Attacco ransomware al sito di Postel spa, società del gruppo Poste Italiane, nella giornata di Ferragosto: la firma è del gruppo hacker Medusa Locker, che ha rivendicato l’episodio sul suo Data Leak Site (Dls). Il sito dell’azienda è risultato inattivo per diverse ore.
Il post pubblicato dalla cyber gang in concomitanza con l’attacco riporta un countdown di 8 giorni sino alla data in cui Medusa inizierà a pubblicare i dati sul suo sito underground qualora il riscatto non sia stato pagato. All’interno del post viene pubblicato che il costo del riscatto è fissato a 500.000 dollari.
Medusa scrive nel suo blog quanto segue: “Postel SpA offers computer software for sale. The Company provides software products and management services including document management, direct marketing, and e-procurement software and related services. Postel operates throughout Italy, the company’s head office is located at 5 Via Ricerca Scientifica, Padova, Veneto, 35127, Italy”. Ed inoltre offre ulteriori modi e metodi di pagamento. Ad esempio richiede 10.000 dollari per posticipare la pubblicazione dei dati di un giorno.
"La società Postel S.p.A. ha individuato delle attività anomale sui propri sistemi, attribuibili ad un attore esterno non autorizzato. La Società ha pertanto precauzionalmente interrotto le attività produttive e l’operatività di alcuni server, nonché di alcune postazioni di lavoro distribuite sul territorio nazionale.
A fronte delle attività anomale sono state tempestivamente avviate le necessarie attività di verifica, al fine di individuare i potenziali impatti sui sistemi e intraprendere le opportune e conseguenti azioni di mitigazione e di ripristino dell’operatività.
In data 15 agosto 2023, il gruppo criminale Medusa ha rivendicato tali attività, pubblicando, sul proprio blog, la notizia di un attacco ransomware effettuato sui sistemi di Postel S.p.A.
Attualmente risultano essere stati interessati solo dati interni all’azienda.
La società ha già parzialmente ripristinato i servizi e sta lavorando per completare velocemente il completo ripristino dei sistemi. Inoltre, è già stata verificata la completa disponibilità degli archivi di backup dei sistemi, verifica che permetterà una completa azione di recupero.
Si precisa che allo stato attuale si è proceduto al ripristino parziale di alcuni sistemi, in particolare dei sistemi business critical.
L’estromissione dai sistemi di Postel dell’attore malevolo è avvenuta prontamente in prossimità del rilevamento delle attività anomale stesse.
Nel caso ci fossero ulteriori aggiornamenti, sarà nostra cura tenere informati tutti gli stakeholder in ordine alle informazioni necessarie a tutelare i loro interessi."
Ecco la foto pubblicata dagli hacker con alcuni dati in possesso:
