Scoperto un massiccio data leak del malware Stealer

In testa alla triste classifica nazionale, oltre 2mila credenziali di accesso all’Agenzia delle Entrate

di Michele Pinassi*

SIENA. “1,753,658 credentials of 49,880 government sites have been leaked from users infected with Stealer malware.” Numeri spaventosi quelli diffusi ieri dal portale DarkTracer via Twitter: [Recommendations for your visitors: change password and remove stealer malware] 1.7M+ credentials of 49K+ government sites have been leaked from users infected with Stealer.
TOP 10,000 sites: https://t.co/3yvhg8mtqg

If GOV organization needs more information, please contact us. pic.twitter.com/YBiCHm0jxN — DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) March 7, 2022

L’elenco dei 10MILA siti web governativi contiene anche 41 portali istituzionali italiani, con un totale di oltre 6MILA credenziali rubate dal malware Stealer, una famiglia di codici malevoli sviluppati per intercettare e sottrarre credenziali di accesso.

No	Government Domain	Leaked credentials
113	telematici.agenziaentrate.gov.it	2.152
502	access.mef.gov.it	505
784	noipa.mef.gov.it	321
815	dichiarazioneprecompilata.agenziaentrate.gov.it	309
825	servizi.anpal.gov.it	304
894	sister.agenziaentrate.gov.it	275
1011	sinopolis.gov.it	237
1104	ivaservizi.agenziaentrate.gov.it	211
1156	agendacie.interno.gov.it	199
1448	accessnoipa.mef.gov.it	154
1509	myanpal.anpal.gov.it	147
1535	servizi.agenziaentrateriscossione.gov.it	145
1943	provincia.viterbo.gov.it	110
2230	agenziaentrate.gov.it	91
2307	cliclavoro.gov.it	87
2522	palizzicasoria.gov.it	78
2561	wisp2.pagopa.gov.it	77
3335	730precompilato.agenziaentrate.gov.it	54
3553	impresainungiorno.gov.it	50
3682	pg.camcom.gov.it	48
3714	bo-bdap.mef.gov.it	47
4759	iampe.agenziaentrate.gov.it	34
4765	isvap.sviluppoeconomico.gov.it	34
4873	login.cittametropolitanaroma.gov.it	33
5174	unioncamere.gov.it	31
5876	servizionline.enac.gov.it	26
5925	concorsi.gdf.gov.it	25
5990	palladio-tv.gov.it	25
6024	signup.cittametropolitanaroma.gov.it	25
6264	bdap-operatori.mef.gov.it	23
6356	miur.gov.it	23
6624	webmail.guardiacostiera.gov.it	22
7119	web.inpdap.gov.it	20
7549	russell-fontana.gov.it	18
7846	scuolamediapadrepio.gov.it	17
7858	servizi.lavoro.gov.it	17
9105	co.lavoro.gov.it	13
9376	refertionline.asrem.gov.it	13
9592	concorsionline.gdf.gov.it	12
9692	etnaonline.comune.catania.gov.it	12
9764	login.anpal.gov.it	12

È giusto precisare che il data breach, massiccio e preoccupante, riguarda le credenziali degli utenti dei portali indicati e non i portali stessi. Parliamo, quindi, delle postazioni di lavoro compromesse dal malware e conseguenze furto delle credenziali di accesso ai portali indicati.

Non sorprende che la classifica veda nelle prime posizioni i portali dell’Agenzia delle Entrate e del Ministero dell’Economia e delle Finanze, in particolare telematici.agenziaentrate.gov.it. Anche se dal 1° ottobre 2021, come indicato bene in prima pagina, per i cittadini l’accesso ai servizi è possibile solo usando SPID, CIE o CNS, per professionisti e imprese l’accesso usando le credenziali è ancora possibile e questo rende il data leak ancora più preoccupante.

DarkTracer si è resa disponibile a fornire maggiori dettagli alle istituzioni e credo che sarebbe opportuno che gli account compromessi venissero rapidamente bloccati, per impedirne accessi non autorizzati, avvertendo i legittimi assegnatari di quanto accaduto e di provvedere, il prima possibile, a sanificare le proprie postazioni di lavoro.

Per concludere, ricordo l’importanza di dotare tutte le postazioni di lavoro di una valida soluzione antivirus/antimalware e di evitare, per quanto possibile, l’uso promiscuo delle stesse. È importante anche mantenere protetti i propri account, attivando la MFA dove possibile e utilizzare sempre credenziali univoche per ogni servizio (un password manager come KeePassXC può aiutare nella gestione delle credenziali).

*www.zerozone.it

(Foto datamanger.it)