte conoscenze tecniche, la possibilità di lanciare attacchi ransomware semplicemente registrandosi a un servizio. Dopo aver ottenuto l'accesso ai server dell'azienda target, LockBit avvia il processo di enumerazione e cerca di identificare sistemi cruciali (mission-critical) come controller di dominio, server di backup o dispositivi di archiviazione di foto video (li chiamano Nas, Network Attache Storage). Quando accedono al controller di dominio, un server apposito che gestisce le richieste degli utenti per accedere a certe informazioni o aree specifiche del sistema, Lockbit crea autonomamente nuove regole (le cosiddette group policies) per tutti i computer del dominio, disabilitando la protezione in tempo reale di Microsoft Defender, gli alert, l'invio di segnalazioni e tutte quelle azioni predefinite che vengono svolte a seguito della rilevazione di file malevoli.

Al termine del processo di crittografia, LockBit rilascia una richiesta di riscatto chiamata Restore-My-Files.txt in tutte le directory infette. La richiesta di riscatto contiene anche un collegamento a un portale di pagamento in cui le vittime possono chattare con i cybercriminali e accedere a un servizio gratuito per verificare che gli aggressori dispongano di una copia legittima della chiave di decifratura.

Secondo il ricercatore informatico Emanuele De Lucia, esperto di analisi delle minacce informatiche della startup Cluster25, dietro a Lockbit ci sarebbe un insieme criminale di venti o trenta persone, quasi tutti di lingua russa, che nel forum Exploit.in si scambiano tecniche, strumenti e consigli sulle vittime da attaccare.

A Lockbit 2.0 è possibile fare risalire varie violazioni informatiche in Italia, e il punto di collegamento sarebbe un ventenne russo noto nei forum criminali come Eastfarmer: secondo alcune ricostruzioni potrebbe essere lui all’origine del furto di credenziali che hanno permesso l’attacco alla Regione Lazio passando per server ubicati in Sardegna che avevano credenziali di accesso deboli e che sarebbero state superate con un attacco di forza bruta, cioè provando e riprovando username e password per accedere al sistema.

In seguito i criminali avrebbero venduto queste informazioni al gruppo Ransomeex, quello che poi ha chiesto il riscatto alla Regione. In attesa di evidenze dalla polizia Postale, il condizionale qui è d’obbligo.

 

Il titolo e il testo di questo articolo sono stati modificati il 19 agosto in seguito a nuove indiscrezioni che segnalano come la quantità di dati sottratti ad Accenture potrebbe essere diversa da quanto indicato inizialmente. Nel momento in cui scriviamo queste righe, l'azienda non ha ancora diramato una nota ufficiale.