Avvio dell’incidente:
Il tutto parte da una telefonata al Sindaco, da una presunta delegata degli affari istituzionali del Senato per una iniziativa legata ai comuni di eccellenza, la quale anticipa il ricevimento di una mail con le specifiche del progetto e le condizioni contrattuali. Ricevuta la mail, vengono aperti i due file pdf allegati.

Il data breach:
Dopo 2 gg, tutti i file del server data sono risultati criptati con estensione .venus. Immediatamente contattata le due società di consulenza informatica, avviato l’iter di seguito illustrato.

Risposta al data breach:
Aperto Data breach all’autorità garante, fortunatamente si è potuto escludere con ragionevole certezza che non sono stati esfiltrati dati e comunque la maggior parte dell’operatività garantita dagli applicativi gestionali cloud e dal server mail cloud.

Ripresa delle attività:
Uffici chiusi 2 giorni e ripresa normale attività dopo circa 7 giorni.

Problemi di sicurezza sui server:
I 2 Server erano sprovvisti di protezione antivirus e monitoraggio da parte dell’endpoint detection end response MS Defender. L’attacco partito dalla pdl Castiglione10 non ha avuto nessuna barriera di fronte a se. I 2 Server non hanno ricevuto aggiornamenti di sicurezza da aprile 2022.

Tentativi di accesso al firewall:
Sono stati rilevati tentativi di accesso al firewall da 10.0.0.11 con utente ‘root’ (tutti falliti) fino alle 00:27 del 16 marzo 2023 – si può notare che tali tentativi sono 2 ogni ora, e sono presenti da più giorni. Il firmware del firewall non risultava aggiornato. I tentativi di attacco verso il firewall potevano essere intercettati dando un primo segnale di allarme.

Azioni sulla pdl Castiglione10:
Sulla pdl Castiglione10 doveva essere bonificato prima del suo spegnimento consentendo il recupero dei dati presenti (nessun dato cifrato) e l’analisi forense con l’accesso ai log e al registro degli eventi. Sono stati rilevati comandi di eliminazione delle tracce del ransomware sulla pdl Castiglione10.

Conseguenze dell’attacco:
La serie di comandi attivati durante l’attacco hanno come scopo quello di rendere non rintracciabile l’origine dell’attacco rendendo di fatto inutilizzabile il dispositivo. Tutti i dati e il sistema operativo sono stati distrutti alla prima riaccensione dello stesso.

Misure prese post-attacco:
A valle della bonifica in accordo con IT manager si è proceduto a:

• Ripristinare velocemente i servizi primari del comune
• Migrare le applicazioni critiche su Cloud Azure