Gli attacchi che mirano al furto di dati, specie quando si tratta di istituzioni o enti pubblici, sono ancora all’ordine del giorno in tutta Europa, dove da tempo ormai, anche a causa delle agitazioni geopolitiche il numero di offensive da parte degli hacker è lievitato in modo molto rapido e altrettanto preoccupante.
In questo approfondimento parliamo del caso dell’Università degli Studi di Genova, che nei giorni scorsi ha subito un attacco, da parte del gruppo hacker chiamato Ransomhub, che ha portato alla perdita di una ingente quantità di dati. Andando per ordine, lunedì 9 settembre è arrivata una rivendicazione riguardante un data leak all’interno di uno dei siti nei quali i gruppi criminali pubblicano e mettono in vendita i pacchetti rubati. Il problema è che tali pubblicazioni solitamente vengono effettuate come ultimo step di un percorso che va avanti anche da molto tempo, durante il quale i criminali sono riusciti ad agire in modo più o meno libero a rubare tutto ciò che gli interessava per poi monetizzare.
Nel forum in cui è stato pubblicato il pacchetto viene proprio spiegato che il sito unige.it, riferito all’Ateneo di Genova, è la vittima del data breach e che sono stati rubati dati per una quantità di 18 GB e, senza però specificarlo direttamente, si capisce che tra le informazioni rubate ci sarebbero anche dati sensibili e personali dei dipendenti, ad esempio i certificati di malattia per giustificare le assenze. Gli hacker hanno anche dato una sorta di conto alla rovescia alle vittime, dicendo che se entro 12 giorni non verranno rispettate le condizioni per il rilascio dei dati, essi verranno interamente pubblicati in rete.
Nell’attesa di avere più informazioni e per capire quali saranno le ramificazioni dell’accaduto, gli esperti hanno raccontato un po’ di più sul gruppo responsabile del furto, ovvero Ransomhub. Questi hacker sono diventati particolarmente famosi solo a partire dal febbraio di quest’anno, mese a partire dal quale hanno accumulato centinaia di segnalazioni di attacchi a loro carico e rivendicazioni. Come modalità d’azione si può notare che Ransomhub non pubblica mai in chiaro la cifra richiesta per il riscatto dei dati. Una volta insinuatosi, il ransomware rilascia una nota sul device infettato che rimanda poi alla visualizzazione di una pagina mediante il browser Tor dalla quale, dopo aver inserito l’ID fornito dagli stessi criminali, si inizia ad entrare in contatto per le negoziazioni dirette. Questa parte, per la notizia sull’Università di Genova trattata in questo articolo, non è ancora stata resa pubblica, così come non si sa come abbiano fatto gli hacker ad insinuarsi nei sistemi, ma è molto probabile che già a partire dai prossimi giorni si possano avere maggiori notizie. Fino ad allora sarà difficile fare riflessioni in merito, poiché se si trattasse del classico errore umano sarebbe logico chiedere una maggiore educazione alla cybersecurity del personale, mentre lo sfruttamento, ad esempio, di una vulnerabilità nota porterebbe ad una responsabilità di altre figure.
Fonte: 1