Il 3 ottobre 2023 è stata pubblicata una rivendicazione di attacco ai danni di Toscana Promozione da parte del collettivo hacker MoneyMessage. Cerchiamo di capire cosa è successo.
Dati sull’incidente
I dati riportati sulla piattaforma Ransomfeed fanno riferimento alla data 03/10/2023 ore 17:50:47 e corrispondono con quelli pubblicati dal collettivo hacker. Bisogna tenere presente (ma è opportuno considerare che si tratta di un’ipotesi) che i dati vengono pubblicati dai collettivi hacker dopo 4-5 giorni dalla data d’infezione. Se questa ipotesi fosse corretta, l’infezione avrebbe colpito Toscana Promozione tra il 29 e il 30 di settembre.
Che cosa è Toscana Promozione
Toscana Promozione (https://www.toscanapromozione.it) è un’iniziativa della Regione Toscana avente come finalità la promozione del territorio. Sul sito ufficiale, al riguardo, si legge chiaramente:
la Regione ha deciso di dar vita a Toscana Promozione Turistica. La nuova Agenzia regionale ha il compito di lavorare al fianco dei territori per la costruzione e la promozione delle destinazioni e dei prodotti turistici territoriali che compongono l’offerta regionale […] L’Agenzia regionale Toscana Promozione Turistica è stata istituita con la L.R. 22/2016 ed è ufficialmente operativa dal 1° aprile 2016.
Fonte: Toscana Promozione (LINK)
Dati esposti
Al momento della scrittura del presente articolo i dati esposti dal collettivo MoneyMessage sono numerosi ed eterogenei. Dal nome di file e cartelle si intuisce piuttosto chiaramente che nel sample sono presenti carte di identità, estratti conto, documenti fiscali ma sembrano esserci anche un’estesa quantità di file contenenti password. Alcuni sembrano essere in formato testo (txt) e altri in formati documentali (ad es.: Excel). Stando a quanto pubblicato dagli hacker è importante notare la presenza di una cartella denominata Keepass, che fa riferimento al celebre portachiavi per il contenimento di password e credenziali di accesso. Il portachiavi di per sé sarebbe cifrato e quindi sicuro ma all’interno della stessa cartella Keepas è presente un file di testo denominato “keepass.txt” Se il file contenesse la master password per sbloccare il portachiavi si renderebbe vana la protezione della cifratura esponendo tute le eventuali credenziali contenute nel portachiavi.
In merito alle credenziali, come già scritto, si ha l’impressione, dal nome dei file e dalle posizioni in cartella, che le credenziali di accesso siano sparse tra più file e riguardino svariati servizi, inclusi servizi web di hosting e cloud. Alcuni fine sono di fatto nominati in modo simile a quelli riportati di seguito:
password servizio.txt accessi servizio.txt
Se così fosse gli hacker avrebbero avuto accesso ad una numerosità elevata di informazioni riservate (le credenziali) e forse anche ai contatti dell’agenzia per via di alcuni file che sembrano richiamare la presenza di una mailinglist. C’è, inoltre, da notare anche la presenza di numerose informazioni di carattere personale afferenti presumibilmente ai dipendenti: nei titoli dei file si fa riferimento a nomi e cognomi che risultano compatibili con quelli pubblicati nell’organigramma dell’agenzia.
Altre informazioni e conclusioni
Al momento sul sito di Promozione Toscana non è presente alcun avviso in merito al data breach subito, la notizia più recente contenuta nella sezione news è del 28 settembre 2023.
In questi casi il rischio maggiore è che tra i dati trafugati, oltre a dati personali (anche di categoria particolare) vi siano anche credenziali per l’accesso a servizi che le organizzazioni utilizzano. Tuttavia vi potrebbe essere un ulteriore pericolo: nei recenti data breach è stato constatato come i dati e le credenziali personali siano state sottratte assieme a quelle aziendali raddoppiando il danno derivante dall’incidente. L’auspicio è che questo caso possa essere differente anche se, a giudicare dalla struttura di file e cartelle, la situazione sembra suggerire il contrario.