Il mese di agosto ci ha portato una serie di eventi di cybersecurity che hanno confermato la crescita di minacce come ransomware ed estorsioni collegate ad attacchi DDoS; la scoperta di nuove vulnerabilità gravi; eventi (come la multa a Capital One e le accuse all’ex CSO di Uber) che mettono in primo piano l’importanza di un corretto Cyber Risk management.
Il mese è iniziato con nuovi sospetti su “incursioni online” alla ricerca di dati preziosi sui vaccini in corso di sperimentazione contro il Covid19. Se a luglio il Dipartimento di Giustizia USA aveva incriminato due hacker cinesi (Li Xiaoyu e Dong Jiazhi) per aver condotto una decennale attività di ricerca e sottrazione di informazioni critiche, tra cui di recente anche quelle riguardanti le ricerche in corso per combattere il coronavirus, a inizio agosto è stata invece la volta di Moderna, una biotech company del Massachusetts, ad essere presa di mira da un gruppo di hacker collegati con il governo cinese. Secondo quanto riportato da Reuters, Moderna aveva da poco annunciato di essere entrata nell’ultima fase della sperimentazione del vaccino anti-Covid (stava per lanciare un test con circa 30mila persone). La società ha dichiarato di essere in contatto con l’FBI e ti tenere sotto controllo le attività sospette, ossia, tentativi di attacco volti a individuare eventuali vulnerabilità del web e delle reti per entrare nei suoi sistemi.
Figura 1: Hacker collegati al governo cinese accusati di aver preso di mira la società biotech Moderna, attiva nella ricerca di un vaccino contro il coronavirus.
Il 6 agosto è stata resa nota la multa di 80 milioni di dollari inflitta a Capital One, per l’hack del marzo 2019 che aveva portato alla perdita di dati relativi alle carte di credito per oltre 100 milioni di clienti. La motivazione dell’OCC (U.S. Office of the Comptroller of the Currency, regola le banche nazionali USA) è che Capital One non aveva in piedi “processi efficaci di risk assessment prima della migrazione delle attività IT agli ambienti cloud”. In effetti l’incidente di sicurezza (compiuto da Paige Thompson, prima attiva come software engineer di Amazon) è stato possibile per una cattiva configurazione di un web application firewall: sfruttandola, la Thompson ha potuto accedere a tutte informazioni contenute nel server di Capital One, dati poi trasferiti su GitHub, condivisi in chat Slack e riportati sui social media. A Capital One è stato prescritto di prendere misure adeguate e assicurare l’adesione ai maggiori standard di sicurezza: di sicuro dovrà fare maggiore attenzione nell’uso di servizi cloud, con accorgimenti come un migliore controllo degli accessi, un’autenticazione più forte, piani di incident response, facendo quindi più attenzione a non contare troppo sulla sicurezza del cloud provider.
Figura 2. La multa a Capital One è un avviso a utilizzare in modo più sicuro il cloud
Una serie di attacchi ransomware hanno poi preso di mira in agosto varie società. Un produttore di macchinari utilizzati per l’emergenza Covid (Boyce Technologies), prima dell’attacco era in grado di realizzare, con linee di fabbrica automatizzate, fino a 300 respiratori utilizzati in ospedale dai malati. Il blocco causato dal ransomware ha quindi avuto un impatto anche sulla gestione dell’emergenza sanitaria. Sempre all’inizio del mese si è avuto notizia di un attacco ransomware devastante che ha preso di mira la multinazionale giapponese Canon: 10 TB di dati cifrati, un paio di dozzine di siti bloccati, problemi agli ambienti di posta e collaborazione. E’ stato attribuito al gruppo di hacker Maze, che ha dichiarato che, in mancanza di pagamento del riscatto, avrebbe pubblicato o rivenduto i file trafugati. E in effetti è quello che si è verificato successivamente (non si sa se per il rifiuto di Canon di pagare il riscatto o se per un ritardo sui termini richiesti per il pagamento): fatto sta che gli hacker hanno effettivamente pubblicato circa 2 GB di dati una settimana dopo il primo attacco.
Maze aveva tra l’altro colpito con successo a giugno la multinazionale Xerox (circa 100 GB di dati trafugati), quindi solo poche settimane prima. Stessa notizia anche per Konica Minolta, solo che in questo caso, secondo quanto dichiarato dalla stessa, non ci sarebbe stato alcun impatto: in realtà, qualche cliente aveva avuto problemi a inviare messaggi tramite il portale di Customer Service. La variante di ransomware in questo caso sarebbe stata RansomEXX.
