L’Italia nel mirino di vari avversari, nuove sanzioni per LockBit Team, Sofacy contro diversi Paesi europei

Italia: offensive hacktiviste, ransomware e di phishing 

Nella settimana appena conclusa sono state rilevate diverse offensive contro realtà del nostro Paese. Nello specifico, il collettivo filorusso NoName057(16) ha rivendicato DDoS contro diversi portali italiani, presumibilmente collegati alle attività di altri hacktivisti sempre mirate all’Italia. Tra i target identificati figurano: i ministeri delle Imprese e del Made in Italy, delle Infrastrutture e dei Trasporti e del Lavoro e delle Politiche Sociali, la Guardia di Finanza, il sito web ufficiale di Giorgia Meloni, CTM S.p.A. Cagliari, ATB Azienda Trasporti Bergamo, Autostrade per l’Italia, Gruppo Torinese Trasporti, Trentino Trasporti, la Commissione nazionale per le società e la borsa (CONSOB) e il Consiglio Superiore della Magistratura. Questi si aggiungono al Porto di Taranto, all’AGCM – Autorità Garante della Concorrenza e del Mercato e all’aeroporto di Bologna colpiti nel weekend tra il 4 e il 5 maggio 2024. Sul versante ransomware, invece, LockBit Team ha annunciato la compromissione di Orsini Group Divisione Imballaggi S.r.l., Randi Group, Agencavi Systems e Interfashion S.p.A.; mentre Black Basta Team di SYNLAB Italia, GAI Macchine Imbottigliatrici S.p.A. e Tea S.p.A. Per quanto riguarda il phishing, sono state tracciate campagne che hanno previsto lo sfruttamento di: false convocazioni giudiziarie a nome del Capo della Polizia e Direttore Generale della Pubblica Sicurezza Vittorio Pisani; loghi e nomi della Presidenza del Consiglio dei Ministri; e di una falsa pagina dell’Agenzia delle Entrate, quest’ultima utilizzata per veicolare malware denominato VBLogger. Da ultimo, l’Università di Siena ha comunicato di aver subito un attacco che ha reso necessaria la chiusura della rete in entrata e in uscita dell’ateneo e l’avvio delle operazioni di verifica e di bonifica dell’integrità dell’infrastruttura.

LockBit Team: svelata la seconda fase dell’Operation Cronos 

In data 7 maggio 2024, le autorità di Regno Unito, Stati Uniti e Australia hanno svelato la seconda fase dell’Operation Cronos – sostenuta da Europol ed Eurojust – riguardante le sanzioni intraprese nei confronti di LockBit Team. Stando a quanto riportato, il cittadino russo di 31 anni Dmitry Yuryevich Khoroshev – secondo le autorità leader del gruppo ransomware conosciuto anche come LockBitSupp, LockBit e putinkrab – è ora soggetto a una serie di congelamenti di beni e divieti di viaggio emessi dall’Ufficio per gli Affari Esteri, il Commonwealth e lo Sviluppo del Regno Unito, dall’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti e dal Dipartimento per gli Affari Esteri e il Commercio dell’Australia. I pubblici ministeri degli USA hanno inoltre reso pubblica un’accusa nei suoi confronti, basata sul suo presunto ruolo di creatore, sviluppatore e amministratore di LockBit Team dalla sua nascita nel settembre 2019 fino a oggi, che ha permesso a lui e ai suoi affiliati di causare danni per miliardi di dollari a migliaia di vittime in tutto il mondo. In aggiunta, il Dipartimento di Stato americano ha annunciato una ricompensa fino a 10 milioni di dollari – circa 9.308.000,00 euro – per informazioni che portino all’arresto e/o alla condanna di Khoroshev. Il nome di quest’ultimo figura in un atto d’accusa di 26 capi d’imputazione. Tale incriminazione fa parte della costante azione di disturbo nei confronti dell’ecosistema criminale LockBit, la cui prima fase avvenuta nel febbraio 2024 ha portato alla compromissione della piattaforma principale del collettivo e di altre infrastrutture critiche. Grazie ai dati ottenuti dai sistemi del gruppo, il Centro europeo per la lotta alla criminalità informatica (EC3) di Europol ha diffuso circa 3500 pacchetti di intelligence contenenti informazioni sulle vittime di LockBit in 33 Paesi. In aggiunta, sempre con il supporto di Europol, la Polizia giapponese, l’NCA del Regno Unito e l’FBI degli USA hanno sviluppato strumenti di decriptazione appositamente progettati per recuperare i file criptati dal ransomware (oltre 2500 chiavi per la decryption). Infine, il sito dei leak dell’operazione Ransomware-as-a-Service (RaaS), controllato dall’NCA a partire da febbraio, è stato riprogettato per ospitare una serie di articoli che espongono le diverse azioni intraprese contro LockBit, oltre a varie informazioni che denunciano il gruppo criminale. 

Sofacy: condannate le attività dell’APT a livello europeo e internazionale 

Tra il 2 e il 3 maggio 2024, la NATO, l’Unione europea (UE), la Germania, la Repubblica Ceca, il Regno Unito e gli Stati Uniti hanno condannato fermamente le attività del gruppo state-sponsored russo Sofacy – legato a doppio filo con il GRU (Glavnoe Razvedyvatel’noe Upravlenie) del ministero della Difesa – condotte nell’ambito di una campagna di spionaggio informatico a lungo termine rivolta contro diversi Paesi europei. La Cechia ha dichiarato che a partire dal 2023 alcune istituzioni sono state oggetto di attacchi basati sullo sfruttamento di una vulnerabilità di Microsoft Outlook all’epoca sconosciuta. Dal canto suo, il governo federale tedesco (Bundesregierung) ha attribuito all’avversario un’operazione che ha preso di mira la sede del Partito Socialdemocratico di Germania (sempre tramite l’abuso di una falla di Microsoft Outlook), nonché aziende tedesche dei settori logistico, della Difesa, aerospaziale e dei servizi informatici, oltre a fondazioni e associazioni. Stando a quanto riferito, società dei medesimi settori sono state attaccate anche all’estero. Il Consiglio dell’UE ha inoltre riferito che istituzioni, agenzie ed enti statali in alcuni Stati membri, tra cui Polonia, Lituania, Slovacchia e Svezia, sono già stati presi di mira dallo stesso attaccante e che tale campagna rivolta contro Paesi europei evidenzia il continuo comportamento irresponsabile della Russia nel cyberspazio. Anche la NATO si è espressa in merito affermando che i suoi alleati sono profondamente preoccupati per le recenti attività malevole di Mosca che costituiscono una minaccia per la sicurezza, comprese quelle che hanno portato all’indagine e all’incriminazione di più individui in relazione ad offensive state-sponsored ostili che hanno interessato la Cechia, l’Estonia, la Germania, la Lettonia, la Lituania, la Polonia e il Regno Unito. In conclusione, Stati Uniti e Regno Unito si sono uniti ai partner e agli alleati internazionali per condannare gli attacchi dei servizi segreti russi. Ad essi, in un secondo momento, si è aggiunta la Polonia il cui Computer Emergency Response Team (CERT Polska – CSIRT NASK) e Computer Security Incident Response Team del ministero della Difesa (CSIRT MON) hanno rilevato un’operazione su larga scala sempre dell’APT di Mosca rivolta contro istituzioni governative del Paese.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.