上周日清晨,意大利拉齐奥地区遭受勒索软件攻击,加密了其数据中心的每一个文件,并破坏了其IT网络。故障还影响了用于注册COVID-19疫苗的Salute Lazio卫生门户网站。
“在周六和周日之间的夜晚,拉齐奥地区遭受了第一次犯罪矩阵的网络攻击。我们不知道谁是责任人和他们的目标。”拉齐奥地区主席Nicola Zingaretti在Facebook上的一份声明中说。”这次攻击几乎封锁了数据中心的所有文件。对所有已预订的人来说,疫苗接种活动继续正常进行。疫苗预订将在未来几天暂停开放。目前,系统已经关闭,以便进行内部核查,并避免随着攻击引入的病毒的传播。”
虽然众所周知勒索软件团伙会在攻击中窃取数据作为敲诈的筹码,但该地区表示健康、财务和预算数据是安全的。
6月,意大利建立了一个新的’绿色通行证’证书系统,允许人们证明他们已经接种了疫苗,检测结果为阴性,或以前有COVID-19。
从8月6日开始,在餐厅和酒吧的室内就餐时将需要这种绿色通行证,进入健身中心、娱乐公园、博物馆和其他有大量人群的场所也需要出示。
由于拉齐奥地区超过70%的人口接种了疫苗,而且自宣布绿色通行证政策以来,注册人数大量增加,人们担心在线接种COVID-19疫苗的干扰。
然而,该地区表示,现有的疫苗接种预约没有受到干扰,在线登记系统应该在几天内恢复上线。
“疫苗接种活动不会停止!。在昨天的日子里,尽管遭受了最大的网络攻击,但还是接种了5万支疫苗。”该地区在Facebook上说。
消息人士透露说,对拉齐奥的网络攻击是由一个被称为RansomEXX的勒索组织操作进行的。
在一份从拉齐奥的攻击中分享的截图可以看到,威胁者表示:”你好,拉齐奥!”并警告该地区他们的文件被加密了。截图还包括一个暗网页面的onion链接,拉齐奥可以用它来与勒索软件团伙进行谈判。其列出的onion地址是RansomEXX勒索组织的一个已知的Tor网站。
RansomEXX的谈判页面对每个受害者都是独一无二的,如果威胁者在攻击过程中窃取了数据,威胁者会在页面上提供细节,包括窃取的数据量和文件的截图。
意大利安全研究员JAMESWT表示,在意大利有证据表明这次攻击是由LockBit 2.0进行的,但不能分享进一步的信息。
RansomEXX勒索组织
RansomEXX勒索团伙最初是在2018年以Defray的名义发起行动。在2020年6月,该组织改名为RansomEXX,并开始更积极地针对大型企业实体。
与其他勒索软件行动类似,RansomEXX将利用漏洞或偷来的凭证侵入网络。