Hackeraanval in de regio Lazio: salarissen van verzekerde werknemers. Gedeeltelijk herstelde back-upgegevens

De regio Lazio probeert met grote moeite terug te keren naar de normaliteit na de meest massale hackaanval ooit in Italië te hebben ondergaan. Het boekingsplatform voor vaccinaties is opnieuw geactiveerd en ook het vaccinatieregister is operationeel: in een paar uur tijd zijn er al 3.000 aanvragen geregistreerd.

Het lijkt erop dat IT-analisten en onderzoekers back-ups van de geblokkeerde servers hebben kunnen extraheren. Bevestiging rechtstreeks van Zingaretti: "We kunnen aankondigen dat de operators toegang hebben gekregen tot de back-upgegevens, laatste update op vrijdag 30 juli. Op dit moment verifiëren en analyseren we de consistentie van de gegevens om de administratieve en burgerdiensten zo snel mogelijk te herstellen ”.

De problemen blijven, schrijft de Ansa, vooral in de interne activiteit van het lichaam. In een aan de werknemers gerichte nota staat dat het bedrijfsnetwerk "Het moet niet als veilig worden beschouwd" zolang als' "het virus kan zich nog steeds verspreiden naar individuele locaties"En dat is "Het is mogelijk om op een bedrijfswerkstation te werken, op voorwaarde dat de pc fysiek is losgekoppeld door de netwerkkabel te verwijderen en deze niet aan te sluiten op de regionale wifi, indien aanwezig'.

De regio Lazio bevestigt echter dat de gezondheidsbetalingen van leveranciers en salarissen zullen worden gerespecteerd en dat, indien nodig, buitengewone betalingen al zijn gegarandeerd. Naast gezondheidsgegevens zijn ook die met betrekking tot de regionale begroting, civiele techniek en Europese EFRO-fondsen veilig.

Op het gebied van onderzoeken is de activiteit van de Postale, gecoördineerd door het Capitolijnse Openbaar Ministerie, gericht op het opsporen van de auteurs van de telematica-blitz. Het primaire doel van de onderzoekers is: zoek de Ip (het Internet Protocol-adres) van waaruit de inval begon, het stelen van de inloggegevens van een regionale medewerker van Frosinone. In deze context zou de steun van de FBI en Europol-specialisten van onschatbare waarde kunnen zijn. De verdachte van de onderzoeker is dat de organisatie mogelijk dezelfde is die in het recente verleden soortgelijke acties heeft uitgevoerd, met behulp van cryptolocker-ransomware, zoals die bij een Amerikaanse oliepijpleiding afgelopen mei. De zekerheid is dat de "aanvallers" vanuit het buitenland hebben geopereerd: de laatste "rebound" werd getraceerd in Duitsland. La Postale analyseert de gegevens van de logbestanden die in deze dagen zijn verkregen in de hoop dat de webpiraten fouten hebben gemaakt en een cruciaal spoor hebben achtergelaten voor hun identificatie. Het zwarte scherm dat de piraten stuurden waarmee ze hun actie communiceerden, is emblematisch. Het gaat dus niet om het verzoek om losgeld, maar om een ​​tussenstap om er via een “Tor”-programma toegang toe te krijgen, op het dark web. Verificaties zijn ook aan de gang, maar het rapport gaat naar een soort aftelling voor de betaling, die zaterdag zou moeten verlopen.

De meest actieve hackersgroepen in de wereld

De meest actieve hackergroepen hebben hun basis in RuslandIran e China. Sensationele was de laatste hackeraanval uitgevoerd door de Russische groep bekend als revil. De actie was aardig ransomware en raakten verschillende Amerikaanse bedrijven met serverblokkering, gegevensdiefstal of erger nog, het in gevaar brengen van toegangssleutels. De terugkeer naar normaal vindt meestal pas plaats na de betaling van grote sommen geld in cryptovaluta. Een niet te traceren betaalmethode. De meest emblematische, de aanval afgelopen mei op de grootste vleesleverancier in de VS, de JBS, waarmee u de toegangssleutels van het bedrijf terugkrijgt  hij moest 11 miljoen dollar aan "losgeld" betalen.

De Iraanse aanval. Een groep hackers, waarvan analisten beweren dat ze worden geleid door de Iraanse regering, gebruikte nepprofielen Gmail Facebook om in te breken in de servers van een Amerikaanse defensie-aannemer. Een rapport dat gisteren is vrijgegeven door het Californische cyberbeveiligingsbedrijf  Proofpoint identificeerde de hackergroep die verantwoordelijk was voor de aanvallen: Bedreiging Acteur 456 (TA456).

Ook bekend als keizerlijke kitten e schildpadschild, The TA456 volgens Proofpoint is het een van de "meest vastberaden" groepen tegen de vijanden van Iran door zich te richten op de westerse defensie-industrieën die handel drijven in het Midden-Oosten.

De meest recente operatie van TA456 het gebeurde met een eenvoudige maar effectieve truc. Ze bedachten een fictief profiel onder de naam "Marcy Flores“, Een vrouw die in de Britse stad Liverpool woonde. Deze vrouw, met een Google- en Facebook-profiel dat op de juiste manier was gevuld met afbeeldingen die het leven van een normaal persoon kostte, nam contact op met verschillende werknemers in de defensie-industrie van de Verenigde Staten. Een van deze medewerkers "pakte het aas" door vanaf 2019 te "flirten" met Flores op Facebook.

In juni 2021 stuurde Flores zijn 'virtuele minnaar' een video met een verborgen link, een malware, bekend als LEMPO, ontworpen om hackers te voorzien van kopieën van bestanden die zijn gevonden op gepenetreerde systemen. De actie heeft even geduurd, maar uiteindelijk heeft het zijn vruchten afgeworpen.

Het is geen toeval dat Facebook vorige maand zei dat het actie ondernam tegen een groep hackers in Iran om te voorkomen dat ze het meest bekende en gebruikte sociale platform ter wereld konden gebruiken.

Hackeraanval in de regio Lazio: salarissen van verzekerde werknemers. Gedeeltelijk herstelde back-upgegevens