TL;DR Il report pubblicato dalla piattaforma DarkTracer sull’analisi dei log delle credenziali rubate dai sistemi compromessi dallo stealer RedLine ha evidenziato la compromissione di oltre 1000 credenziali di accesso a oltre 30 portali della PA italiana, tra cui piattaforme ministeriali e dell’Agenzia dell’Entrate.
RedLine Stealer (o più semplicemente, RedStealer) è un malware che può essere acquistato per poche centinaia di dollari e progettato per rubare le credenziali ai malcapitati che lo installano (inconsapevolmente) sui propri dispositivi.
RedLine Stealer può raccogliere informazioni dai browser web, inclusi gli accessi ai vari portali, le password, i dati di riempimento automatico, cookie e numeri di carta di credito. Una volta sottratte, queste informazioni sono usate dai criminali informatici per accedere a vari account (account social media, caselle e-mail, account bancari, portafogli di criptovalute etc.).
Oltre a questo, per completezza di informazione, RedStealer può essere usato per inoculare altro malware all’interno dei sistemi compromessi, inviare mail di phishing e molto altro.
La piattaforma DarkTracer, che da tempo monitora le credenziali rubate da RedStealer e pubblicate sul (dark)web, in un recente report ha dichiarato che sono oltre 142.000 gli utenti compromessi da questo malware, con oltre 12 milioni di credenziali rubate.
Proprio qualche giorno fa è stato pubblicato l’elenco delle credenziali di accesso (oltre 878.000) a quasi 35.000 portali governativi sottratte ad altrettanti utenti da RedStealer: nell’elenco, oltre 1000 credenziali di accesso ad alcuni dei principali portali ministeriali italiani, tra cui access.mef.gov.it, del Ministero dell’Economia e delle Finanze, dichiarazioneprecompilata.agenziaentrate.gov.it, login.anpal.gov.it ma anche credenziali di piattaforme come etnaonline.comune.catania.gov.it e login.cittametropolitanaroma.gov.it.
Importante precisare che queste credenziali sono state sottratte dai sistemi degli utenti, non dai portali stessi, ponendo tuttavia l’urgenza di migrare il più velocemente possibile –almeno per le piattaforme di accesso della PA– a soluzioni più sicure come SPID o, comunque, con almeno una MFA, abbandonando definitivamente gli accessi basati da semplice username e password.
Di seguito l’elenco completo dei portali italiani per i quali RedStealer ha sottratto credenziali di accesso, come dal report del primo trimestre pubblicato da DarkTracer.
Posizione | Dominio/URL | Credenziali compromesse |
---|---|---|
430 | access.mef.gov.it | 275 |
651 | accessnoipa.mef.gov.it | 173 |
712 | ivaservizi.agenziaentrate.gov.it | 154 |
737 | dichiarazioneprecompilata.agenziaentrate.gov.it | 147 |
970 | iampe.agenziaentrate.gov.it | 106 |
1108 | agendacie.interno.gov.it | 91 |
2835 | www.agenziaentrate.gov.it | 31 |
3405 | 730precompilato.agenziaentrate.gov.it | 24 |
4507 | login.cittametropolitanaroma.gov.it | 17 |
5074 | www.miur.gov.it | 15 |
5380 | concorsi.gdf.gov.it | 13 |
5460 | isvap.sviluppoeconomico.gov.it | 13 |
5941 | telematici.agenziaentrate.gov.it | 12 |
6860 | 2017.perlapa.gov.it | 9 |
7753 | login.anpal.gov.it | 8 |
8289 | daitformazione.interno.gov.it | 7 |
8876 | www.cliclavoro.gov.it | 7 |
8927 | www.serviziocivile.gov.it | 7 |
9120 | concorsionline.gdf.gov.it | 6 |
9976 | www.icerchie.gov.it | 6 |
10621 | iamnoipa.mef.gov.it | 5 |
10622 | iampe.adm.gov.it | 5 |
11765 | cnsnoipa.mef.gov.it | 4 |
12165 | etnaonline.comune.catania.gov.it | 4 |
13122 | sister.agenziaentrate.gov.it | 4 |
13418 | www.itisgalileiconegliano.gov.it | 4 |
13737 | attuazionedgiai.mise.gov.it | 3 |
13813 | benistrumentali.dgiai.gov.it | 3 |
14118 | daitweb.interno.gov.it | 3 |
14370 | elencosoggetti.adm.gov.it | 3 |
14799 | idm.mef.gov.it | 3 |
14800 | idp.anpal.gov.it | 3 |
14807 | iec.mise.gov.it | 3 |
14808 | iec.sviluppoeconomico.gov.it | 3 |