Negli ultimi mesi si sono alternate notizie preoccupanti di attacchi ransomware contro importanti aziende italiane. A una lunga serie di data breach e arresti della produzione, si aggiunge ora il caso di Campari che ha dichiarato di essere stata colpita (nel primo week end di novembre) da un attacco malware con cifratura di alcuni server.
Campari è stata preceduta negli ultimi mesi dal Gruppo Carraro (700 dipendenti rimasti a casa a settembre per un blocco ai sistemi informativi causato da un malware); Geox (a giugno un ransomware ha messo offline il server di posta elettronica dell’azienda veneta) e Luxottica (per quest’ultima ferma la produzione e la logistica nelle sedi del Bellunese, oltre che in Cina); Enel (l’attacco con il ransomware Netwalker è andato a segno a fine ottobre, 4,5 TB i dati rubati e un riscatto da 14 milioni di euro in bitcoin).
Nella dichiarazione di Campari, il dipartimento IT del gruppo era riuscito – entrando prontamente in azione con il supporto di esperti di sicurezza – a bloccare il diffondersi del malware. L’azienda, sospendendo temporaneamente i servizi IT, ha avviato una sanificazione e un restart graduale delle operazioni, affermando però che le investigazioni erano ancora in corso e non si poteva conoscere l’estensione di tutte le conseguenze dell’attacco. Nel frattempo, sono arrivate alcune indiscrezioni.
Cosa è successo veramente a Campari
Un ricercatore di sicurezza (Pancak3) ha individuato la nota di riscatto effettuata dal gruppo hacker Ragnar Locker (pubblicata da BleepingComputer). L’immagine successiva mostra che il gruppo Ragnar Locker avrebbe rubato oltre 2 TB di file non crittografati durante l’attacco (tra cui molte informazioni riservate collegate a conti correnti bancari, contratti, documenti governativi, certificati, dati personali).
Fonte: BleepingComputer, Ragnar Locker ransom note for Campari
Come riportano gli hacker:
We have BREACHED your security perimeter and get access to every server of company’s Network in different countries across all your international offices.
So we has DOWNLOADED more than 2TB total volume of your PRIVATE SENSITIVE Data, including:
-Accounting files, Banking Statements, Government letters, Licensing certificates
-Confidential and/or Proprietary Business information, Celebrity Agreements, Clients and Employees Personal information (including Social Security Numbers, Addresses, Phone numbers and etc.)
-Corporate Agreements and Contracts with distributors, importers, retailers, Non-Disclosure Agreements
-Also we have your Private Corporate Correspondence, Emails and Workbooks, Marketing presentations, Audit reports and a lot of other Sensitive Information
In aggiunta, il gruppo Ragnar Locker avrebbe anche dichiarato di aver crittografato i server del gruppo Campari in 24 Paesi, e che la richiesta di riscatto ammonta in tutto a 15 milioni di dollari in bitcoin.
A dimostrazione del fatto che i 2 TB di dati sono oggi in mano ai cyber criminali, una serie di URLs rimandando ad alcuni screenshot dei file (come ad esempio quello successivo): sono così rese parzialmente pubbliche informazioni sensibili, come dichiarazioni di banche, passaporti, moduli di pagamento delle tasse di dipendenti, o dati come SSN e accordi di confidenzialità (questi ultimi chiaramente a dimostrazione delle evidenti implicazioni legali del data breach subito da Campari).
Fonte: BleepingComputer, A spreadsheet containing employee’s SSN numbers
Gli hacker affermano che – se sarà pagato il riscatto – cancelleranno i dati dai propri server e non li renderanno pubblici (o non li rivenderanno). In aggiunta, promettono di fornire un report di Network Penetration e consigli su come migliorare la sicurezza dei sistemi IT (una novità questa rispetto a precedenti attacchi, e anche, un segnale preoccupante sul senso di supremazia incontrastata che i cyber criminali provano nei confronti delle loro vittime).
Come proseguono i negoziati con il gruppo Ragnar Locker
Come ha reso noto il 9 novembre il ricercatore MalwareHunterTeam, il gruppo di hacker è passato ora a minacciare Campari (e anche Capcom, colpita …) con due comunicati stampa.
