Anche Campari Group è stata recentemente colpita da un attacco ransomware con la tecnica del doppio riscatto: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari.
Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati, tra cui documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità e documenti con accordi e contratti aziendali.
L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI.
Ad avere comunicato l’avvenuto è Bleeping Computer.
Ecco perché c’è un boom di attacchi hacker e quali regole deve seguire un’azienda per difendersi.
Attacco del doppio riscatto, i danni per le aziende colpite
Riassumendo, un’azienda colpita da attacchi hacker come crittazione, furto e minaccia di pubblicazione subisce molteplici danni.
- Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
- La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.
Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.
Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.
Non solo Campari, boom di attacchi hacker simili nel 2020
Nel 2020, con un crescendo da settembre, abbiamo avuto simili attacchi hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.
Questo è avvenuto principalmente a causa del covid-19, che ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro.
Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).
Perché il doppio attacco è di moda
Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi. Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione.
In generale gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.
Che fare contro i nuovi ransomware degli attacchi hacker
Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi.
Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.
In caso di estrazione di dati, il baricentro dell’azione di cybersecurity dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione ed in particolare in due direzioni:
- capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
- protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.
Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.