Stando a quanto sostengono i cyber criminali, l’attacco ransomware avrebbe permesso loro di sottrarre la bellezza di 300 gigabyte di dati, parte dei quali (poco più di 1 GB) sono stati resi pubblici per dimostrare la veridicità della rivendicazione. Tra questi, scansioni di documenti d’identità, contratti riservati e anche le credenziali di accesso a videocamere di sorveglianza di aziende e clienti privati.

In sintesi: i cyber criminali non solo bloccano i sistemi dell’organizzazione che hanno compromesso, ma sottraggono anche documenti e informazioni riservate per chiedere un riscatto ancora più elevato alla vittima. In caso di mancato pagamento, pubblicano tutti i dati rubati

Come riporta Wired, nel pacchetto di dati pubblicati c’è un po’ di tutto: email, file Excel, contratti, documentazione sulla privacy. I documenti sottratti e pubblicati dai cyber criminali contengono informazioni estremamente sensibili, come i numeri di telefono di clienti e fornitori, un buon numero di scansioni di documenti d’identità, passaporti e patenti. E ancora: documenti per la richiesta di porto d’armi delle guardie giurate, planimetrie di caserme e altre informazioni confidenziali che potrebbero mettere a rischio la sicurezza di aziende e clienti. Una vera miniera di informazioni personali, comprese (almeno in un caso) valutazioni psicologiche di dipendenti.

Uno di questi file, addirittura, riporta un elenco di circa 800 videocamere di sicurezza con tanto di indirizzo IP, porte utilizzate, username e password per l’accesso. Nel file sono indicati anche i nomi del clienti (tra cui alcune personalità di spicco del mondo imprenditoriale e sportivo, di cui Wired non fa il nome per non compromettere la loro sicurezza, fintantoché non sarà accertato un intervento sulle infrastrutture potenzialmente colpite) con tanto di riferimento al luogo in cui è installata la relativa videocamera.

Peggio ancora: guardando le credenziali di accesso, emerge che sono state create ignorando qualsiasi “buona pratica” in tema di security. Buona parte degli username utilizzano il classico “admin” e nella maggior parte dei casi viene usata sempre la stessa password. Stessa logica per altri servizi, in cui le password sono spesso composte dal nome dell’azienda e l’anno di creazione o il nome dell’azienda seguito da uno sconsolante “1234”.

Il sample pubblicato dai cyber criminali contiene 1 GB di dati, ma stando alla rivendicazione pubblicata sul suo sito di rappresentanza, RansomHouse avrebbe esfiltrato dai sistemi di Telecontrol una quantità molto maggiore di dati, cioè la bellezza di 300 GB.

Difficile dire, di conseguenza, che impatto potrebbe avere la eventuale pubblicazione del pacchetto completo. Contatta da Wired, Telecontrol non ha risposto alla richiesta di un commento sulla vicenda.

Fonte: Wired