They have published a “press release” for both companies… https://t.co/NG2euZLNXJ pic.twitter.com/5bZog8322G
— MalwareHunterTeam (@malwrhunterteam) November 9, 2020
Una tecnica questa che mostra ancora di più l’arroganza raggiunta dagli hacker, sempre più pronti a uscire allo scoperto pur di essere ripagati per il lavoro fatto. Nel caso non si arrivi un accordo (la data è già passata – si trattava del 10 novembre come deadline per le trattative) le informazioni sottratte saranno pubblicate o rivendute a terzi.
Il ransomware nel 2020: i trend a livello globale
Nell’ultimo anno la crescita degli attacchi ransomware è stata osservata da più società di sicurezza.
Secondo un recente Report della ricerca Check Point, nel Q3 2020 la media giornaliera degli attacchi ransomware è cresciuta del 50% rispetto al primo semestre di quest’anno. I Paesi più colpiti sono stati gli Stati Uniti, India, Sri Lanka, Russia e Turchia, e le tipologie di ransomware più osservate sono state Maze e Ryuk. In particolare, il ransomware Ryuk avrebbe colpito almeno 20 aziende ogni settimana.
Fonte: Check Point, novembre 2020. Attacchi con ransomware Ryuk attacks ogni settimana, tutti i settori.
Secondo il team IBM X-Force, che basa i suoi dati sulle attività di incident response in cui viene ingaggiato, le minacce ransomware hanno avuto un’esplosione in giugno 2020. Secondo il report X-Force di fine settembre, il ransomware Sodinokibi (REvil) era nel 29% di tutti gli incidenti osservati nell’anno mentre Maze nel 12%.
Fonte: IBM Security X-Force, Novembre 2020
L’analisi IBM riporta che il ransomware Revil avrebbe avuto oltre 140 vittime, per lo più posizionate negli Stati Uniti, nei diversi settori, dal commercio, all’industria ai servizi professionali. Inoltre, circa il 36% delle aziende avrebbe pagato la richiesta di riscatto. Considerando che le domande di riscatto si aggirano tra i 1.500 dollari e i 42 milioni di dollari, IBM stima che il gruppo dietro a REvil potrebbe aver guadagnato almeno 81 milioni di dollari quest’anno.
Cosa insegnano queste brutte esperienze?
Il ransomware in teoria potrebbe colpire qualsiasi azienda poco accorta, ma l’evoluzione di questi attacchi mostra chiaramente l’intenzione e la capacità dei gruppi di cyber criminali di effettuare notevoli danni a grandi organizzazioni, in cambio di riscatti milionari. Va detto che per alcuni costi non ci sarà risarcimento: ad esempio, danno d’immagine, disservizi e arresto di operatività (particolarmente pesante se sono coinvolte le fabbriche), perdita nelle vendite, possibili multe e azioni legali associate al data breach.
Inoltre, come ha osservato Coveware in un recente aggiornamento della sua ricerca, alcuni gruppi ransomware anche pagati non rispettano la promessa fatta di cancellare tutti i dati di cui sono entrati in possesso: in alcuni casi, arrivano addirittura a ripetere la stessa estorsione con le proprie vittime, riutilizzando gli stessi dati per essere pagati.
Fonte: Coveware Q3 2020 ransomware report
Il fatto che questi attacchi stiano coinvolgendo così tante grandi organizzazioni è il segnale che molti non sono pronti né a prevenire l’infiltrazione di un malware, né a rispondere con corrette procedure di gestione dell’incidente e di recovery. Servirebbe una più ampia adozione di strategie di cyber risk management in grado di valutare quali sono i punti più deboli e di mettere al sicuro particolari tipologie di dati, quelli più sensibili per la resilienza e la compliance.
Va notato poi, con particolare riferimento allo schema di doppia estorsione (“Se non mi paghi, ti creo un problema di compliance”), realizzato per la prima volta dal gruppo Maze nel 2019, che perché abbia successo richiede un contestuale intervento dei Garanti Privacy e sarebbe auspicabile, che da questo punto di vista, un atteggiamento diverso delle Autorità, per evitare che le aziende, ma anche realtà pubbliche come ospedali e scuole (sempre più oggetto di attacchi ransomware), si trovino veramente con le spalle al muro.
A cura di:
Elena Vaciago, The Innovation Group
