Con un comunicato stampa e una comunicazione ai propri clienti, Ferrari ha divulgato la scoperta di un attacco informatico all’interno della propria organizzazione. C’è stato il furto dei dati di alcuni utenti e una successiva richiesta di riscatto.
L’azienda sottolinea di aver avviato le indagini per capire l’origine e la portata della violazione, ma ha anche fatto sapere che non pagherà alcun riscatto.
Indice degli argomenti
L’attacco ransomware contro Ferrari
Il grande marchio automobilistico ha reso noto nella sera di ieri (20 marzo 2023) di aver subito un attacco informatico con furto di dati. “Si tratta del secondo attacco che l’azienda avrebbe subito negli ultimi sei mesi”, dice a CyberSecurity360 Pierluigi Paganini, esperto di cyber sicurezza e CEO di Cybhorus.
“In Ottobre, infatti, il gruppo RansomEXX aveva annunciato il furto di 7 GB di dati dall’azienda, per cui la prima domanda che dobbiamo porci è se i due eventi sono, in qualche modo, collegati”, continua Paganini.
L’ipotesi di una relazione tra questo attacco e quelli rivendicati da gruppi criminali nel mese di ottobre 2022, dei quali abbiamo traccia unicamente da ciò che è stato diffuso sui Data Leak Site delle cyber gang, si era da subito fatta strada in seguito sia alle nostre analisi sia a quelle di gran parte degli esperti di settore a livello internazionale. Ma i dubbi non mancano.
Ricordiamo, appunto, che cinque mesi fa il gruppo ransomware denominato RansomEXX rivendicò un attacco ransomware contro Ferrari, che al tempo disconobbe l’appartenenza della propria azienda a questo attacco.
In quella data (2 ottobre 2022) vennero condivisi dal gruppo criminale documenti interni, quali progetti, disegni e documenti contabili che presto vennero attribuiti ad un fornitore terzo, con il quale il gruppo Ferrari intratteneva rapporti commerciali.
Alcuni giorni più tardi, sempre nel mese di ottobre 2022, una seconda cyber gang (Everest) rivendicò il marchio Ferrari all’interno di un attacco più grosso di supply chain contro Speroni S.p.A., appunto un fornitore automobilistico.
“Il comunicato stampa rilasciato dalla Ferrari sembra confermare che si tratti di due eventi distinti, non si attribuisce l’attacco ad uno specifico gruppo ma si conferma dall’avvenuta compromissione di alcuni dati di contatto dei propri clienti, informazioni non trafugate in occasione della violazione precedente”, prosegue Pierluigi Paganini.
Data breach at @Ferrari. Ransom demand, inevitably with the threat of disclosure. Anyone know which crew was behind this? pic.twitter.com/x7QTdlwOpO
— Troy Hunt (@troyhunt) March 20, 2023
Lo stesso Troy Hunt, professionista di cyber security e direttore regionale Microsoft, nella tarda serata di ieri ha esposto i propri dubbi riguardo alla comunicazione rivolta ai clienti di questo nuovo attacco informatico, chiedendosi come mai questa comunicazione, qualora dovesse riferirsi al precedente attacco, venga diffusa solo ora.
“Analizzando il comunicato, osserviamo come l’azienda dia evidenza di aver avviato prontamente una procedura di risposta agli incidenti, informando le autorità, avviando un’investigazione con un team di specialisti e, soprattutto, notificando prontamente l’incidente ai clienti, prima ancora della eventuale rivendicazione da parte degli attaccanti su un loro Data Leak Site”, riferisce Paganini.
In effetti, al momento della stesura di questo articolo non sono ancora presenti rivendicazioni criminali da parte dei vari gruppi ransomware costantemente monitorati.
Le preoccupazioni sulla cyber security di aziende corporate
Ci sono quindi degli interrogativi che ancora non vengono colmati da questa comunicazione che, come è normale che sia, preoccupa l’opinione pubblica. Si tratta di un attacco informatico che, come riferito dall’azienda, non sembra aver avuto impatti sulla produttività, neppure interrompendone le catene per periodi di tempo limitati.
“Unico elemento da approfondire che emerge dal comunicato è la modalità con la quale l’incidente è stato scoperto”, si chiede Paganini.
“L’azienda è venuta a conoscenza del furto di informazioni a seguito di una richiesta di riscatto e non a seguito dell’individuazione della minaccia da parte dei suoi sistemi interni. Questo aspetto potrebbe avere numerose spiegazioni, ad esempio che gli attaccanti possano aver avuto accesso ad un sistema interno ed essersi limitati ad esfiltrare i dati senza procedere a cifrarli, rendendo l’attacco di più complessa individuazione e più rapido nell’esecuzione”, ipotizza l’esperto.
“Potrebbe essere stato coinvolto un sistema di un fornitore di terze parti, ma in tal caso se ne sarebbe data notizia nel comunicato”, sottolinea Paganini. “Potrebbe essere sfuggita l’intrusione ai sistemi preposti al monitoraggio della rete aziendale, ed in tal caso occorre comprenderne le ragioni. Lo sfruttamento di una zero-day avrebbe peso differente rispetto alla violazione di un eventuale sistema non aggiornato, ragion per cui inutile avventurarsi in improbabili commenti. Si tratta di ipotesi che vanno confutate con le informazioni ufficiali dell’azienda nei prossimi giorni e soprattutto con la risposta del gruppo criminale al rifiuto del pagamento del riscatto”.
Il pericolo, dunque, come sintesi di quanto accaduto a Ferrari, è l’utilizzo improprio di grandi quantità di informazioni, anche dettagliate, sulla base clienti del colosso automobilistico di lusso, da parte dei criminali stessi attori dell’incidente, oppure da terzi malintenzionati ai quali i dati possono eventualmente venire ceduti/venduti.
Le frodi su cui fare attenzione come conseguenza di questo attacco sono il phishing rivolto direttamente ai clienti Ferrari in maniera mirata e specifica, sia via e-mail ma anche telefonico o SMS.
Ma anche tutte le frodi che intervengono davanti ad un furto d’identità qualora siano stati esfiltrati copie di documenti d’identità che possono dare la possibilità a gruppi criminali organizzati di effettuare ordini o stipulare contratti per conto di tali clienti dei quali appunto, si è in possesso di informazioni sensibili.
