Furto dati personali: un'Italia bersagliata di cyber attacchi, cresce il flusso di dati in vendita o esposti nel dark web. 

Furto dati personali: ransomware all'attacco

Comune di Palermo, Università di Pisa, Regione Sardegna: questo l'elenco di "illustri vittime" colpite da attacchi ransomware nell'ultimo mese. Dobbiamo poi aggiungere le aziende private: l'azienda chimica Radici Group, l'azienda di trasporti Vainieri e altri, ma ci fermiamo qui.

Un passo indietro: per attacco ransomware si intende un attacco volto a richiedere un riscatto alle vittime. Una volta avuto accesso ad una rete bersaglio, gli attaccanti prima rubano i dati presenti. Quindi, in seconda fase, li criptano rendendoli indisponibili ai proprietari. A questo punto gli attaccanti iniziano a richiedere due riscatti, secondo il meccanismo della doppia estorsione:

• un riscatto per non vedere pubblicati online i dati rubati;
• un riscatto per ottenere il decryptor necessario a riportare i file in chiaro.

Se una vittima possiede i backup può risolvere, con tempo e pazienza, il problema della criptazione dei dati, chiudere l'accesso agli attaccanti e ripristinare la rete. La pubblicazione dei dati rubati, soprattutto nel caso in cui avvenga (come avviene quasi sempre) nel dark web però non ha soluzione, non c'è rimedio. Se un conto corrente esposto può essere chiuso e cambiato, alcuni dati personali come lo stato di salute, il nome e cognome non sono sostituibili.

Furto dati personali: come funziona la doppia estorsione?

Si da il caso che il meccanismo della doppia estorsione abbia portato tutti i gestori di operazioni ransomware a dotarsi di un cosiddetto "leak site". E' un sito nel dark web, nella rete Tor, dove gli attaccanti pubblicano:

• la rivendicazione di un attacco, specificando la vittima (azienda o ente);
• il countdown per pagare il riscatto / stabilire almeno una contrattazione, scaduto il quale pubblicheranno "a piccole dosi" i dati rubati;
• i dati rubati.

Ecco come si presenta il leak site del ransomware Lockbit 2.0

Ovviamente i dati non finiscono solo nel leak site degli attaccanti. Da quel momento possono circolare in centinaia di differenti forme, rivenduti nei forum del dark web per condurre truffe, per furti di identità, per rubare account ecc… Nell'immagine sottostante la rivendicazione dell'attacco all'Università di Pisa sul leak site del gruppo ransomware BlackCat:

La domanda sorge spontanea: che tipo di dati gli attaccanti pubblicano nel dark web?

Nulla di meglio di un esempio concreto: i dati che i gestori del ransomware BlackCat hanno rubato e poi reso pubblici dalla rete del Comune di Palermo. Il sito di esperti di sicurezza informatica Red Hot Cyber ha potuto visionare i sample che gli attaccanti hanno reso pubblici nel dark web. Vi si trovano:

• carte d'indentità,
• passaporti,
• analisi medice del personale;
• scambi di posta elettronica,
• i numeri di cellulare dei 1500 adetti comunali,
• nomi, cognomi, qualifiche, inquadramento dei dipendenti,
• informazioni di pagamento e estratti conto. 

Poi vi sono altri dati come informazioni sui bilanci, i contenziosi, i debiti fuori bilancio ecc..

Stessa sorte dovrebbe capitare oggi all'Università di Pisa. Scaduto il countdown, gli attaccanti hanno promesso di rivelare i dati di 10.000 studenti. 170.000 file rubati alla Regione Sardegna sono stati pubblicati poche ore fa: documenti di identità , indirizzi di residenza, numeri di telefono, email, mansionari, cambio di ruolo, stato di salute. Ci sono perfino i GreenPass. Il totale dei dati della Regione Sardegna, pubblicato dal gruppo ransomware Quantum Locker, ammonta a 155 GB.

Per saperne di più > Dati rubati: che fine fanno? Il caso SIAE

Quanto "valgono" nel dark web i dati rubati?

Il furto dati personali (e non solo) è un'attività infatti molto redditizia per i cyber criminali e dei dati c'è un vero e proprio mercato clandestino. Un articolo molto recente di Pierluigi Paganini "dà i numeri", ovvero fa sapere quanto costano nel dark web i dati personali e finanziari. Per fare alcuni esempi un passaporto russo costa circa 100 dollari invece, un selfie di un cittadino americano con il documento di identità 120 dollari.

I passaporti dell'Unione Europea valgono costano circa 3800 dollari, una carta d'identità texana costa 150 dollari. La carta di identità costa circa 150 dollari. Una carta di credito italiana invece, fa sapere NordVPN, vale circa 14 euro l'una: convenienti rispetto alle ben più ambite carte di credito giapponesi, vendute a circa 38 euro.

Ogni attacco ransomware va considerato un data breach

Le recenti vicende confermano una tendenza già in atto e della quale è necessario ormai prendere consapevolezza: un attacco ransomware non rappresenta più soltanto un tentativo di estorsione, ma, nei fatti è anche un data breach, dato che gli attaccanti hanno reso sistematico il furto dati prima di avviare la routine di criptazione. Da questo punto di vista quindi, almeno per quanto riguarda l'Unione Europea, ogni attacco ransomware va segnalato all'Authority di protezione nazionale dei dati, poiché è da ritenersi altamente probabile il furto di dati sensibili. Il miglior approccio sarebbe quindi quello della trasparenza, non tanto e non solo per l'obbligo legale, ma anche per  consentire a dipendenti, utenti e clienti di prendere adeguate contromisure di protezione.