UPDATE: Axios Italia Service, ancora fuori uso il sistema di gestione del registro elettronico

Axios
AGGIORNAMENTO DEL 09.04.2021 ORE: 17:05

Si fa più netta la mia convinzione che a causare l’incidente informatico alla rete Axios possa essere stata una vecchia vulnerabilità Fortinet FortiOS nel portale Web SSL VPN non corretta. Una vulnerabilità classificata critica con un punteggio di 9.8/10 dal National Vulnerability Database (NVD) e scoperta nel 2018 da Meh Chang e Orange Tsai – DEVCORE Security Research Team; il 24 maggio 2019 la Fortinet aveva indicando le soluzioni da intraprendere.

Se così dovesse essere, si spiegherebbero alcuni punti della vicenda che diversamente risulterebbero incomprensibili.

  • La modalità (Telegram) usata dai cybercriminali per contattare la Axios
  • La cifra esigua di riscatto chiesta per la decrittazione della rete (2 bitcoin?)
  • La Axios ha dichiarato che il ransomware utilizzato dai cybercriminali è “di ultimissima generazione”

A metà dello scorso novembre, su alcuni canali russi di Telegram, erano comparsi diversi messaggi che riguardavano la presenza di un database con circa 50.000 nodi VPN ancora vulnerabili  (Fortinet SSL VPN CVE-2018-13379), circa 700 di questi erano riconducibili ad aziende italiane pubbliche e private, istituzioni sanitarie, fiere, utility e appunto a scuole che non avevano ancora patchato i propri sistemi. Un totale di circa 1.000 credenziali di utenti italiani come è stato riportato in un articolo pubblicato il 30 novembre 2020 da DDay.it

E’ una vulnerabilità che viene sfruttata grazie all’utilizzo di Cring, una variante ransomware molto recente che nelle ultime settimane ha preso di mira molte aziende in Europa. Ultimata la crittografia dei dati Cring rilascia una richiesta di riscatto pari a 2 bitcoin (valuta attuale circa 98.000 euro), dopo il pagamento viene rilasciata dai cybercriminali la chiave di decrittazione.

L’articolo verrà nuovamente aggiornato in caso di nuovi dettagli.

 

SuspectFile, prima della pubblicazione dell’articolo, ha inviato una email ad Axios e, per conoscenza, ad Aruba chiedendo dichiarazioni in merito. Prima della pubblicazione dell’aggiornamento non avevamo ricevuto risposte. 

 



A sei giorni dall’attacco informatico, il sistema di gestione dei registri elettronici utilizzato da oltre 2.500 scuole italiane non è stato ancora ripristinato.

La Axios Italia Service s.r.l. (Axios) era stata allertata dal personale IT di Aruba S.p.A., una società italiana leader nel campo dei servizi di data center e cloud e che fornisce, in collaborazione con la Fujitsu, la piattaforma “Scuola Digitale” a oltre 2.500 scuole italiane, riguardo un accesso non autorizzato nei sistemi informatici dell’azienda capitolina.

Nel primo comunicato stampa pubblicato sulla propria homepage alle 11:00 del 3 aprile, la Axios informava i propri clienti che

“… a seguito di un improvviso malfunzionamento tecnico occorso durante la notte, si è reso necessario un intervento di manutenzione straordinaria…”

Alle 13:20 del 5 aprile, dopo tre giorni dal primo comunicato stampa, la Axios usciva con un secondo bollettino dove avvisava che

“… nello scusarci per il protrarsi del disservizio, teniamo a informarVi che stiamo lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi web entro pochi giorni…”

Un terzo comunicato pubblicato dopo cinque ore confermava quello che probabilmente era stato paventato fin dal primo momento dai propri esperti IT; un attacco informatico di tipo ransomware.

Axios
clicca sull’immagine per ingrandire

Dopo un comunicato di servizio indirizzato al personale docente pubblicato il giorno 6 dove venivano spiegate le varie procedure per l’apertura e la chiusura “in emergenza” del registro elettronico, nella giornata del 7 aprile venivano pubblicati due nuovi comunicati. Nel primo la Axios confida in un ripristino dei propri sistemi entro la mattinata del giorno seguente, nel secondo si legge ciò che, a mio avviso, avrebbero dovuto comunicare fin dal primo giorno.

Axios-comunicato-7-aprile
clicca sull’immagine per ingrandire
UPDATE: Axios Italia Service, ancora fuori uso il sistema di gestione del registro elettronico 1
clicca sull’immagine per ingrandire

Non si conoscono i dettagli dell’attacco informatico, così come non si conosce il reale impatto che la crittazione dei dati ha avuto sui sistemi. Quanti siano stati i server e le macchine interessate nell’incidente, quale tecnica di intrusione adottata dai cybercriminali: VPN, RDP, expolit, phishing, vulnerabilità nel software “Scuola Digitale”?

Certo è che in casi simili a questo, con una rete presa in ostaggio e i dati crittati, se si decide (giustamente) di non pagare alcun riscatto, la ricerca e la correzione della/e vulnerabilità e il ripristino dei sistemi non può avvenire in tempi brevi come quelli auspicati, indicati, inizialmente dalla Axios.

Altra questione che lascia perplessi è la metodologia utilizzata dal gruppo ransomware; l’utilizzo di Telegram come canale di comunicazione con la vittima non era stato mai adottato in precedenza da gruppi di cybercriminali. Infine l’esigua cifra, alcune migliaia di euro in bitcoin, chiesta per la decrittazione della rete visto che l’ultimo fatturato dell’azienda romana è stato di oltre 6 milioni di dollari (fonte: Dun & Bradstreet, Inc.). Qualcosa mi lascia molto perplesso.

In un comunicato inviato alle scuole la Axios afferma che il tipo di ransomware utilizzato per l’attacco informatico è “di ultimissima generazione”,

UPDATE: Axios Italia Service, ancora fuori uso il sistema di gestione del registro elettronico 2

questa affermazione da parte dello staff Axios dice tutto e non dice niente. Ciò del quale dovremmo invece seriamente preoccuparci è capire se realmente, come afferma l’amministratore unico Stefano Rocchi, non vi sia stata alcuna esfiltrazione di dati durante la permanenza dei cybercriminali all’interno dei sistemi Axios. Una permanenza all’interno della rete aziendale che sicuramente è iniziata ben prima che il personale IT Aruba si accorgesse dell’intrusione.

A tale riguardo la Axios ha pubblicato un comunicato che è stato inviato ieri 8 aprile ai Dirigenti Scolastici. Nel comunicato si afferma che da parte dei cybercriminali non c’è stata alcuna visone/estrapolazione dei dati, così come non ci sono state perdite o distruzione degli stessi.

Inoltre, prosegue il comunicato, l’“attacco brutale con finalità estorsive similare a quello ricevuto
recentemente da multinazionali (esempio ACER), hanno consentito di preservare i dati gestiti nel
rispetto della normativa privacy”. 

Due considerazioni. Se non vi è stata alcuna visione, estrapolazione, perdita o distruzione dei dati non si comprende il motivo per il quale al documento sia stato dato questo nome “Comunicazione-databreach”. Inoltre non si capisce cosa intenda la Axios quando assimila l’attacco informatico subito con quello subito dalla Acer, visto che la società di Taiwan ha avuto una consistente perdita di dati. O forse la Axios si riferiva al tipo di attacco utilizzato dagli hacker per entrare all’interno dei propri sistemi IT, come avevamo scritto in questo nostro articolo sull’Acer data breach?

SuspectFile ha inviato una email ad Axios e, per conoscenza, ad Aruba chiedendo dichiarazioni in merito. Prima della pubblicazione dell’articolo non abbiamo ricevuto risposte. 

 

2 thoughts on “UPDATE: Axios Italia Service, ancora fuori uso il sistema di gestione del registro elettronico

  1. doverose precisazioni:
    a. la comunicazione-databreach è d’obbligo (GDPR docet) già solo al momento in cui sopraggiunga una semplice interruzione del servizio (e questa, per giunta, ha rilevanza d’interesse pubblico);
    b. 2 bitcoin di riscatto equivalgono a euro 100K circa: non è un importo di riscatto elevatissimo, ma congruo con il “peso” dell’azienda in questione. Comunque, consta in molto più di solo “qualche migliaia di euro”.

    saluti

  2. Corretto. In caso d’interruzione dei servizi è fatto obbligo da parte dell’entità colpita trasmettere il documento alle parti interessate denominandolo come “Notifica violazione dati personali”.
    Così come è corretta la procedura effettuata dalla Axios nel non trasmettere al Garante notifica della violazione subita visto che, come ella stessa ha scritto (sotto la voce “Cosa Fare”) al secondo e terzo punto della denominata “Comunicazione databreach” consultabile su https://axiositalia.it/wp-content/uploads/2021/04/Comunicazione-databreach.pdf , “non risultano presenti rischi per i diritti e le libertà delle persone fisiche”. E, per lo stesso motivo, “Non si ritiene neanche necessaria la notifica agli interessati (alunni, genitori, personale, ecc.).

    Anche se, la mia è una supposizione, la metodica dei gruppi ransomware di crittare i dati e di distruggerli in caso di mancato pagamento del riscatto era riconducibile a ciò che avveniva qualche anno fa.
    Ora, prima della decrittazione delle reti, eseguono una copia dei dati per usarli come leva in caso la vittima si rifiuti di pagare.
    I passaggi che avvengono appena dopo l’attacco informatico sono ormai conosciuti e quasi tutti i gruppi ransomware adottano il medesimo.
    Controllo dei dati esfiltrati per quantificarne il valore, contrattazione via chat o e-mail e (durante le fasi iniziali) in caso di mancato accordo, la pubblicazione di una parte dei dati rubati. Ecco perchè mi sembra illogico pensare non vi siano state
    ” visione/estrapolazione indebita” da parte del gruppo ransomware… ma se è stato affermato così…

    Riguardo la parte dove scrivo “qualche migliaia di euro”, in effetti nel riportare quanto scritto da un quotidiano non sono state, in modo del tutto involontario, trascritte le parole “decine di”, e ce ne scusiamo.
    Riguardo l’ipotesi possa essere stata la vulnerabilità Fortinet FortiOS non corretta è una nostra ipotesi, non abbiamo conferme visto che nè Axios, nè Aruba hanno mai risposto a queste nostre precise domande.

    – la variante del ransomware che ha colpito le vostre infrastrutture è quella denominata “Cring” ?

    – il gruppo di cybercriminali ha avuto accesso alle vostre infrastrutture grazie a una vulnerabilità non corretta (Fortinet FortiOS CVE-2018-13379 attraverso SSL VPN) ?

    – la cifra del riscatto chiesta dai cybercriminali, attraverso l’applicazione denominata Telegram, è stata pari a 2 bitcoin ?

    – quale certezza la Axios ha riguardo la non consultazione/esfiltrazione di dati sensibili dai vostri server visto che, presumibilmente, l’attacco informatico è avvenuto diverso tempo prima che i tecnici IT Aruba scoprissero l’intrusione ?

Comments are closed.