A metà agosto, è stata invece la volta di Brown-Forman (distributore del famoso whiskey Jack Daniel’s, oltre che di altre bevande). Gli attaccanti (il gruppo Sodinokibi che utilizza il ransomware-as-a-service REvil), ha dichiarato di aver dedicato un mese per accedere ai servizi, allo storage in cloud e alla struttura generale del network di Brown-Forman, e di aver copiato 1 TB di dati, tra cui anche informazioni private dei dipendenti, contratti, documenti amministrativi e corrispondenza interna. Alcuni screeshot di file di backup sono già state pubblicate. Anche in questo caso, in mancanza del pagamento del riscatto, gli hacker hanno dichiarato che renderanno pubblici i file. Sempre a metà agosto, a subire un attacco ransomware con esposizione di dati personali dei clienti e dei dipendenti è stata la maggiore linea di crociere Carnival: l’intrusione ha riguardato i sistemi IT di uno dei brand Carnival, e ha portato alla cifratura di parte del network, mentre altri dati sono stati esfiltrati. La società teme ora azioni legali conseguenti all’incidente.
Molti si sono poi stupiti quando il 21 agosto è arrivata la notizia che il CSO di Uber, Joe Sullivan (in carica quando nel 2016 avvenne il noto data breach con esposizione di informazioni per 57 milioni di utenti del servizio di car sharing) è stato accusato dai pubblici ministeri federali di aver nascosto il data breach ostacolando la giustizia. Inoltre, come è stato denunciato alla corte del distretto settentrionale della California, il CSO avrebbe pagato gli hacker con un compenso di 100mila dollari. L’avvocato di Sullivan (che in questo momento è il CSO di CloudFlare) ha risposto che le investigazioni successive al data breach erano state affidate a un team di esperti di security, che avevano da subito collaborato con altri team (legali, comunicazione) di Uber. Quindi, le responsabilità erano condivise, o comunque, afferenti ai legali della società, che secondo le policy interne, avrebbero dovuto decidere come e a chi rivelare i fatti. Va osservato inoltre che l’incidente fu reso pubblico da Uber nel 2017, e nel settembre 2018, Uber ha accettato di pagare 148 milioni di dollari per chiudere l’indagine sulla violazione dei dati del 2016. Nell’accordo, con i procuratori generali di tutti i 50 stati e Washington, DC, era sancito che Uber avrebbe sviluppato un programma per consentire ai dipendenti di segnalare comportamenti non etici, sarebbe stato adottato un modello di notifica della violazione dei dati e nuove policy di sicurezza dei dati, che sarebbero state verificate da una terza parte indipendente.
Numerose le vulnerabilità annunciate poi nel corso del mese di agosto: la NSA americana ha sottolineato il problema per la sicurezza nazionale costituito dalla costante raccolta di dati di localizzazione dagli smarthpone; l’FBI ha inviato un alert al settore privato sui rischi legati all’utilizzo di computer con sistema operativo Windows7 (che senza aggiornamenti di sicurezza, è destinato a diventare sempre più vulnerabile a possibili attacchi esterni); ricercatori di Check Point hanno messo in luce i bug di telefoni Android (parlando di oltre 400 vulnerabilità associate ai chip Qualcomm Snapdragon chip, che sono oggi presenti almeno nel 40% dei telefoni Android). Nuove accuse anche per gli speaker Amazon Alexa: una serie di bug avrebbero potenzialmente permesso ad hacker di svolgere azioni malevole come installare app, leggere informazioni su un account privato Alexa, accedere alla storia di tutte le registrazioni voci, accedere a una serie di dati personali della vittima (tra cui username, indirizzo di casa e telefono).
Infine, la borsa della Nuova Zelanda per tre giorni di fila ha dovuto fermare le attività di trading a causa di un attacco DDoS: gli hacker incriminati sono un gruppo specializzato in attacchi di questo tipo, rivolti al settore finanziario in cambio di estorsioni in denaro. Con nomi come Armada Collective e Fancy Bear (presi in prestito da famosi gruppi di hacker), gli attaccanti inviano mail minacciando attacchi DDoS e chiedendo estorsioni in Bitcoin. Gli attacchi in questione possono raggiungere i 200 Gb/sec (come ha allertato Akamai). Come riportato il 31 agosto da Reuters, gli attacchi sono proseguiti anche nei giorni successivi, mandando in crisi il sito web ma permettendo alla borsa della Nuova Zelanda di mantenere l’operatività di trading, grazie alla messa in azioni di un piano di contingency.
A cura di:
Elena Vaciago
Associate Research Manager, The Innovation Group