- Ultima modifica da un moderatore:
- Risposte: 11
Ultima modifica da un moderatore:
In data 15/08/2023 il gruppo ransomware "Medusa" ha portato a termine con successo un attacco ai danni di Postel.Sap, società di proprietà delle Poste Italiane che si occupa della gestione e dello storage di documentazione sensibile della società Poste Italiane, all'inizio si pensava fossero interessati solo dati dei dipendenti, ma più avanti come vedremo il bottino si è rilevato ben più proficuo rispetto a quanto ci si aspettava.
il giorno 15/08/2023 i siti ufficiali di PosteItaliane sono rimasti offline per diverse ore , si pensava a un disservizio fino a quando il gruppo Medusa non ha rivendicato l'attacco sul sito DRM – Dashboard Ransomware Monitor.
Il gruppo ha pubblicato delle "prove" dell'attacco che si limitavano a quello che sembravano dati interni inerti al personale a piani di marketing. In ogni caso si scongiurava la presenza di elementi sensibili inerenti la clientela dell'azienda (ovvero i fruitori dei servizi di Poste Italiane, come il sottoscritto).
Se il pagamento non fosse arrivato nei termini stabiliti il gruppo avrebbe, sulla base delle loro esplicite "minacce", diffuso l'intero bottino in rete.
Di cosa si occupa Postel nello specifico?
Al momento di queste dichiarazioni si pensava che il bottino avesse un impatto interno contenendo "solamente" dati sensibili dei dipendenti , facile pensare che a livello locale i file siano stati distrutti o crittografati visto che le richieste di riscatto non hanno avuto seguito, anche se Postel non si è pronunciata a riguardo.
Da una prima analisi, la modalità di attacco di Medusa sembra sempre seguire la metodica distintiva del gruppo.
La gang avrebbe preso di mira i dispositivi Windows attraverso ransomware, mettendo fuori uso servizi e processi del sistema operativo che avrebbero potuto impedire la crittografia dei file (come server di posta elettronica, database e software di sicurezza).
Medusa avrebbe anche eliminato i file archiviati localmente, inclusi quelli legati ai programmi di backup, al fine di prevenire il ripristino dei file.
Tutti i file crittografati avrebbero ottenuto l'estensione .Medusa, e il ransomware avrebbe creato una nota di testo contenente informazioni importanti per la vittima, spiegando quanto è accaduto.
Queste informazioni includerebbero anche l'indirizzo della pagina Tor, dove le vittime dell'attacco avrebbero potuto comunicare con il gruppo criminale, insieme ad altri dettagli di contatto.
Il comunicato di Poste Italiane
A seguire , dopo aver ripristinato i servizi della piattaforma, Poste Italiane ha rilasciato il suo comunicato stampa per dare spiegazioni sull'evento:
“In data 15 agosto 2023, il gruppo criminale Medusa ha rivendicato tali attività, pubblicando, sul proprio blog, la notizia di un attacco ransomware effettuato sui sistemi di Postel S.p.A. Attualmente risultano essere stati interessati solo dati interni all’azienda”
Al momento le operazioni di ripristino erano ancora in corso , mentre i servizi di base della piattaforma erano tornati fruibili. “Tornando al caso specifico, riconosciamo negli eventi uno schema consolidato di doppia estorsione. L’azienda colpita tuttavia è riuscita in tempi brevissimi a ripristinare i propri sistemi così come ad individuare attività sospette ed agire tempestivamente. Teniamo presente inoltre il timing dell’attacco, avvenuto in un momento critico per la quasi totalità delle imprese italiane, ovvero a cavallo di ferragosto”
Spiega Paganini: “Tutto ciò però potrebbe non bastare in quanto, stando a quando dichiarato dal gruppo Medusa e alle evidenze proposte sul suo leak site, il gruppo criminale potrebbe aver esfiltrato un quantitativo significativo di informazioni sensibili dai sistemi di Postel.
Sebbene in passato il gruppo Medusa abbia penetrato le reti delle vittime attraverso accessi remoti non presidiati in maniera idonea, non si può escludere l’utilizzo di tecniche più sofisticate”
Questi attacchi inoltre meritano particolare attenzione perché potrebbero essere il risultato di un attacco ad un fornitore di sevizi di terze parti, o peggio ancora, le informazioni interne trafugate potrebbero essere utilizzate per successivi attacchi all’azienda stessa o ad altre aziende del gruppo. Non sappiamo quali e quante informazioni siano state realmente rubate, queste ore sono cruciali per una risposta all’incidente e per limitare movimenti laterali degli attaccanti che potrebbero riproporsi nelle prossime settimane.”
Non sono mancate le critiche , anche perché Poste Italiane non è di primo pelo riguardo questa tipologie di problematiche, specie negli ultimi 3 anni da bollino nero per l'azienda, qui a seguire alcuni articoli:- Repubblica: Colpo da 5 milioni alle Poste, hacker hanno ritirato i soldi da bancomat di mezzo mondo simultaneamente: ecco come
- Il Giorno: Sito delle Poste in tilt, bloccati alcuni uffici: sospetti sugli hacker russi e smentite
- Euronews: Poste Italiane smentisce attacco hacker russo
- Giano.news: POSTE ITALIANE PARALIZZATE DA IERI POMERIGGIO: ATTACCO HACKER?
- QuiCosenza: Attacco hacker al sito di Poste Italiane, nessun disservizio
- Cybersecurity360: Frodi ai danni di Poste Italiane: ecco le più comuni e come difendersi
Le critiche a Postel
L'epilogo dell'accaduto
Passati 10 giorni in cui Postel non ha espresso l'intenzione ne ha pagato il riscatto richiesto , arriviamo alla pubblicazione del leak tanto agognato , i danni sono di lunga superiori al previsto come preannunciato da Bernieri.
Il Gruppo Medusa ha pubblicato sul proprio sito i dati rubati a Postel, società controllata da Poste Italiane. Tra cui carte di identità, passaporti, attestati e altri dati personali dei dipendenti corredati da informazioni interne del gruppo.
Gran parte del materiale diffuso consiste in password, accessi a Spid, alcune email che riportano in testa la dicitura “confidenziale” o “riservata” di proprietà dei clienti e informazioni su congedi parentali e malattia dei dipendenti di Postel, si parla addirittura di materiale sensibile inerente alla situazione Covid.
Sui canali social dell’azienda Postel non è presente ancora nessuna comunicazione in merito.
Insomma sappiamo bene che dal 2020 ad oggi il nostro paese è in una situazione colabrodo specie sul lato della pubblica amministrazione che in teoria dovrebbe essere l'istituzione più sensibile sul tema cybersecurity , ma ancora una volta la situazione è grave.
Vorrei dei vostri pareri a riguardo , sulla gestione dell'evento , sul come poter migliorare , se era il caso o meno di assecondare le richieste del gruppo visto il danno fatto.
Fatemi sapere, e come sempre ....

Fonti: