“Unione dei Comuni Terre di Pianura”, the group of cybercriminals RansomEXX publishes over 500 GB of data exfiltrated during the cyber attack on the IT structures of the “Unione”.
On their blog, within the TOR networks, cybercriminals have also published two images, the first relating to a passport of an Italian citizen and the second to an entry visa for the State of Angola, also of an Italian citizen. Unfortunately, making public stolen images related to sensitive documents is a practice that all ransomware groups have been using for a long time.
SuspectFile got in touch by telephone with the IT services manager of the “Unione dei Comuni Terre di Pianura” asking for a statement on the matter. We also wanted to inform the Union of Municipalities that RansomEXX had made over 500 GB of sensitive data available for download, but the attempt to ask him questions was unsuccessful.
We therefore decided to get in touch by telephone directly with the Secretary of the Union of Municipalities, hoping to receive at least some information from her on the data breach that involved the 4 Municipalities of the Union (Baricella, Granarolo dell’Emilia, Malalbergo, Minerbio).
Also in this case, no answers were provided, on the contrary, the Secretary himself quickly liquidated us by bouncing us back to the starting point: according to his words, to get details of the cyber incident, we should have asked for information directly from the IT manager of the Union, which we had just done to no avail. A dog chasing its own tail.
At that point we gave up deciding to publish the article with the little certain information in our possession.
The cyber attack on a Union of Municipalities is not new for this group of cybercriminals, about three months ago the same group had published almost 60 GB of data exfiltrated at the “Unione Reno Galliera” on its website. A data breach that had involved 8 municipalities in the province of Bologna, the same involved in this case.
At this point we wonder if the security problem for the IT systems of the 12 municipalities involved cannot be the same. What could bring them together? Did access to the IT systems of the Public Administrations really depend on the bad management of the IT systems by their IT departments?
SuspectFile is currently unsure, but has good reason to believe that the RansomEXX group of cybercriminals managed to break into the IT systems of Public Administrations thanks to a different security problem.
This is a topic that SuspectFile has been working on for some time and will continue to follow. We will certainly come back to this topic as soon as we have certain, irrefutable details, in the meantime our research continues.
“Unione dei Comuni Terre di Pianura”, il gruppo di cybercriminali RansomEXX pubblica oltre 500 GB di dati esfiltrati durante l’attacco informatico alle strutture IT dell'”Unione”.
Sul proprio blog, all’interno delle reti TOR, i cybercriminali hanno pubblicato anche due immagini, la prima relativa a un passaporto di un cittadino italiano e la seconda a un visto d’ingresso per lo Stato dell’Angola, sempre di un cittadino italiano. Rendere pubbliche immagini rubate relative a documenti sensibili è una pratica, purtroppo, che tutti i gruppi ransomware adottano ormai da molto tempo.
SuspectFile si è messo in contatto telefonicamente con il responsabile dei servizi IT dell'”Unione dei Comuni Terre di Pianura” chiedendogli una dichiarazione sulla vicenda. La nostra volontà era anche quella di informare l’Unione dei Comuni che RansomEXX aveva reso disponibili per il download oltre 500 GB di dati sensibili, ma il tentativo di porgli domande ha avuto esito negativo.
Abbiamo quindi deciso di metterci in contatto telefonicamente direttamente con il Segretario dell’Unione dei Comuni, nella speranza di ricevere almeno da lei qualche informazioni sul data breach che ha visto coinvolti i 4 Comuni dell’Unione (Baricella, Granarolo dell’Emilia, Malalbergo, Minerbio).
Anche in questo caso non ci sono state fornite risposte, anzi, lo stesso Segretario ci ha liquidato velocemente rimbalzandoci nuovamente al punto di partenza: stando alle sue parole, per avere dettagli dell’incidente informatico, avremmo dovuto chiedere informazioni direttamente al responsabile IT dell’Unione, cosa che avevamo appena fatto senza ottenere risultati. Un cane che si morde la coda.
A quel punto abbiamo desistito decidendo per la pubblicazione dell’articolo con le poche informazioni certe in nostro possesso.
L’attacco informatico a un’Unione dei Comuni non è cosa nuova per questo gruppo di cybercriminali, circa tre mesi fa lo stesso gruppo aveva pubblicato sul proprio sito web quasi 60 GB di dati esfiltrati all’Unione Reno Galliera. Un data breach che aveva visto coinvolti 8 Comuni in provincia di Bologna, la stessa coinvolta in questo caso.
A questo punto ci chiediamo se il problema di sicurezza ai sistemi IT dei 12 Comuni coinvolti non possa essere lo stesso. Cosa li potrebbe accumunare? L’accesso ai sistemi informatici delle Pubbliche Amministrazioni è davvero dipeso dalla cattiva gestione dei sistemi informatici da parte dei propri reparti IT?
SuspectFile al momento non ha certezze, ma ha buoni motivi per credere che il gruppo di cybercriminali RansomEXX sia riuscito a entrare nei sistemi IT delle Pubbliche Amministrazioni grazie a un diverso problema di sicurezza.
E’ un tema sul quale SuspectFile sta lavorando da diverso tempo e che continuerà a seguire. Torneremo sicuramente su questo argomento appena avremo dettagli certi, inconfutabili, intanto le nostre ricerche vanno avanti.