I cyber attacchi che hanno messo in ginocchio le aziende Italiane.
In questi ultimi mesi gli attacchi informatici classificabili come ransomware sono aumentati sensibilmente ed alcune grandi aziende italiane sono state colpite duramente.
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, chiedendo un riscatto da pagare per rimuovere la limitazione
Il 27 Ottobre il gruppo Netwalker ransomware ha chiesto ad Enel 14 milioni di dollari di riscatto (1234.02380000 BTC).
A questo tipo di attacco, di per sé già critico, oltre alla cifratura dei dati e al blocco di alcune produzioni, subentra la minaccia di divulgazione dei dati rubati da questi gruppi di cybercriminali. La minaccia di rivelare i documenti delle vittime è volta principalmente a cercare di obbligarli a pagare il riscatto, altrimenti potrebbe essere sufficiente un ripristino di backup aggiornati, ovviamente nel caso in cui le aziende abbiano delle politiche di backup realmente funzionanti.
L’aumento dei Ramsonware e l’impreparazione delle aziende
Le aziende attaccate di cui parliamo in questo articolo sono grandi gruppi aziendali, la maggior parte con sede nel Nord Est, come sappiamo uno dei principali poli produttivi della nazione. Nonostante grandi investimenti nella security, queste aziende sono state comunque violate. Non c’è da stupirsi che gli attacchi siano così ravvicinati, il rapporto Clusit 2020 infatti mostra come i cyber attacchi stiano aumentando vertiginosamente in tutta Italia di anno in anno. Nel 2019 quasi il 50% dei malware che hanno colpito aziende italiane erano ransomware (l’anno precedente erano il 25%), e secondo un altro rapporto di Trend Micro, l’Italia è il secondo paese d’Europa più colpito da questa tipologia di malware. Ma allora, a fronte di questi report, a fronte di tutti questi attacchi, perchè l’infrastruttura informatica aziendale non viene adeguatamente analizzata e verificata? Perchè le aziende non investono sulla formazione aziendale in ambito di cybersecurity awareness dato che la maggior parte degli attacchi avviene con tutta probabilità a causa di un errore umano?
Andiamo a vedere nello specifico gli attacchi subiti dalle aziende, i danni provocati dai cybercriminali e le risposte delle stesse.
Geox e il malware Ekans
La nota azienda calzaturiera Geox è stata vittima di un attacco a Giugno, probabilmente tramite phishing; ovvero attraverso una tecnica che diffonde software malevoli per email. Secondo varie fonti è possibile che il malware fosse EKANS, un ransomware che colpisce in particolar modo i sistemi ICS (sistemi di controllo industriale), l’azienda però non ha fornito dettagli ulteriori sulla tipologia di attacco. Un team interno di esperti cyber in collaborazione con la Polizia Postale è riuscito a contenere la minaccia e ripristinare il funzionamento dei sistemi. Il danno più rilevante sembrderebbe essere stata la completa paralisi del server di posta elettronica per due giorni.
Luxottica ed il presunto databreach
Stessa sorte è toccata al gruppo Luxottica, l’ipotesi è ancora una volta un ransomware, che ha colpito gli stabilimenti in Italia e in Cina. Pochi giorni dopo la compromissione la società di intelligence di sicurezza informatica Bad Packets ha comunicato a BleepingComputer che Luxottica aveva un dispositivo di controllo Citrix ADX vulnerabile al difetto critico CVE-2019-19781 dei dispositivi Citrix, e quindi in questo caso sembrerebbe che la compromissione non sia avvenuta a causa di un allegato malevolo aperto per sbaglio ma per mano di un gruppo di cybercriminali esperti.
Luxottica ha al tempo dichiarato di non avere subito furto di dati dichiarando in sostanza che non fosse avvenuto un data breach. Tuttavia qualche giorno fa il gruppo di cybercriminali ha rilasciato alcuni documenti aziendali come prova del proprio attacco.
Su un articolo del CERT-AGID leggiamo infatti che:
“In data 18 ottobre 2020, a 28 giorni esatti dalla compromissione, gli autori del gesto criminale hanno pubblicato su un dominio .onion, quindi accessibile tramite la rete TOR, la prima parte di quelli che dovrebbero essere i dati (in chiaro) sottratti all’azienda, fornendo così prova della violazione. A tal proposito, non si ha ancora evidenza della conferma o smentita ufficiale da parte di Luxottica.”
