Regione Lazio: attacco con RansomEXX e LockBit 2.0

Regione Lazio: attacco con RansomEXX e LockBit 2.0

In base alle ultime informazioni sembra che l'attacco del 1 agosto contro il CED della Regione Lazio sia stato effettuato con RansomEXX e LockBit 2.0.
In base alle ultime informazioni sembra che l'attacco del 1 agosto contro il CED della Regione Lazio sia stato effettuato con RansomEXX e LockBit 2.0.

Le informazioni sull'attacco subito dalla Regione Lazio sono piuttosto confusionarie. L'unica certezza è che i sistemi informatici sono stati bloccati da un ransomware. In base alle fonti di BleepingComputer, i cybercriminali hanno usato RansomEXX per cifrare i file. Un ricercatore di sicurezza italiano afferma che ci sono prove su LockBit 2.0 e che il vero autore non è noto.

Attacco combinato con RansomEXX e LockBit 2.0

L'attacco è iniziato il 1 agosto e, come specifica la Regione Lazio su Twitter, è ancora in corso. L'assessore alla sanità, Alessio D’Amato, ha dichiarato che tutto è partito con la “violazione di un'utenza di un dipendente in smart working“. In realtà, la Polizia Postale avrebbe individuato il “punto di ingresso” nei sistemi di Engineering S.p.A. I cybercrminali hanno scoperto le credenziali di amministratore del dipendente di Lazio Crea, società che gestisce la rete informatica della Regione.

Successivamente hanno effettuato il login alla VPN di Lazio Crea e installato il ransomware nella rete del CED regionale. L'attacco tramite RansomEXX è confermato dal seguente messaggio:

Messaggio RansomEXX

Il link punta ad un sito nel dark web che permette di contattare gli autori dell'attacco. Al momento non risulta né il furto di dati né una richiesta di riscatto. RansomEXX è stato utilizzato per eseguire numerosi attacchi in passato, tra cui quelli contro la Corte di Giustizia del Brasile, il Dipartimento dei Trasporti del Texas e Konica Minolta.

Secondo il ricercatore di sicurezza italiano JAMESWT è stato effettuato un attacco anche con il ransomware LockBit 2.0. La tattica utilizzata (accesso tramite VPN e uso di due ransomware) potrebbe nascondere il vero autore dell'attacco.

Link copiato negli appunti

Ti potrebbe interessare

04 08 2021
Link copiato negli appunti