Dopo l’hacking contro la SIAE avvenuto ieri, RHC è riuscita a porre una serie di domande agli operatori di Everest, il threat actor che ha violato l’azienda.
“Dall’intervista, gli operatori di Everest descrivono la sicurezza dell’infrastruttura della SIAE disastrosa (da 1 a 10, da loro valutata 1) e che NON sono stati cifrati i dati in quanto si è trattato di un attacco informatico classico con successiva data-exfiltration e richiesta di riscatto: “Non uso ransomware da molto tempo. Mi piace specializzarmi di più in documenti”, una delle risposte del gruppo.
Di seguito la traduzione in italiano dell’intervista rilasciata a RHC dal threat actor Everest.
RHC: Come hai acquisito l’accesso alla rete, da un intermediario di accesso, da un dipendente infedele o da solo?
Everest: da solo
RHC: Grazie per l’informazione. Se vuoi fare una dichiarazione più tardi, quando tutto sarà finito, fammi sapere che la pubblichiamo.
Everest: ho bisogno di sapere dove pubblicherai le informazioni
RHC: Su una community italiana di ricercatori di cybersecurity, dove abbiamo sempre cercato di sensibilizzare il prossimo al rischio informatico, con scarsi risultati. Sarebbe bello riferire come sei entrato e magari dare qualche consiglio su come le organizzazioni devono migliorare la sicurezza informatica per evitare questi evidenti difetti dei sistemi. In effetti siete ottimi “Auditor” per le aziende 😉 Il blog dove pubblichiamo è www.redhotcyber.com
Everest: Hai scelto bene la definizione del mio lavoro, ci stavo pensando oggi, è ora di entrare nel business dei bianchi. Mi piace spulciare tra gli scaffali e trovare tutto ciò che è nascosto 🙂 Ragazzi come te non saranno in grado di rilasciare nuove notizie, perché le grandi aziende dovrebbero preoccuparsi dei loro dati e della loro sicurezza? Non voglio ancora dirti nulla su questa azienda, ma ti dirò questo, che a queste persone non fregava nulla delle regole di sicurezza. La finanziano la sicurezza? Chiediglielo. Non potevo nemmeno immaginare e sono rimasto scioccato da come archiviano i loro dati, ho pensato che dopo XEFI ci fosse poco da sorprendermi
Ricordiamo che Everest questo anno ha colpito anche la XEFI, un partner per l’ufficio, per l’IT e per il cloud che opera principalmente in Francia.
RHC: Hai decisamente ragione. In un mondo sempre più dipendente dalle tecnologie digitali, abbiamo un grande bisogno di hacker etici e pochissimi fanno questa professione. Dobbiamo anche far capire alle organizzazioni quanto sia importante la sicurezza oggi. Le organizzazioni pensano solo a fare affari e non si rendono conto che gli affari possono fallire dopo un attacco informatico. Sono diverse le aziende che hanno chiuso per questo e ne abbiamo parlato spesso sul nostro blog. Quindi ti stiamo aspettando dall’altra parte della barricata, magari come bug-hunter? 😉 Se dovessi valutare la sicurezza informatica della SIAE da 1 a 10 quale sarebbe il valore giusto secondo te?
Everest: metterò la valutazione di questa azienda a 1, punto. Forse ti spiegherò un po’ più tardi perché è così e ti parlerò un po’ di più di questa azienda.
RHC: Volentieri per i dettagli. Quando vuoi fornirci notizie nessun problema.
1 è una situazione disastrosa. Ma perché pensi che le aziende di oggi non capiscano quanto possano essere gravi le conseguenze di un incidente di sicurezza o di un ransomware? Il direttore generale della Siae, Gaetano Blandini, ha dichiarato al Tg1: “Per fortuna non sembrerebbero esserci (tra i dati sottratti) … dati economici ma SOLO dati anagrafici relativi a carte d’identità o cose del genere”. Sembra che non sia chiaro perché la sicurezza informatica sia l’ultimo problema del mondo.
Everest: È molto strano sentire un simile comunicato stampa, probabilmente sa di cosa sta parlando. I dati personali non fanno paura, lascia che lo racconti a migliaia di truffatori di diverso tipo. Quando inizieranno a usare i passaporti in vari servizi e i clienti gli fotteranno la testa, sarà divertente. A quanto pare solo io e te sappiamo come possono essere utilizzati i dati personali, vive in un mondo parallelo. Mandami un link dove mi dice che i dati personali non sono importanti, lo pubblicherò nel blog.
RHC: Questo è proprio il limite della Cybersecurity oggi, non sanno quale sia. È una questione complessa e poche persone sanno difendere un’azienda. Il problema è che queste persone sono poche e spesso, i tecnici all’altezza, sono dall’altra parte della barricata. Se stai ancora pensando di diventare un white hacker, il mondo è costantemente alla ricerca di queste persone. 😉 Non voglio rubarti tempo, ma se posso ti faccio questa domanda. Di Everest si sa poco in rete. Facendo Osint c’è un po’ di IoC in giro, ma come sapete le riviste specializzate parlano di REvil, DarkSide, oggi di Blackmatter, Conti, ecc… Da quanto sono riuscito a capire, sembrerebbe che sia una distro di Everbe 2.0 e che sei in Russia. Non possiamo chiederti da dove operi, ma per “classificare” meglio Everest, puoi darmi qualche info in più? Ad esempio, operi in RaaS o sei una cerchia chiusa di hacker?
Everest: “sembra che sia una distro di Everbe 2.0” – Questa è una completa stronzata inventata da qualche deficiente. Non uso ransomware da molto tempo. Mi piace specializzarmi di più in documenti. Non ho nessun partner, l’annuncio è appeso all’fbi, a loro piace scrivermi tutte le sciocchezze che divertono 🙂
RHC: Quindi, per quanto ho capito, hai usato alcuni difetti di sistema, senza usare malware per la crittografia, hai rubato i dati e hai chiesto il riscatto pubblicando i campioni sul tuo data-leak-site. Qui in Italia, i professionisti del settore e devo dire anche noi, abbiamo pensato che si trattasse di un ransomware per via del riscatto. In realtà, di crittografia dei dati non si è mai parlato. Grazie per questa intervista che pubblicheremo sul nostro blog, con la speranza che la nostra bella Italia si organizzi al meglio per essere più resiliente agli attacchi informatici, cosa che a quanto pare oggi non sembra essere così. Se vuoi darci maggiori informazioni, fammi sapere. Grazie ancora per le informazioni.
Everest: No, non ho crittografato i dati di questa azienda. Scrivi se non altro 🙂
RHC: Quindi posso scrivere, niente ransomware, solo penetration-test e data-exfiltration di dati, giusto?
Everest: Giusto”