Umberto Rapetto, su Infosec news ha spiegato in poche parole la gravità dei danni che l’effetto della cifratura ad opera del ransomware provoca all’azienda.”La illeggibilità delle informazioni vitali inchioda i processi decisionali, blocca le linee di produzione, acceca la gestione dei magazzini, ferma la spedizione delle merce, rende irricevibili i nuovi ordini, azzera la contabilità, trasforma in sconosciuti dipendenti, clienti e fornitori“
Il Gruppo Carraro
Altro importante gruppo industriale italiano ad essere colpito da un attacco simile (si presume sempre ransomware) è il Gruppo Carraro, multinazionale nel settore delle macchine agricole, nel cui caso specifico sono state attaccate le attività produttive in Veneto e in Cina. L’azienda ha dovuto chiudere la produzione ed uffici per alcuni giorni per ripristinare i suoi sistemi, si stima che abbiano dovuto mettere settecento dipendenti in cassa integrazione.
Non è dato sapere come sia stato veicolato l’attacco, ma anche in questo caso il gruppo ha dichiarato pubblicamente che non è avvenuta una sottrazione di dati e informazioni riservate. Nuovamente quindi un ransomware ha paralizzato i sistemi informatici, dall’amministrazione alla produzione altamente automatizzata da robot.
Fortunatamente sembra che il gruppo Carraro insieme alle forze dell’ordine siano riusciti a respingere l’attacco degli hacker impedendo l’accesso e il data breach.
Enel attacco ransomware a giugno e data breach ad ottobre?
Per ultimo ma non per importanza, l’attacco al gruppo Enel. Il gruppo è stato attaccato a giugno dal gruppo Ransonware EKANS, e come hanno fatto tutte le altre aziende sopracitate, Enel ha comunicato di non avere subito un data breach.
A giugno l’attacco informatico era stato attribuito al gruppo Ransomware EKANS, ma il 27 ottobre sono stati pubblicati i primi screen shot dei dati esfiltrati sul sito TOR del gruppo Ransomware NetWalker, che dice di avere dato sette giorni di tempo al Gruppo Enel per pagare il riscatto e tornare in possesso di 4,54 TB di dati sottratti durante l’attacco informatico. Ovviamente nasce un grosso dubbio riguardo alle dichiarazioni di sottrazione dei dati, anche se non è chiaro il ruolo dei due gruppi di hacker.
Grandi aziende e altrettanto grandi falle nella sicurezza informatica
Alla luce di quanto emerso da queste quattro storie di aziende italiane, possiamo capire quanto ad oggi la sicurezza informatica sia importante anche per un’azienda che opera in un settore completamente diverso dall’informatica e che, nonostante gli investimenti, probabilmente l’infrastruttura di queste grandi aziende aveva delle lacune.
Inoltre, dato che in tutti questi casi l’attacco è stato, con tutta probabilità, un ransomware probabilmente arrivato tramite email, la protezione dei propri sistemi deve essere sempre accompagnata da un’adeguata preparazione del personale che può inibire la sicurezza dei propri sistemi.
Procedure di disaster recovery ben ingegnerizzate aiutano a recuperare i dati perduti e possono minimizzare l’effetto dei ransomware e malware in generale. Tuttavia, come abbiamo descritto sopra, non risolvono il problema della minaccia di data leak che può soltanto essere prevenuta con adeguate misure di sicurezza come IDS/IPS, una corretta gestione del livello network e con la presenza di un team dedicato competente che monitori costantemente quello che avviene all’interno dell’infrastruttura.
Dopo questi primi livelli di sicurezza è necessario muoversi nella direzione dei test verso la propria infrastruttura cercando di comprendere tutte le componenti, esterne ed interne. Un vulnerability assessment seguito da un penetration test sono un ottimo modo per verificare il livello di security della propria azienda e capire quali sono i punti deboli dove ci può essere margine di miglioramento.
Se vuoi approfondire i più noti, e diffusi, attacchi informatici come Malware, Phishing, Trojan, Data Breach e Ransomware, leggi il nostro articolo: Tutto quello che avreste voluto sapere sugli attacchi informatici, ma non avete mai osato chiedere
The I opera da 15 anni in ambito di cybersecurity. Sviluppiamo per i nostri clienti strategie di security aziendale che possano prevenire gli attacchi informatici, gestire rischi, evitare downtime e malfunzionamenti e proteggere informazioni e dati sensibili. Eseguiamo Security Assessment, Penetretion Test , Vulnerability Assessment, Log managment, Incedent Responce Team e SIEM. Contattaci per una consulenza o un preventivo.