Ransomware vyřadil v italském regionu IT systémy, včetně portálu pro registraci očkování proti covidu-19

V neděli 1. srpna brzy ráno postihl region Lazio ransomwarový útok a došlo k zašifrování veškerých souborů v jeho datovém centru a narušení provozu IT.

„V noci ze soboty na neděli utrpěl Regione Lazio první kybernetický útok zločinecké matrice. Nevíme, kdo je za něj zodpovědný a jaké jsou jeho cíle,“ uvedla v prohlášení na Facebooku Nicola Zingaretti, předsedkyně regionu Lazio.

Výpadek postihl také zdravotnický portál Salute Lazio, který slouží k registraci na vakcíny covid-19. „Útok zablokoval téměř všechny soubory v datovém centru. Očkovací kampaň pokračuje normálně pro všechny, kteří si ji objednali. Rezervace očkování jsou prozatím pozastavené. Systém je v současné době odstaven, aby bylo možné provést interní ověření a zabránit šíření viru zavlečeného s útokem,“ uvedli zástupci regionu.

Ransomwarové gangy během útoku kradou data jako páku při pokusech o vydírání, nicméně region uvádí, že zdravotní, finanční a rozpočtová data jsou v bezpečí.

„Došlo k silnému hackerskému útoku, všechny systémy jsou vyřazeny z provozu, včetně celého portálu Salute Lazio a sítě vakcín. Probíhají veškeré obranné a ověřovací operace, aby se zabránilo zneužití. Očkovací operace mohou mít zpoždění,“ stálo dále v prohlášení.

V červnu Itálie zavedla nový systém certifikátů „Green Pass“, který umožňuje lidem prokázat, že byli očkováni, testováni s negativním výsledkem nebo že v minulosti prodělali očkování proti nemoci covid-19. Tento průkaz bude od 6. srpna vyžadován při stolování v restauracích a barech a bude vyžadován pro vstup do fitness center, zábavních parků, muzeí a dalších míst s velkým počtem lidí.

Vzhledem k tomu, že více než 70 % populace Lazia je očkováno a od oznámení politiky Green Passu došlo k masivnímu nárůstu registrací, existují obavy, že dojde k narušení online registrací k očkování proti nemoci. Region však uvádí, že nedošlo k žádnému narušení stávajících termínů očkování a že online registrační systém by měl být opět v provozu během několika dní.

„Očkovací kampaň se nezastaví! Za včerejší den bylo podáno 50 tisíc vakcín, a to i přes kybernetický útok,“uvedl kraj na Facebooku.

Podle BleepingComputeru byl kybernetický útok na Lazio proveden skupinou RansomEXX. V redigovaném výkupném sdíleném z útoku na Lazio aktéři hrozby varují region, že jejich soubory byly zašifrovány. Poznámka s výkupným obsahuje také odkaz na soukromou dark-web stránku, kterou může Lazio použít k vyjednávání. V poznámce o výkupném není uvedeno, jaká organizace útok provedla, ale uvedená adresa ONION-URL je známá torová stránka pro RansomEXX.

Podle vyjednávací stránky musí region zaplatit výkupné za dešifrování svých souborů. Aktéři hrozby však neuvedli žádný požadavek na výkupné. Stránky pro vyjednávání RansomEXX jsou pro každou oběť jedinečné, a pokud aktéři hrozby během útoku ukradli data, poskytují na stránce podrobnosti, včetně množství ukradených dat a snímků obrazovky souborů. V tomto případě ale stránka pro vyjednávání neobsahovala žádné údaje o tom, že by RansomEXX ukradl nějaká data. Italští odborníci spekulují o tom, že by mohlo jít o ransomware LockBit 2.0.

Gang RansomEXX zahájil svou činnost původně pod názvem Defray v roce 2018. V červnu 2020 se však rebrandoval na RansomEXX a začal se aktivněji zaměřovat na velké korporátní subjekty.

RansomEXX podobně jako u jiných operací ransomwaru pronikne do sítě pomocí zranitelných míst nebo ukradených loginů. Jakmile aktéři hrozby získají přístup do sítě, tiše se šíří sítí a zároveň kradou nešifrované soubory pro pokusy o vydírání. Po získání přístupu k řadiči domény Windows nasadí v síti ransomware, který zašifruje všechna zařízení. Gang RansomEXX má za sebou řadu útoků na významné cíle, včetně brazilských vládních sítí, texaského ministerstva dopravy (TxDOT), společností Konica Minolta, IPG Photonics a ekvádorské CNT.

Zdroj: Bleeping Computer