Последнее обновление 02.01.2023 — QGames
В регионе Лацио в Италии, по сообщениям, произошла атака с использованием программ-вымогателей, в результате которой были отключены ИТ-системы региона, в том числе портал регистрации вакцинации COVID-19.
Ранним воскресным утром регион Лацио подвергся атаке программы-вымогателя, которая зашифровала каждый файл в его центре обработки данных и нарушила работу его ИТ-сети.
«В ночь с субботы на воскресенье регион Лацио подвергся первой кибератаке криминальной матрицы. Мы не знаем, кто несет ответственность и их цели», — заявил Никола Зингаретти, президент региона Лацио в заявлении на Facebook.
«Атака заблокировала почти все файлы в центре обработки данных. Кампания вакцинации продолжается в обычном режиме для всех, кто забронировал номер. В ближайшие несколько дней бронирование вакцин будет приостановлено. В настоящее время система отключена, чтобы разрешить внутреннюю проверку и избежать распространения вируса, вызванного атакой «.
Хотя известно, что банды вымогателей крадут данные во время атак в качестве рычага при попытках вымогательства, в регионе заявляют, что медицинские, финансовые и бюджетные данные находятся в безопасности.
Отключение также затронуло портал здоровья Salute Lazio, используемый для регистрации вакцин COVID-19.
«Произведена мощная хакерская атака на региональный ЦЭД. Все системы отключены, включая весь портал Salute Lazio и сеть вакцин. Все операции по защите и проверке проводятся, чтобы избежать незаконного присвоения. Операции по вакцинации могут задерживаться», — говорится в регионе. говорится в заявлении.
В июне Италия ввела новую систему сертификатов Green Pass, которая позволяет людям доказывать, что они были вакцинированы, дали отрицательный результат или ранее имели COVID-19.
Этот зеленый пропуск потребуется для посещения ресторанов и баров в помещении, а также для доступа в фитнес-центры, парки развлечений, музеи и другие места с большим скоплением людей, начиная с 6 августа.
В связи с тем, что более 70% населения Лацио вакцинировано, а число регистраций резко возросло с момента объявления политики Green Pass, есть опасения, что нарушение онлайн-вакцинации против COVID-19
Тем не менее, регион заявляет, что не было никаких сбоев в назначении на вакцинацию и что система онлайн-регистрации должна вернуться в онлайн-режим через несколько дней.
«Кампания вакцинации не остановится! За вчерашний день было введено 50 тысяч вакцин, несмотря на самую крупную кибератаку», — говорится в сообщении региона в Facebook.
Возможная атака вымогателя RansomEXX
Сегодня источники сообщили BleepingComputer, что кибератака на Лацио была проведена операцией вымогателя, известной как RansomEXX.
В отредактированной записке с требованием выкупа, полученной после нападения на Лацио, злоумышленники заявляют: «Привет, Лацио!». и предупредить регион, что их файлы были зашифрованы. Записка о выкупе также включает ссылку на частную темную веб-страницу, которую Лацио может использовать для переговоров с бандой вымогателей.
В записке о выкупе не указано, какая операция проводила атаку, но указанный URL-адрес ONION является известным сайтом Tor для операции RansomEXX.
BleepingComputer также получил снимок экрана с предупреждением о том, что регион должен заплатить выкуп за расшифровку своих файлов. Злоумышленники не потребовали выкупа.
Страницы переговоров RansomEXX уникальны для каждой жертвы, и если злоумышленники украли данные во время атаки, злоумышленники предоставляют подробную информацию на странице, включая объем украденных данных и скриншоты файлов.
В этом случае на странице переговоров не было никаких указаний на то, что RansomEXX украл какие-либо данные.
Кто такой RansomEXX
Банда RansomEXX начала свою деятельность под названием Defray в 2018 году. Однако в июне 2020 года операция была переименована в RansomEXX, где она стала более активно нацеливаться на крупные корпоративные структуры.
Подобно другим операциям с программами-вымогателями, RansomEXX взламывает сеть, используя уязвимости или украденные учетные данные.
Как только злоумышленники получают доступ к сети, они незаметно распространяются по сети, похищая незашифрованные файлы для попыток вымогательства.
Получив доступ к контроллеру домена Windows, они развертывают в сети программу-вымогатель, чтобы зашифровать все устройства.
